攻撃減少の背景にある「稼働」と「観測」
春節の大型連休中に攻撃件数が減る現象は、単なる「攻撃者も休む」では説明し切れない。ランサムウェアのように侵入後の横展開や交渉が必要な攻撃は、チーム稼働が落ちると実行効率が下がる。さらに休日は被害者側の業務停止でフィッシングの開封率や送金誘導の成功率も下がり、攻撃者が費用対効果で時期を選ぶ可能性がある。
一方で、連休中はユーザー活動やトラフィックが減り、検知基盤の性質によってアラートが減少しやすい。低頻度・長期潜伏型の侵害は数字に表れにくく、件数減少が「安全」を意味しない点を情シスは前提にすべきである。
静かな期間が「侵害の下準備」になる危険
派手な暗号化や破壊は避け、認証情報の収集、バックドア設置、権限昇格、重要資産の探索といった下準備に徹する攻撃は起こり得る。監視要員や承認フローが薄いタイミングほど、気付かれにくい作業が進む。加えて攻撃者は地域・業種で標的を切り替えられるため、観測対象の偏りが「減ったように見える」要因にもなる。
休暇明けに集中するソーシャルエンジニアリング
連休明けはメール処理、請求、アカウント発行、変更作業が集中し、判断が雑になりやすい。ここにBEC、偽請求、サポート詐欺が刺さる。休暇中にパッチ適用や設定変更が滞留していれば、脆弱性対応の遅れも露呈し、公開情報を手掛かりに侵入試行が増える。
情シスが押さえる実務対策の要点
対策は「連休でも薄くしない」設計が要点である。EDR隔離や危険サインイン遮断など自動化を進め、休日用のエスカレーション(誰が何分で判断するか)を文書化し訓練する。侵害起点になりやすいアイデンティティは、MFA、条件付きアクセス、特権ID分離、不要アカウント棚卸しを優先する。
パッチ運用は連休カレンダー前提で前倒しし、適用不可はWAF等の代替と期限付き例外で管理する。バックアップは保管だけでなく復旧テスト、改ざん耐性、復旧手順と権限管理まで含めて「復旧できること」を証明する。攻撃減少のニュースを安心材料にせず、監視が薄い時間帯と繁忙期を先回りして潰すことが最重要である。