年末年始は業務が止まる企業も多く、サイバー攻撃の“隙”が生まれやすい時期です。外部からの侵入だけでなく、社内に潜むリスク、さらには生成AIや自動化ツールの“思わぬ誤動作”まで、2025〜2026年は例年以上に注意が必要です。本記事では、中小企業でも実践できる「休み前のセキュリティ対策」と「AI時代における新たな盲点」について具体的に解説します。

なぜ年末年始が危ないのか

年末年始は多くの企業が長期休暇に入るため、出社する社員も少なく、外部とのやり取りも大きく減少します。しかし、この“止まっている状態”は、攻撃者にとっては最大のチャンスでもあります。「休暇中に発生した不正アクセスが年明けまで発見されない」「サーバーやVPNの脆弱性がアップデートされないまま放置」「IT部門が不在で即時対応ができない」など少し考えただけでも、攻撃者にとって有利な状況であることは間違いありません。

そのため、年末年始には以下のようなサイバー攻撃も増加すると言われています。

ランサムウェアやマルウェア感染（業務遅延・情報漏洩）
標的型攻撃による不正アクセス
DDoS攻撃によるシステム・Webサービスの一時停止

参考：長期休暇における情報セキュリティ対策 | IPA 独立行政法人情報処理推進機構
https://www.ipa.go.jp/security/anshin/measures/vacation.html

たとえば2024年12月26日、日本航空がDDoS攻撃を受けて国内線の運航に遅延が発生したケースがあります。空港での混雑が発生する年末年始の繁忙期にネットワークが圧迫されたことで、システム側の一部機能が一時的に影響を受けています。安全性が損なわれたわけではありませんでしたが、運用面での混乱が発生しました。ほかにも2021年12月中旬に発見されたLog4Shell（Log4j）は、任意のコードをリモートで実行できるゼロデイ脆弱性でしたが、年末年始にパッチ適用が遅れた多くの企業が被害に遭っています。

もちろん長期休暇を狙うサイバー攻撃は、日本だけで発生するわけではありません。欧米ではクリスマス休暇、中国では春節（旧正月）などが危険だとされています。

リスクが放置されることが最大の問題

年末年始などの長期休暇では、「リスクが放置」されることによって危険性が増大します。放置されがちなリスクとしては、以下のようなものが挙げられます。

・アカウントの放置
年末はさまざまな部署が忙しい時期です。そのため、年末に退職した従業員のアカウントが、削除されないまま放置されるケースが少なくありません。退職者が個人のデバイスから社内の機密情報にアクセスしたという事例は数多く報告されています。

また、トラブル対応などで、一時的にアカウントに特別な権限を付与したまま戻さずに放置するという事例もあります。

・VPN機器の脆弱性放置
SSL-VPN製品は、年末年始にパッチ未適用状態が攻撃者に狙われる可能性が高まります。ShodanやCensysといった検索サービスを利用すれば、外部からどこに脆弱性のあるVPN機器があるかを検索できてしまうため、人のいない時期を狙って多くの攻撃者が不正侵入を試みると言われています。

・MFA未設定のクラウドアカウント
Microsoft 365、Google Workspace、Boxなどのクラウドサービスにおいて、管理者アカウントのMFA (Multi-Factor Authentication：多要素認証)を設定していないと重大な被害を生む原因になります。特にアカウントを複数人で共有するために、「password」や「admin」などセキュリティレベルの低いパスワードを長期間使用していたことで、不正アクセスされてしまったという事例も多数報告されています。

生成AIも新たなリスクとして注目になる

Microsoft Copilot、Google Gemini、ChatGPTなどを業務に取り入れる企業は増えています。人と違い、AIは“休暇”を必要としません。そのため、人間が休んでいる間にも、AIが勝手にデータを収集して報告書を作り、通知やメールを送る可能性があります。たとえば、「年末にAIが営業メールを勝手に書いて送信する」「AIが日報タスクを年始まで毎日更新し続ける」などの問題が発生するかもしれません。

また、AIの判断は常に正しいとは限らず、想定外の動作をしてしまうことがあります。社内に誰かいればすぐに対応することもできるかもしれませんが、人がいない状況でAIが誤動作してしまうと、クリティカルな問題に発展しかねません。便利だと思って設定したはずの自動化が、休暇中の“ヒューマンチェック不能”状態と重なることで大きな事故につながってしまうのです。

しかしながら、休暇中であっても、すべての自動化を止めることはできません。セキュリティ対策を検討する際には「止める」だけでなく、「何を止めてはいけないか」の線引きも重要です。生成AIによって業務の自動化が普及するほど、AIの効率的な運用と暴走を止める“人”の存在が重要になります。

チェックリストを作成する

長期休暇の前には、次のようなセキュリティの点検リストを作っておくことをお勧めします。

アカウント管理
退職・休職中の社員アカウントの削除 or 停止
管理者権限の棚卸し（不必要に管理者権限を付与していないか）
SaaSやVPNなどの管理者アカウントのパスワード再確認
リモートアクセス／VPN
VPN機器のファームウェアアップデート状況
SSL-VPN脆弱性が未対策のままになっていないか？
MFA（多要素認証）の未設定ユーザーはいないか？
生成AI／自動化ツール
ChatGPTやCopilotなどの自動処理の“スケジュール設定”確認
OutlookやSlackなどにAIが自動投稿する設定が残っていないか？
RPA／Power Automateのタスクを“休暇モード”に切り替えるか、手動で一時停止
共有ドライブ・社内ファイル編
誰でも見られる「全社フォルダ」に個人情報や契約データが置きっぱなしになっていないか？
外部共有リンクが“無期限公開”状態になっていないか？
OneDriveやSharePointのアクセス権設定を確認

これらをチェックし、問題があれば事前に対処しておくことが重要です。

事故が起きたときの体制を決めておく

入念に準備していても、事故が起きる可能性がゼロになることはありません。万が一、年末年始などの人がいない状況で情報漏えいなどの事故が発生した場合、誰がどのように対応するのかをあらかじめ定めておく必要があります。

もちろん年末年始は通常とは違う対応が求められるため、特別な体制が必要になります。インシデント発見→報告→切り分け→対応といったフローを定め、その内容をドキュメント化しておくことをお勧めします。情シス任せにせず、部門ごとに「休暇モード」を共有する文化の醸成が不可欠です。

また、自動化ツールの異常検知ログの保存や、転送設定も休暇前に確認しておきましょう。

関連記事：「情報セキュリティ10大脅威 2025」発表！組織に対する脅威と対策
https://hypervoice.jp/ipa_threat_2025

まとめ

年末年始は人のいない時期を狙ったサイバー攻撃が増大する
業務を自動化する生成AIが原因で事故が起こる可能性もある
暇用モードの体制を整備し、チェックリストに沿ってリスクを確認する