春節のような大型連休に「攻撃が減った」と報じられても、それが直ちにリスク低下を意味するとは限りません。ランサムウェアのように侵入後の操作や交渉が必要な攻撃は、攻撃者側の稼働状況に左右され、実行タイミングが調整されます。加えて休暇中は利用者の業務トラフィックが減り、監視ルールや集計の特性によってアラート件数が下がることもあります。数値の増減は、攻撃の消失ではなく「見え方の変化」として捉えるべきです。
派手な暗号化やデータ破壊が減る一方で、休暇中は下準備が進みやすい点が盲点です。認証情報の収集、バックドア設置、権限昇格、重要サーバー探索は目立ちにくく、当番体制が薄い時間帯ほど成功確率が上がります。さらに攻撃者は「稼働している地域・業種」へ標的を切り替えるため、グローバル拠点や外部委託を抱える企業ほど局所的な減少に惑わされるべきではありません。休暇中は“侵害の芽”が育つ期間になり得ます。
連休明けは業務が一斉再開し、メール処理、請求、口座変更、アカウント発行、システム変更など人手と判断が集中します。このタイミングはフィッシング、BEC、偽請求書などソーシャルエンジニアリングが刺さりやすく、確認手順が形骸化すると被害が拡大します。休暇中に先送りしたパッチ適用や設定変更が溜まっている場合、脆弱性対応の遅れも露呈します。攻撃者は公開された脆弱性情報や流出認証情報を材料に、混乱期を狙って侵入を試みます。
まず、連休中に人が減る前提で監視と封じ込めの自動化範囲を広げます。EDR隔離、疑わしいサインインのブロック、危険添付の隔離など「人がいないと止められない」工程を減らし、休日用エスカレーション(誰が何分で判断しどこまで実施するか)を文書化し訓練します。次に、侵害起点になりやすいアイデンティティ防御を強化し、多要素認証、条件付きアクセス、特権ID分離、異動・退職に伴う棚卸しを徹底します。
また、パッチ運用は連休を前提に前倒し計画で回し、再起動・ロールバック手順まで含めて準備します。適用できない資産はWAFやアクセス制御で代替し、例外は期限付きで管理して恒久化を防ぎます。最後にバックアップは「復旧できること」を証明し、復旧テスト、改ざん耐性やオフライン保管、復旧に必要な認証情報管理、優先復旧順位を整備します。攻撃が減ったように見える時期こそ、仕組みで淡々と守れる設計が問われます。
参照元: 春節にサイバー攻撃が減る理由と、その“静けさ”が示す防御の盲点
