なぜゴールデンウィークがセキュリティ的に危険なのか
もうすぐゴールデンウィーク。長い連休は楽しみですが、実はこの時期、サイバー攻撃や情報漏えいのリスクが一年で最も高まるタイミングのひとつです。
なぜかというと、人の心理的な隙が生まれやすいから。休み前は「早く業務を片付けよう」と焦り、休み明けは「たまったメールをさばかなきゃ」と慌てる。攻撃者はそこを狙っています。
IPA(情報処理推進機構)の調査によると、長期休暇前後はフィッシングメールの件数が増加し、不審なサイトへの誘導を狙った攻撃が多く確認されています。「中小企業だから大丈夫」という話ではなく、むしろ規模が小さいほどセキュリティ担当の目が届きにくく、狙われやすいという現実があります。
この記事では、GW前・GW中・GW明けの3つのタイミングに分けて、すぐに使えるチェックリストをまとめています。難しい専門知識は必要ありません。書いてある内容をそのまま実行してもらえれば十分です。
GW前にやること
① 機器・データの持ち出しルールを確認する
休暇中に仕事をする予定がある人は、必ず社内の持ち出しルールを確認してください。「なんとなく持って帰る」はNGです。
特に注意が必要なのは外部記憶媒体(USBメモリ、外付けHDDなど)。個人所有のデバイスに会社のデータをコピーするのは、多くの企業でルール違反にあたります。承認が取れていない場合は、持ち出し自体を控えるのが無難です。持ち出しが認められているPCについても、暗号化・画面ロックの設定は必ず確認してから出発してください。
② 使用しない機器の電源をOFFにする
「つけっぱなしでも問題ないでしょ?」と思う人もいるかもしれませんが、電源が入ったままだと、長期休暇中に遠隔から不正アクセスを受けるリスクがゼロではありません。使う予定のないPCや機器は、きちんと電源を落として休暇に入りましょう。たったこれだけですが、立派な対策になります。
GW中にやること
① 持ち出した機器・データは厳重に管理する
社外に持ち出したPCやデータは、自宅でも外出先でも放置しないでください。観光地やカフェ、乗り物の中での盗難・置き忘れは毎年発生しています。バッグから目を離さない、施錠できる場所に保管する、といった基本的な行動が重要です。
万が一、紛失・盗難が発生した場合は、発覚した時点ですぐにご自分の会社の担当窓口へ連絡してください。対応が遅れるほど、情報漏えいのリスクが拡大します。
② フリーWi-Fiでの業務利用は避ける
旅行先や外出先でフリーWi-Fiを使う機会があると思いますが、業務での利用は原則避けてください。
仕組みを簡単に説明すると、同じネットワーク上にいる悪意のある第三者が通信内容を傍受できる場合があります。メールの内容、社内システムのログイン情報、顧客データなどが盗まれるリスクがあります。どうしても必要な場合は、会社支給のモバイル回線を使うか、重要な情報の閲覧・入力は行わないようにしてください。
③ 不審な連絡には対応しない
休暇中でも、業務連絡を装ったメールやチャットが届くことがあります。以下のような内容には絶対に対応しないでください。
- 上司や取引先を名乗り、対応を急がせる内容
- ID・パスワードなどの入力を求める内容
- URLのクリックやファイルの開封を促す内容
いわゆる「ビジネスメール詐欺(BEC)」と呼ばれる手口で、休暇中は確認が取りにくいと知っていて送ってきます。休暇明けまで待てる内容がほとんどです。緊急に見える場合でも、メールに返信するのではなく、電話で直接確認してから動くようにしてください。
GW明けにやること
① まずWindows Update、メールは後回し
休み明けにいちばんやりたくなるのはメールチェックだと思いますが、その前にやることがあります。
Windows Updateを先に実施してください。
GW中に新しいセキュリティパッチが公開されている可能性があります。更新を行わないまま不審なメールを開いたりWebサイトを閲覧したりすると、既知の脆弱性(セキュリティ上の弱点)を悪用されるリスクが高まります。更新が完了し、再起動が終わってから、メールや業務システムを使い始めてください。朝イチにPCを起動して更新をかけながら別の準備をすすめるのが、現実的なやり方です。
② ウイルス対策ソフトの定義ファイルを更新する
Windows Updateと合わせて、ウイルス対策ソフトの定義ファイルも最新の状態に更新してください。自動更新が設定されていても、念のため手動で確認することをおすすめします。タスクトレイのアイコンをクリックして「最終更新日時」を見るだけでOKです。
③ 溜まったメールは「急ぎ感」に騙されない
休み明けのメールボックスは大量のメールが溜まっています。ざっと読み流しているときに不審なメールをうっかり開いてしまう事故が起きやすいのが、まさにこのタイミングです。
以下に該当するメールは、すぐに開かず慎重に確認してください。
- 対応を強く急がせる内容
- ID・パスワードの入力を求める内容
- URLや添付ファイルを開くよう促す内容
送信者のメールアドレスをよく見ると、ドメインが微妙に違ったり、見慣れない文字列になっていることがあります。少しでも「おかしいな」と感じたら、メールに返信せず、電話で送信者本人かIT担当に確認してください。
まとめ:GWを安全に過ごすための3ステップ
長くなりましたが、やることはシンプルです。
| タイミング | やること |
|---|---|
| 休暇前 | 持ち出しルール確認・使わない機器の電源OFF |
| 休暇中 | フリーWi-Fi業務利用NG・不審な連絡は無視 |
| 休暇明け | Windows Update → ウイルス定義更新 → メール確認の順番で |
「知っていたけどやっていなかった」を今年のGWでなくしてください。インシデントは起きてから対処するより、起きる前に防ぐほうがずっと楽です。
何か不明な点やトラブルが発生した場合は、ご自分の会社のIT担当や上司までご連絡ください。早めの連絡が被害を最小限に抑える一番の方法です。
弊社では、このような社員向けのセキュリティ周知活動を含むITサポートを提供しています。セキュリティ対策についてのご相談は、お気軽にnolan合同会社までお問い合わせください。
参考
IPA 情報処理推進機構「長期休暇における情報セキュリティ対策」
総務省「国民のためのサイバーセキュリティサイト」
