HOME情報セキュリティ年末年始における情報セキュリティに関する注意喚起

本文を印刷する

情報セキュリティ

年末年始における情報セキュリティに関する注意喚起

最終更新日:2021年12月22日
独立行政法人情報処理推進機構
セキュリティセンター

多くの人が年末年始の長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。

長期休暇の時期は、「システム管理者が長期間不在になる」、「友人や家族と旅行に出かける」等、いつもとは違う状況になりがちです。このような場合、ウイルス感染や不正アクセス等の被害が発生した場合に対処が遅れてしまったり、SNSへの書き込み内容から思わぬ被害が発生したり、場合によっては関係者に対して被害が及ぶ可能性があります。

最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。

これらのような事態とならないよう、(1)組織のシステム管理者、(2)組織の利用者、(3)家庭の利用者、のそれぞれの対象者に対して取るべき対策をまとめています。
長期休暇における情報セキュリティ対策

また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。
日常的に実施すべき情報セキュリティ対策

被害に遭わないためにもこれらの対策の実施をお願いします。


2021年11月から「Emotet」(エモテット)と呼ばれるウイルスの攻撃活動が再開し、12月現在も攻撃が継続しています。
IPAの相談窓口でも感染の可能性がある相談を、12月に入ってから数件確認しています。再び被害が拡大していく可能性があり、改めて注意いただくようお願いします。

Emotetの攻撃では、過去にやり取りされたメールが攻撃者に盗まれ、その内容やメールアドレスが転用されて、ウイルスメールとして送られてくることがあります。
顧客や取引先、知人からのメールに見えても、すぐに添付ファイルやURLリンクは開かず、本物のメールであるか落ち着いて確認してください。
長期休暇明けはメールが溜まっていることが想定されますので、一件一件の確認を慎重に行ってください。

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて


新型コロナウイルス感染症(COVID-19)の影響により、ICTを用いて自宅でも業務が行えるような環境を整えて、社員等を出社させずに事業継続を図る動きが進んでいます。このような環境で働くテレワーク勤務者に向けたセキュリティ上の注意事項について、下記のページにて説明していますのであわせてご確認ください。

テレワークを行う際のセキュリティ上の注意事項

【映像で知る情報セキュリティ】妻からのメッセージ ~ テレワークのセキュリティ ~

Web会議サービスを使用する際のセキュリティ上の注意事項


ご参考:最近多く寄せられる相談事例

相談事例1 通信事業者を装った偽ショートメッセージ

相談内容

  • auのショートメッセージをタップしたところ、「システム警告、マルウェア検出」と出たが、画面を消してその先には進まなかった。ウイルスに感染していないか教えてほしい。(個人:男性)
  • スマホの方にauから、「未払い金がある」というSMSが来てクリックしたらauそっくりの画面が出てきて、電話番号とパスワードを入れてしまった。(個人:女性)

(クリックして拡大)
図1:通信事業者を騙る偽ショートメッセージ
(クリックして拡大)

回答

2021年10月頃から、通信事業者を騙る偽ショートメッセージに関する相談が、継続的に寄せられています。

本手口は、宅急便業者を騙る偽ショートメッセージと同じものです。
突然送られて来たショートメッセージにあるURLを、安易にタップしないようにしてください。

<Androidの場合>

  • 表示されたメッセージに沿った操作(アプリのインストール)をしていなければ、影響はありません。
  • アプリのインストールには、ご自身の操作による「許可」が必要で、勝手にインストールされることはありません。

<iPhoneの場合>

  • 実在する事業者を騙り本物そっくりなサイトに誘導し、正規のサイトで利用する認証情報や個人情報を入力させる、「フィッシング」事例を確認しています。
  • 何も情報を入力しなければ被害に繋がることはありません。

その他詳しい手口・影響・対処については、下記の安心相談窓口だよりをご覧ください。

■IPA:宅配便業者に加えて通信事業者をかたる偽ショートメッセージサービス(SMS)が増加中
https://www.ipa.go.jp/security/anshin/mgdayori20211222.html

■IPA:URLリンクへのアクセスに注意!
https://www.ipa.go.jp/security/anshin/mgdayori20210831.html


相談事例2 メールサービス事業者を装ったフィッシングメール

相談内容

  • プロバイダーからメールが届きました。メール本文のリンクをクリックすると、パスワード入力欄がある画面が出てきてパスワードを入力してしまった。よく考えると何かおかしく、このような操作をしてしまいましたが大丈夫でしょうか?(個人:男性)

(クリックして拡大)
図2:メールサービス事業者を騙るフィッシングメールの本文
(クリックして拡大)

(クリックして拡大)
図3:URLをクリック後に表示されたフィッシングサイト
(クリックして拡大)

回答

利用メールアカウントの認証情報の窃取を狙ったフィッシングの手口です。
窃取されたID、パスワードを用いてメールアカウントに不正ログインされ、フィッシングメールの送信元として、第三者によるメール送信の踏み台に悪用されるなどの可能性があります。

メールアカウントのパスワード変更をすぐに行ってください。
なお、フィッシングサイトに入力したパスワードと同じものを他のサービスでも使用している場合、当該アカウントに不正ログインされるおそれがあるため、そちらのパスワードも変更することをお勧めします。
また、多要素認証が設定可能なサービスにおいては、積極的にご利用されることを推奨します。

基本的な対策・対処は、下記サイトをご覧ください。

■IPA:不正ログイン対策特集ページ
https://www.ipa.go.jp/security/anshin/account_security.html

一般的な情報セキュリティ(主にウイルスや不正アクセス)に関する技術的な相談は下記まで。

■IPA情報セキュリティ安心相談窓口
https://www.ipa.go.jp/security/anshin/index.html

更新履歴

2021年12月22日 「相談事例1」への回答リンクを更新
2021年12月16日 掲載

本件に関するお問い合わせ先

独立行政法人情報処理推進機構 セキュリティセンター
情報セキュリティ安心相談窓口 田島/中島
E-mail: