パスワードリスト攻撃被害発覚時の緊急対応マニュアル【チェックリスト付き】

攻撃検知から2時間以内の超緊急対応

この2時間で、攻撃の拡大を防ぎ、証拠を保全し、対応体制を確立します。

最初の30分：状況把握と緊急隔離

発覚から10分以内にすべきこと

即座に実行する5つのアクション：

1. インシデント対応チームの招集（0-3分）

時刻	アクション	確認
T+0分	緊急連絡網で一斉通知発信	□
T+1分	Slack緊急チャンネル「#incident-YYYYMMDD」開設	□
T+2分	対策本部会議室確保（大会議室A）	□
T+3分	招集確認、不在者の代理指名	□

2. 被害アカウントの特定（3-5分）

確認コマンド例（実際の環境に合わせて調整）：
- 直近1時間の認証失敗ログ抽出
- 異常な成功ログイン（深夜、海外IP等）
- 短時間での複数アカウント試行

特に注意：VIPアカウント（経営層、管理者権限、財務担当）を最優先で確認

3. 緊急遮断措置（5-8分）

攻撃元IPアドレスの即座ブロック

ファイアウォール、WAF、アプリケーションレベルの3層でブロック。「念には念を」の精神で、複数箇所で遮断

不審なセッションの強制終了

該当アカウントの全セッションを無効化。「Kill All Sessions」を実行。正規ユーザーも一時的にログアウトされるが、安全優先

攻撃継続性の確認

リアルタイムログを監視し、新たな攻撃が発生していないか確認。1分間隔で失敗ログイン数をカウント

4. 証拠保全の開始（8-10分）

保全対象	方法	保存先	確認
認証ログ	フルダンプ	/forensics/auth/	□
アクセスログ	過去72時間分	/forensics/access/	□
WAFログ	攻撃パターン	/forensics/waf/	□
システム状態	スナップショット	/forensics/snapshot/	□

5. 初期影響評価（継続実施）

• アクセスされた可能性のあるデータ種別（個人情報、財務情報、技術情報）
• 金銭的被害の可能性（送金、購入、契約変更）
• 二次被害のリスク（メール送信、データ削除、設定変更）

10-30分での拡大防止措置

時刻	対応事項	担当	確認事項	完了
T+10分	全ユーザーパスワードリセット準備	システム管理者	一括変更スクリプト準備完了	□
T+15分	WAF/IPS設定強化	ネットワーク担当	攻撃パターンのシグネチャ登録	□
T+20分	関連システムの点検	アプリ担当	SSO連携システムの確認	□
T+25分	緊急パッチ適用検討	インフラ担当	CVEデータベース確認	□
T+30分	状況報告書第1版作成	対策本部長	経営層への速報準備	□

30分-2時間：被害範囲の特定

ログ分析による詳細調査

この段階で、攻撃の全容を把握します。慌てず、しかし迅速に。

認証ログの精査（優先度：最高）

過去72時間分の全認証ログを時系列で分析。特に注目すべきパターン：(1)深夜の大量試行、(2)1つのIPから複数アカウントへのアクセス、(3)普段と異なる地域からのログイン、(4)User-Agentの不自然な変化。これらをExcelやSplunkで可視化

アクセスログの確認（優先度：高）

不正ログインに成功したアカウントが、その後何にアクセスしたかを完全に追跡。特に危険な操作：(1)個人情報の大量ダウンロード、(2)管理画面へのアクセス、(3)設定変更、(4)他ユーザーの情報閲覧。1件でも該当があれば最優先対応

データベースログ確認（優先度：高）

SQLクエリログから、SELECT文（特にWHERE句なしの全件取得）、EXPORT系のコマンド、管理者権限での実行を重点確認。1000件以上のデータ取得があれば、情報漏洩として扱う

メールログ調査（優先度：中）

不正アクセスされたアカウントからの送信メールを全件確認。特に危険：(1)大量の宛先への一斉送信、(2)添付ファイル付きメール、(3)振込依頼などの金銭に関わる内容。ビジネスメール詐欺（BEC）への悪用は企業の信用を失墜させる

影響を受けたステークホルダーの特定

優先順位付けマトリックス：

カテゴリ	影響度	対象例	必要な対応	期限
最優先	極大	経理部門、購買担当、銀行API連携アカウント	即座に無効化+上長確認	10分以内
優先	大	個人情報DB閲覧可能、管理者権限保有	パスワード強制リセット	1時間以内
重要	中	一般業務システムユーザー	注意喚起+自主的変更促進	2時間以内
通常	小	情報参照のみの一般ユーザー	定期連絡で通知	24時間以内

並行して行う法的・コンプライアンス対応

2時間以内に必要な法的対応

法的対応を怠ると、後で大きな問題になります。同時並行で進めてください。

個人情報保護委員会への速報（努力義務→義務の可能性）

2022年4月の改正個人情報保護法により、報告が義務化されるケースが明確化。「個人の権利利益を害するおそれが大きい」場合は速報が必要。第一報は概要のみでOK。「速やかに」とは、認識から3〜5日が目安。様式は委員会Webサイトからダウンロード

警察への相談（サイバー犯罪相談窓口）

都道府県警察本部のサイバー犯罪対策課へ電話。被害額や影響範囲を簡潔に説明。被害届提出には、(1)被害の証拠、(2)被害額の算定、(3)会社の登記簿謄本が必要。初動が遅れると証拠が散逸するため、早期相談が重要

監督官庁への報告検討

金融業→金融庁、通信業→総務省、医療→厚生労働省など、業種別の報告義務を確認。上場企業は東証への適時開示（軽微基準の確認）も検討。IR部門と連携し、株価への影響を最小化

弁護士への相談（リーガルリスク評価）

顧問弁護士がいない場合は、サイバーセキュリティに詳しい弁護士を探す。日弁連のサイバーセキュリティ関連委員会メンバーなどが適任。(1)損害賠償リスク、(2)対外発表の内容確認、(3)契約違反の有無を確認

---

24時間以内の本格対応

初動対応が一段落したら、本格的な対策と対外対応の準備に入ります。

6時間以内：対策実施と通知準備

技術的対策の実施

システム面での対策優先順位：

1. 全ユーザーパスワード強制リセット（最優先）

実施項目	詳細	確認
一括リセット実行	全アカウントを対象、例外なし	□
新パスワード要件	12文字以上、3種類以上の文字種必須	□
履歴チェック	過去5回のパスワード再利用禁止	□
次回ログイン強制	初回ログイン時に必ず変更要求	□
通知メール送信	変更手順と理由を明記	□

2. 多要素認証の緊急有効化

管理者アカウント（即時必須）

例外なく全管理者にMFA強制。TOTPアプリ（Google Authenticator等）を標準とし、SMS認証はSIMスワップ攻撃のリスクがあるため非推奨

一般ユーザー（24時間以内）

段階的に有効化。まず重要部門から開始し、全社展開。選択肢：TOTP、SMS、メール認証から選択可能に。サポートデスクを増員して対応

レガシーシステム対応

MFA非対応の古いシステムは、VPN必須化やIPアドレス制限で代替。根本解決にはシステム更新が必要

3. セッション管理の強化

• 全既存セッションの即座無効化（ユーザーには事前通知）
• セッションタイムアウト：8時間→1時間に短縮
• 同時セッション数：最大3→1に制限
• IPアドレス変更時：再認証必須

4. 監視体制の強化

監視項目	閾値変更	アラート先
ログイン失敗	10回/時→3回/時	SOC+管理者
海外アクセス	通知のみ→自動ブロック	セキュリティチーム
大量データ取得	1000件→100件	即時エスカレーション
権限昇格	ログのみ→承認制	上長+セキュリティ

ステークホルダーへの通知文案作成

通知は迅速に、しかし慎重に。不適切な文面は二次被害を生みます。

被害ユーザー向け通知（最優先）

【件名】【重要】セキュリティ強化に伴うパスワード変更のお願い
【本文構成】(1)お詫び、(2)事実関係（詳細すぎない程度）、(3)お客様への影響、(4)取った対策、(5)お客様にお願いしたいこと（パスワード変更、不審メール注意）、(6)問い合わせ窓口、(7)今後の対策。感情的にならず、事実を淡々と

取引先向け通知（優先）

【送付先】主要取引先の窓口+情報システム部門
【内容】(1)影響範囲の説明（取引先データへの影響有無を明確に）、(2)ビジネス継続性（通常通り業務可能か）、(3)今後の情報提供スケジュール、(4)専用問い合わせ窓口（通常窓口とは別設置）

メディア向けプレスリリース（重要）

【構成】(1)発生日時と認知日時、(2)影響範囲（数値は確定後）、(3)原因（判明している範囲）、(4)対応状況、(5)再発防止策、(6)お詫び。憶測を避け、確定事実のみ記載。「～と思われる」「～の可能性」は使わない

従業員向け説明（並行実施）

【配信方法】全社メール+イントラネット掲載
【重要指示】(1)SNSでの言及禁止、(2)メディアから接触された場合は広報へ、(3)顧客から問い合わせを受けた場合の対応スクリプト、(4)今後の行動指針

12時間以内：詳細調査と原因分析

フォレンジック調査の実施

調査項目	調査手法	使用ツール例	期待される成果	所要時間
侵入経路特定	ログ相関分析	Splunk、ELK Stack	初期侵入の手口判明	4時間
攻撃手法分析	パケット解析	Wireshark、tcpdump	使用ツール・手法特定	3時間
被害データ特定	ファイル履歴追跡	auditd、Windows Event Log	漏洩データの完全リスト	6時間
内部不正調査	行動分析	UEBA、独自スクリプト	内部関与の有無確認	8時間
マルウェア調査	メモリ・ディスク解析	Volatility、Autopsy	永続化の有無確認	4時間

攻撃者プロファイリング

攻撃パターン分析

使用ツールの特定（Hydra、Medusa、THC-Hydra、Burp Suite等の痕跡確認）。リクエスト間隔から自動化レベルを評価（1秒未満なら確実に自動化）。試行されたパスワードリストから、どのような漏洩データを使用したか推定

地理的分析

MaxMind GeoIP等で攻撃元を特定。ただし、VPN/Proxy/Tor経由の可能性を考慮。攻撃時間帯から実際の活動地域を推定（例：日本時間深夜なら海外の可能性）。複数のIPが同じASN（Autonomous System Number）なら組織的攻撃の可能性

動機の推定

狙われたデータから推測：(1)金銭情報→金銭目的、(2)技術情報→産業スパイ、(3)個人情報→転売目的、(4)無差別→愉快犯やボット。過去の類似事例と照合し、既知のグループの可能性を検討

24時間以内：対外発表と本格復旧

記者会見・説明会の実施

メディア対応を誤ると、レピュテーション被害が拡大します。

発表内容の構成（60分想定）：

時間	内容	担当	ポイント
5分	事実関係の説明	広報責任者	時系列で簡潔に
10分	被害状況の詳細	CISO/CTO	技術的だが分かりやすく
10分	取った対策	対策本部長	具体的な対策を列挙
10分	再発防止策	経営層	投資額も含め本気度を示す
5分	謝罪と責任	CEO	誠実さと責任感を示す
20分	質疑応答	全員	想定問答集を準備

想定問答集（必ず準備）：

Q: なぜ防げなかったのか？

A: パスワードリスト攻撃は、正規の認証情報を使うため、完全な防御は困難です。しかし、多要素認証の導入が遅れていたことは反省しており、早急に対策を実施しています

Q: 個人情報は流出したのか？

A: 現時点で○○件のアカウントへの不正アクセスを確認していますが、大量のデータ持ち出しの痕跡は確認されていません。ただし、調査は継続中です

Q: 金銭的被害はあるのか？

A: 現時点で直接的な金銭被害は確認されていません。ただし、なりすましによる詐欺にご注意いただくよう、お客様に注意喚起しています

Q: 責任の所在は？

A: 最終的な責任は経営陣にあります。セキュリティ投資の判断が不十分だったことを深く反省し、体制を抜本的に見直します

Q: 同様の事態は他にもあるのか？

A: 今回の事案を受け、全システムの総点検を実施中です。問題が発見されれば、速やかに対策を実施し、必要に応じて公表します

---

72時間以内の安定化対応

最初の嵐が過ぎたら、二次被害の防止と正常化に注力します。

48時間以内：二次被害の防止

派生的な攻撃への対策

インシデント公表後は、便乗した攻撃が必ず発生します。

フィッシング詐欺への警戒（最重要）

事件に便乗したフィッシングメールが大量発生。「パスワード変更はこちら」などの偽メールに注意。対策：(1)公式連絡手段の再周知（メールでなく、Webサイトから）、(2)偽サイトの監視強化（Google Alertsや専門サービス）、(3)お客様への注意喚起（具体的な偽メール例を提示）

ソーシャルエンジニアリング対策

「セキュリティ部門の者ですが」と電話でパスワードを聞き出すソーシャルエンジニアリングが増加。対策：(1)電話での本人確認手順の厳格化、(2)折り返し電話の徹底、(3)従業員への緊急教育実施

関連システムの防御強化

同じパスワードを使い回している可能性のある他システムも危険。グループ会社、関連会社、取引先にも注意喚起。業界ISAC（Information Sharing and Analysis Center）での情報共有も実施

SNSでの誹謗中傷対策

Twitter、Facebookでの炎上リスク。専門業者によるソーシャルリスニングを実施。必要に応じて、正確な情報を継続発信

72時間以内：正常化と監視継続

システム復旧確認項目

正常化の判断基準を明確にし、段階的に平常運用に戻します。

確認項目	正常化基準	現状	確認方法	判定
不正アクセス	0件/時（24時間継続）	___件	SOCリアルタイムモニタ	□
パスワード変更率	95%以上	___%	システムレポート	□
MFA有効化率	80%以上（管理者100%）	___%	管理コンソール	□
問い合わせ数	通常の2倍以下	___件/日	ヘルプデスク統計	□
システム負荷	CPU使用率80%以下	___%	監視ツール	□
エラー率	通常時+1%以内	___%	APMツール	□

段階的な制限解除：

1. 第1段階（48時間後）：海外IPブロックを一部解除
2. 第2段階（72時間後）：セッションタイムアウトを2時間に延長
3. 第3段階（1週間後）：レート制限を通常値に戻す
4. 第4段階（2週間後）：強化監視を通常監視に移行

---

1週間以内の再発防止策実装

緊急対応が一段落したら、根本原因の分析と恒久対策に着手します。

根本原因分析（RCA）の実施

なぜなぜ分析による真因追求

表面的な対策では、同じ問題が繰り返されます。真の原因を突き止めましょう。

5段階のなぜ（5 Whys）：

レベル	なぜ？	答え	対策の方向性
1	なぜ不正アクセスされた？	パスワードリスト攻撃を受けた	攻撃への対策
2	なぜ攻撃が成功した？	パスワード使い回しユーザーがいた	ユーザー行動の改善
3	なぜ使い回していた？	パスワードポリシーが不十分だった	ポリシーの強化
4	なぜポリシーが不十分？	リスク評価が甘かった	リスク評価の見直し
5	なぜ評価が甘かった？	セキュリティ文化が醸成されていなかった	組織文化の変革

真因：セキュリティを「コスト」としてしか見ていなかった組織文化

短期対策の実施

1週間で実装可能な対策

すぐにできることから着実に実施します。

技術的対策（3日以内）

・WAF強化：新規ルール20個追加、閾値を50%厳格化
・レート制限：1分10回→3回に変更（段階的に緩和予定）
・IPレピュテーション導入：AbuseIPDB、Shodan等と連携
・異常検知アルゴリズム改善：機械学習モデルの再学習
・ログ保存期間延長：30日→90日（コンプライアンス要件確認）

運用対策（5日以内）

・24時間監視体制：SOCとの連携強化、SLA見直し
・インシデント対応手順更新：今回の教訓を反映
・エスカレーション基準明確化：判断に迷わない基準作り
・定期訓練の計画：月次でテーブルトップ演習実施

人的対策（7日以内）

・全社セキュリティ研修：1時間の必須研修を実施
・パスワード管理ツール導入：1Passwordの全社展開開始
・セキュリティ意識調査：現状把握と改善ポイント特定
・報奨制度導入：脆弱性発見者への報奨金制度

---

1ヶ月後の総括と改善

冷静に振り返り、組織として学習することが重要です。

最終報告書の作成

報告書に含めるべき要素

セクション	内容	ページ数目安	主な読者
エグゼクティブサマリー	概要、影響、対策、教訓、投資計画	2-3	経営層、取締役会
インシデント詳細	時系列、技術詳細、攻撃手法、被害範囲	10-15	技術部門、監査部門
対応内容	初動、技術対策、対外対応、効果測定	8-10	CSIRT、運用部門
再発防止策	短期（実施済）、中期（3ヶ月）、長期（1年）	5-7	全社
付録	ログサンプル、証跡、参考文献、用語集	適宜	専門家、監査

報告書作成のポイント：

• 事実と推測を明確に区別
• 失敗も含めて正直に記載
• 改善提案は具体的かつ実現可能に
• 図表を多用して分かりやすく

教訓の組織知化

同じ失敗を繰り返さないために、知識を組織に定着させます。

ナレッジとしての蓄積方法

• インシデント対応プレイブック更新：今回の時系列対応をテンプレート化
• 社内Wiki/ポータルでの共有：FAQ形式で教訓をまとめる
• 定期的な振り返り会：3ヶ月後、6ヶ月後、1年後に実施
• 他社事例との比較分析：同業他社の事例と比較し、ベストプラクティス抽出
• 業界団体での情報共有：ISAC、JPCERT/CCでの発表

---

長期的な体制強化

一過性の対策でなく、継続的な改善が必要です。

CSIRT機能の強化

理想的なCSIRT体制

平時の体制（通常時）

コアメンバー3名（専任1名＋兼任2名）体制。役割：(1)脅威情報の収集と分析、(2)脆弱性管理とパッチ適用判断、(3)インシデント対応訓練の企画実施、(4)セキュリティポリシーの策定と更新。外部のCTI（Cyber Threat Intelligence）サービスも活用

有事の体制（インシデント発生時）

15名体制に即座に拡大。構成：技術対応班（5名）、調査分析班（4名）、対外対応班（3名）、記録班（3名）。各班にリーダーとサブリーダーを配置。24時間対応のためのシフト体制も準備

外部連携体制

平時から関係構築：(1)セキュリティベンダー（MSS、SOC）、(2)フォレンジック業者（デジタルフォレンジック研究会会員企業）、(3)法律事務所（TMI総合法律事務所等）、(4)PR会社（危機管理広報専門）。年間契約でリテイナーフィーを支払い、緊急時の即応体制を確保

投資計画と予算確保

セキュリティ投資は、もはや「コスト」ではなく「必須投資」です。

セキュリティ投資の優先順位

投資項目	優先度	予算規模	期待効果	ROI
SIEM/SOAR導入	最高	初期1,000万円+年200万円	検知能力50%向上、対応時間60%短縮	2年
EDR全社展開	高	500万円（500台）	エンドポイント可視化100%	1年
ペネトレーションテスト	高	300万円/回×年2回	脆弱性の事前発見率80%	即効
セキュリティ教育強化	中	200万円/年	インシデント50%削減	6ヶ月
認証基盤刷新（パスワードレス）	中	2,000万円	パスワード攻撃を根本解決	3年

---

関係機関との連携

単独での対応には限界があります。適切な外部連携が被害を最小化します。

外部機関への報告と協力

報告先機関と報告内容

個人情報保護委員会（法的義務）

【報告基準】要配慮個人情報の漏洩、不正利用目的のおそれ、財産的被害のおそれ、1,000人超の漏洩
【報告期限】速報：認識から3〜5日以内、確報：30日以内（詳細調査結果含む）
【報告方法】委員会Webサイトの専用フォーム、またはメール/FAX

JPCERT/CC（任意だが推奨）

【報告内容】インシデントの概要、IOC（Indicator of Compromise）情報
【メリット】技術的アドバイス、他組織への注意喚起（匿名化）、海外CERT との連携
【連絡先】info@jpcert.or.jp（PGP暗号化推奨）

IPA（高度な攻撃の場合）

【J-CRAT】標的型攻撃の場合、無料で支援を受けられる
【相談内容】攻撃の手口、対策のアドバイス、マルウェア解析
【連絡先】j-crat@ipa.go.jp

警察（犯罪性がある場合）

【相談先】都道府県警察本部サイバー犯罪対策課
【必要書類】被害届、証拠資料（ログ、スクリーンショット）、被害額算定書
【注意点】証拠保全を優先、原本性の確保

業界内での情報共有

ISAC等での共有内容

同業他社を攻撃から守り、業界全体のセキュリティレベルを向上させます。

共有すべき情報（匿名化して共有）：

• 攻撃の痕跡（IOC）：IPアドレス、ドメイン、ハッシュ値、User-Agent
• 攻撃手法（TTP）：Tactics, Techniques, and Procedures（MITRE ATT&CK準拠）
• 効果的だった対策：WAFルール、検知ロジック、設定値
• 失敗した対策：なぜ効かなかったか、改善案
• ベストプラクティス：今回得られた知見、推奨事項

---

まとめ：72時間を乗り切るための心得

インシデント対応の鉄則

1. パニックにならない：このマニュアルに従って粛々と対応
2. 証拠を保全する：後で「あの時のログが...」とならないように
3. 隠さない：隠蔽は必ず露見し、ダメージが10倍になる
4. 一人で抱えない：チームで対応、外部も頼る
5. 記録を残す：すべての判断、行動を記録

平時の準備が有事を制する

• インシデント対応計画の策定と訓練
• 連絡先リストの最新化（携帯番号含む）
• バックアップとリストアの定期テスト
• ログ保存期間の確保（最低90日）
• 外部ベンダーとの事前契約

最後に

パスワードリスト攻撃は、今や最も一般的な攻撃手法の一つです。しかし、適切な初動対応と準備があれば、被害を最小限に抑えることができます。

このマニュアルを印刷して、すぐに手に取れる場所に置いてください。そして、願わくば使う日が来ないことを。しかし、その日が来たら、冷静に、着実に、このマニュアルに従って行動してください。

あなたの迅速で適切な対応が、組織と顧客を守ります。

---

【重要なお知らせ】

• 本マニュアルは一般的なガイドラインであり、個別の状況に応じた判断が必要です
• 法的要件は2024-2025年時点のものであり、最新情報を確認してください
• インシデント対応は組織の規模、業種により異なる部分があります
• 定期的な訓練と見直しを推奨します