中国の春節(旧正月)に合わせた大型連休の期間、サイバー攻撃が大きく減少したという報道は、直感的には「攻撃者も休むのか」という話題性を伴います。しかし、セキュリティの実務視点では、この現象は単なる“休暇”では片付けられません。攻撃件数の減少は、攻撃者側の稼働低下だけでなく、攻撃の時間配分、標的の切り替え、検知・観測の偏りといった複数の要因で起こり得ます。重要なのは「減った」こと自体より、減った期間に組織がどのように防御態勢を維持し、休暇明けに起こりがちな反動をどう抑えるかです。
連休で攻撃が減るのは本当に「ハッカー休暇」なのか
大型連休中の攻撃減少には、現実的な理由がいくつかあります。第一に、攻撃グループも人間の集団であり、運用・収益回収・交渉といった活動はチームの稼働に依存します。特にランサムウェアのように侵入後の横展開、暗号化、被害者とのやり取りが必要な攻撃は、オペレーションが止まれば実行しづらくなります。
第二に、春節期間は中国国内の企業・官公庁の稼働が落ち、攻撃者にとっても「成果が出にくい」局面になります。たとえば、フィッシングは受信者がメールを開かないと成功しません。サポート窓口が止まり、承認フローが停滞している時期は、侵害後の追加権限取得や送金誘導なども効率が落ちます。つまり、攻撃者が“休む”というより、“費用対効果が悪い時期は避ける”という合理的判断が働く可能性があります。
第三に、観測データの性質も見落とせません。連休中はネットワークトラフィックやユーザー活動が減り、検知ルールによってはアラートが減少します。一方で、低頻度・長期潜伏型の攻撃は数字に表れにくく、「件数が減った=安全になった」とは限りません。
攻撃が減る期間こそ危険な“準備期間”になり得る
攻撃者は、派手な侵害や暗号化を連休中に行わず、下準備に徹することがあります。例えば、認証情報の収集、バックドアの設置、権限昇格、重要サーバーの探索といった行為は、目立ちにくく、組織側の監視体制が薄いタイミングで進められやすいのが実情です。
また、攻撃者は地域や業種で「稼働している標的」にシフトします。春節で中国圏の活動が鈍るなら、別地域・別言語圏の組織へ攻撃を振り向けることも可能です。数字上の減少が、観測対象の偏りや標的の移動によって起きているなら、グローバルに事業を持つ企業ほど油断は禁物です。
休暇明けに増える典型的リスク
連休明けは、攻撃の“反動”が出やすいタイミングです。理由は明確で、業務が一斉に再開し、メール処理・請求処理・アカウント発行・システム変更など、人手の作業と意思決定が集中するからです。ここにフィッシングやBEC(ビジネスメール詐欺)、サポート詐欺、偽の請求書といったソーシャルエンジニアリングが刺さります。
さらに、休暇中に適用できなかったパッチや設定変更が溜まっている場合、脆弱性対応の遅れが露呈しやすくなります。攻撃者は公開情報(脆弱性情報、侵害事例、認証情報流出)をもとに、連休明けの混乱期を狙って侵入を試みることがあります。
企業が取るべき実務対策
監視体制を“薄くしない”設計にする
連休中のSOCや運用要員が減る前提で、検知・封じ込めを自動化できる範囲を増やすことが重要です。EDRの隔離、疑わしいサインインのブロック、危険な添付ファイルのサンドボックス処理など、「人がいないと止められない」領域を減らします。加えて、休日用のエスカレーションルート(誰が・何分で・どこまで判断するか)を文書化し、実際に訓練しておくべきです。
アイデンティティ防御を中心に置く
休日に限らず、侵害の多くは認証情報から始まります。多要素認証の徹底、条件付きアクセス、特権IDの分離、不要アカウントの棚卸しは、投資対効果が高い対策です。特に「休暇前に退職・異動が集中する」組織では、アカウント無効化の遅れが侵入口になります。
パッチ運用と例外管理を“連休カレンダー”で回す
大型連休を前提に、重要資産のパッチ適用計画、再起動計画、ロールバック手順を前倒しで整えます。どうしても適用できない場合は、WAFや仮想パッチ、アクセス制御で代替策を講じ、例外を期限付きで管理します。「例外が恒久化」すると、攻撃者にとっての定番ルートになります。
バックアップは“復旧できること”を証明する
ランサムウェア対策では、バックアップがあるだけでは不十分です。復旧手順の定期テスト、バックアップデータへのアクセス制御、オフラインまたは改ざん耐性(イミュータブル)を備えた保管、復旧に必要な認証情報の管理が揃って初めて有効になります。連休中は復旧要員が揃わないことも想定し、優先復旧システムの順序を明確にしておくべきです。
減少ニュースを「安心材料」にしないために
特定期間の攻撃件数が減ることは起こり得ます。しかし、攻撃者は季節や行事に合わせて稼働を調整し、標的を選び、手口を変えます。守る側がすべきことは、数字の増減に一喜一憂するのではなく、「監視が薄い時間帯」「意思決定が遅れる期間」「人が忙しくなる局面」を先回りして潰すことです。
春節に限らず、ゴールデンウィーク、年末年始、夏季休暇など、どの国・どの業界にも“守りが揺らぐ季節”があります。攻撃が減ったように見える時期こそ、体制と技術の穴が露呈しないよう、平時に作った仕組みで淡々と防御を継続することが、結果として最大のリスク低減につながります。