企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威：セキュリティニュースアラート

大手企業の55.4％が過去3年の年末年始にセキュリティ被害を経験している。7割が休暇中の体制に不安を感じており、取引先起因の被害も顕著であるため、サプライチェーン全体での対策強化が急務とされている。

[後藤大地，ITmedia]

　アシュアードは2025年12月4日、年末年始休暇期間におけるセキュリティ対策の実態調査結果を公表した。長期休暇中の監視低下を狙う攻撃リスクが依然として顕著であることが示されている。

　この調査は従業員数1000人以上の企業に所属する情報システムやセキュリティ担当者500人を対象に実施された。

55％が年末年始に被害経験　セキュリティ対策の現状とは

　同調査によると、過去3年間の年末年始に何らかのセキュリティインシデントを経験した企業は55.4％に達している。このうち、自社への直接的なサイバー攻撃やセキュリティ事故を経験した企業は51.4％を占めた。内容としては、マルウェア感染による業務遅延や停止が30.4％と最多で、不正アクセスが23.0％、DDoS攻撃による停止が21.2％と続いている。

　取引先を起点とした影響にも特徴が見られた。取引先起因のインシデントを経験した企業は46.8％で、特に取引先側のマルウェア被害に伴う業務停止が24.6％を占めた。インシデントの起点となった取引先としては、クラウドサービス事業者が48.7％と多く、システム開発や運用の委託先が45.3％、データセンター事業者が35.5％となった。クラウド活用の拡大に比例して接点が増えた結果、影響範囲が広がりやすい構造が浮き彫りにされている。

　年末年始の自社のセキュリティ体制に不安を抱く担当者は70.2％に達し、人員不足や取引先のリスク把握不足、緊急時の社内連絡体制への懸念が大きく示されている。監視体制の人員確保を課題とする企業は35.0％、取引先の状況が把握できない点を課題とする企業は31.8％、緊急時の社内連絡・対応の機能不全を懸念する企業も31.8％だった。休暇期間中の自社リソース減少に加え、サプライチェーン全体の状況が把握しにくい点が負担となっている。

　長期休暇に備えて強化されている対策では従業員への注意喚起が50％で最多となり、社内ネットワークへの機器接続ルール確認が44.8％、監視体制の強化が44.2％となった。取引先との緊急連絡体制を強化している企業は19.2％にとどまり、サプライチェーンに関する対処が十分に進んでいない状況が示されている。

　休暇明けへの警戒としては、停止していた機器の再起動やパッチ適用状況の確認が42.2％、休暇中に受信した大量メールの確認が39.6％と高い割合を示した。休暇期間中に潜伏したリスクの顕在化を防ぐための基本的作業が重視されている。

　アシュアードセキュリティエキスパートの真藤直観氏は年末年始は人手が薄くなる状況を狙った攻撃が集中する時期であり、特にランサムウェアやフィッシング詐欺が増加する傾向を指摘している。その上で従業員への注意喚起の徹底、監視体制の確保、取引先との緊急連絡体制の事前確認、休暇明けを見据えた機器再起動やパッチ適用計画といった対策を推奨している。加えて、自社だけでなく取引先を含めた全体の状況確認が重要と述べている。