独立行政法人情報処理推進機構（以下、IPA）セキュリティセンターは2025年12月16日、年末年始の長期休暇を控えた企業や個人に向け、「2025年度 年末年始における情報セキュリティに関する注意喚起」を発表した。

多くの組織が長期休暇に入るこの時期は、システム管理者が長期間不在になるなど、通常とは異なる運用体制になりやすい。IPAは、こうした状況下でセキュリティインシデントが発生した場合、初動対応の遅れや想定外の事象への発展を招き、休暇明けの業務継続に深刻な影響を及ぼす可能性があるとして、警戒を強めるよう呼び掛けている。

IPAでは、長期休暇における情報セキュリティ対策と、日常的に行うべき情報セキュリティ対策をWebサイト上で公開している。双方とも「個人の利用者」「企業や組織の利用者」「企業や組織の管理者」ごとに参照範囲が整理されている。

特に企業や組織の管理者に対しては、休暇前の対策として、緊急連絡体制の確認や修正プログラムの適用、OSやアプリケーションの脆弱（ぜいじゃく）性対策、データのバックアップなどを推奨している。休暇中においても、不審なアクセスの監視体制を維持し、万が一インシデントが発生した際の手順を再確認することが求められるという。

企業や組織の利用者には、日常の対策を解説する動画シリーズも公開している。

VPN機器などの「ORB化」リスクとネットワーク貫通型攻撃への警戒

今回の注意喚起において、企業や組織向けに特に強調されているのが、インターネット接続機器の脆弱性や設定不備を悪用する「ネットワーク貫通型攻撃」への対策だ。

近年、VPN機器やルーターなどが攻撃を受け、サイバー攻撃者が不正な通信の中継点として悪用する「Operational Relay Box」（ORB）化の事例が相次いでいる。IPAは2025年10月にも、VPN機器や家庭用ルーターのORB化に関して注意喚起しているが、自組織の機器がORB化された場合、保有情報の漏えいやランサムウェア感染といった直接的な被害だけでなく、意図せず他組織への攻撃の踏み台として加担してしまうリスクがある。

こうした事態を防ぐため、IPAではシステム構成やインターネット接点の正確な把握、脆弱性対策、設定確認、日頃のログ監視といったサイバーセキュリティ対策の徹底を推奨している。BCP（事業継続計画）やBCM（事業継続マネジメント）を通じた、サイバー領域以外も含めた危機管理体制の重要性も指摘している。

対策の指針として、経済産業省が2023年5月に公開した「ASM（Attack Surface Management）導入ガイダンス」の活用も推奨されている。これは外部からアクセス可能な情報を基に、攻撃者視点で自組織のIT資産を発見・管理する手法であり、管理外の資産や脆弱な設定を洗い出す上で有効とされる。

IoTボットネットによるDDoS攻撃、2024〜2025年冬期の事例から警戒呼び掛け

2024年末から2025年の年始にかけて、侵害されたIoT（Internet of Things）機器からなるIoTボットネットなどを利用したとみられるDDoS（Distributed Denial of Service）攻撃が国内企業に対して多数発生した。このインシデントの教訓を踏まえ、IPAでは2025年から2026年にかけての年末年始においてもDDoS攻撃への備えが必要だと指摘する。

自組織のIoT機器がボットネットの一部として悪用されないよう、資産を適切に把握・管理することが重要だという。必要に応じて検索エンジン「SHODAN」などのサービスを利用し、インターネットに不適切に公開されている機器がないかどうかを確認することも検討すべきだとしている。

加えて、各企業・組織において不審なメールの受信や機器への不正アクセスなど、不自然な兆候を認知した場合には、「コンピュータウイルス・不正アクセスに関する届出」や相談窓口への情報提供を呼び掛けている。