不正アクセスされたら？緊急対処法

2025年11月03日作成

コラム

不正アクセスの被害に気づいた瞬間から、最初の24時間の対応が被害の拡大を防ぎ、早期復旧の鍵となります。しかし、多くの企業では「何から手をつければいいか分からない」というパニック状態に陥ります。本記事では、インシデント対応の専門家が実際に使用している緊急対処法を、時系列のチェックリスト形式で提供します。落ち着いて、一つずつ確実に対応していきましょう。

最初の24時間でやるべきこと

不正アクセスの被害に気づいた瞬間、多くの人はパニックに陥ります。しかし、最初の24時間の対応が、被害の拡大防止と早期復旧の成否を決定します。深呼吸をして、以下のステップを一つずつ確実に実行していきましょう。

0-1時間：緊急対応フェーズ

ネットワーク遮断の判断基準

不正アクセスを発見したら、まずネットワーク遮断の必要性を判断します。すべてのケースで即座に遮断すべきではありません。状況により適切な対応が異なるため、以下のフローチャートに従って判断してください。

【遮断判断フローチャート】
=========================================
Q1: ランサムウェア感染の疑い？
  YES → 即座に物理遮断（LANケーブル抜去）
  NO → Q2へ

Q2: 情報が外部送信中？
  YES → 即座に物理遮断（通信を断つ）
  NO → Q3へ

Q3: 被害が拡大中？
  YES → 論理遮断を実施（ファイアウォール設定）
  NO → 監視しながら証拠保全
=========================================

ランサムウェア感染の兆候がある場合は、一秒を争います。画面に身代金要求メッセージが表示された、ファイルの拡張子が変わった、ファイルが開けなくなったなどの症状があれば、迷わず物理遮断を実行します。

情報が外部に送信されている場合も、即座の物理遮断が必要です。タスクマネージャーやリソースモニターで異常な通信を確認したら、データ流出を防ぐため、すぐにネットワークを切断します。

一方、すでに攻撃が完了している場合や、不正アクセスの痕跡を調査している段階では、証拠保全を優先し、慎重に対応します。攻撃者に気づかれると、証拠を消去される可能性があるためです。

物理的遮断の実施方法

物理的遮断は、以下の順序で実施します：

1. LANケーブル抜去（最優先）

感染が疑われるPCのLANケーブルを即座に抜く
同じネットワークセグメントの隣接PCも念のため遮断
Wi-Fi接続も必ず無効化（機内モードON）
有線・無線の両方を確実に遮断

2. 電源は切らない（重要）
これは多くの人が間違える重要なポイントです。電源を切ってはいけません。理由は3つあります：

メモリ上の証拠（実行中のプロセス、ネットワーク接続情報）が消失
ランサムウェアの場合、暗号化処理が完了してしまう可能性
ディスクの暗号化により、再起動後にアクセス不可になるリスク

ノートPCの場合は、バッテリー駆動に切り替わることに注意し、ACアダプタは接続したまま、ネットワークのみを遮断します。

3. 周辺機器の扱い

USBメモリやポータブルHDDは絶対に抜かない（証拠保全のため）
プリンターへの出力も停止
共有フォルダへのアクセスも遮断

初期証拠の確保手順

ネットワーク遮断と並行して、消失しやすい証拠を優先的に確保します。この段階での証拠収集は、後の原因究明と対策立案に不可欠です。

画面の撮影は最も簡単で確実な証拠保全方法です：

スマートフォンで画面全体を撮影（デジカメでも可）
エラーメッセージ、警告画面は特に重要
撮影時に時刻が分かるよう、腕時計や別のPCの時刻表示も一緒に撮影
複数角度から撮影し、画面の内容が明確に読み取れることを確認

揮発性データの保存も重要です。以下のコマンドで情報を収集します：

# Windows コマンドプロンプト（管理者権限で実行）
# ネットワーク接続状態の保存
netstat -ano > C:\evidence\netstat_%date:~0,4%%date:~5,2%%date:~8,2%_%time:~0,2%%time:~3,2%.txt

# ARPテーブルの保存
arp -a > C:\evidence\arp_%date:~0,4%%date:~5,2%%date:~8,2%_%time:~0,2%%time:~3,2%.txt

# 実行中プロセスの記録
tasklist /v > C:\evidence\tasklist_%date:~0,4%%date:~5,2%%date:~8,2%_%time:~0,2%%time:~3,2%.txt

# システム情報の取得
systeminfo > C:\evidence\systeminfo_%date:~0,4%%date:~5,2%%date:~8,2%_%time:~0,2%%time:~3,2%.txt

これらのコマンドは、USBメモリなど外部メディアに保存することが理想的です。感染PCのローカルディスクに保存すると、攻撃者に削除される可能性があります。

1-6時間：状況把握フェーズ

初動対応が完了したら、次は被害の全体像を把握します。この段階では、冷静かつ体系的に情報を収集し、適切な対応方針を決定します。

被害範囲の特定方法

被害範囲の特定は、以下の3つの観点から実施します：

感染端末の特定: □ 異常動作するPCのリスト作成（部署、利用者、IPアドレス、症状）
□ 最初の感染端末（Patient Zero）の特定
□ 感染経路の推定（メール、Web、USB等）
□ 感染拡大のタイムライン作成
□ ネットワーク図と照合し、リスクのあるセグメントを特定
データへの影響調査: □ 重要データへのアクセス可能性確認
□ ファイルサーバーの各フォルダの状態確認
□ データベースへの接続テスト（読み取り専用で）
□ バックアップシステムの無事確認（感染していないか）
□ クラウドストレージの同期状況確認
外部への影響確認: □ 顧客データベースへのアクセスログ確認
□ 個人情報を含むシステムの被害有無
□ 取引先との接続システムへの影響調査
□ 公開Webサイトの改ざん有無（フィッシングサイト化されていないか）
□ メールシステムからのスパム送信有無

影響調査コマンド集

技術担当者は、以下のコマンドを使用して詳細な調査を行います：

Linuxシステムでの調査コマンド：

# 最近変更されたファイルの検索（過去24時間）
find / -mtime -1 -type f 2>/dev/null | head -50

# 不審なプロセスの特定（CPU使用率順）
ps aux | grep -v grep | sort -nrk 3,3 | head -10

# メモリ使用量の多いプロセス
ps aux | sort -nrk 4,4 | head -10

# ログイン履歴の確認
last -n 50
lastlog
who -a

# 不審なcronジョブ
crontab -l
ls -la /etc/cron.*

# ネットワーク接続の確認
ss -tulpn
netstat -tulpn

Windows PowerShellでの調査コマンド：

# セキュリティイベントログの確認
Get-EventLog -LogName Security -Newest 100 | Where-Object {$_.EventID -in 4624,4625,4634,4672}

# 最近作成されたファイル
Get-ChildItem -Path C:\ -Recurse -ErrorAction SilentlyContinue | 
	Where-Object {$_.CreationTime -gt (Get-Date).AddDays(-1)}

# 起動中のサービス（通常と異なるもの）
Get-Service | Where-Object {$_.Status -eq "Running"} | 
	Select-Object Name, DisplayName, StartType

# スケジュールタスクの確認
Get-ScheduledTask | Where-Object {$_.State -eq "Ready"}

# ファイアウォールルールの確認
Get-NetFirewallRule | Where-Object {$_.Enabled -eq $true -and $_.Direction -eq "Inbound"}

これらのコマンド結果は、タイムスタンプ付きでファイルに保存し、後の分析に使用します。

6-24時間：対策実施フェーズ

状況把握が完了したら、被害の拡大防止と二次被害の予防のための対策を実施します。この段階では、優先順位を明確にして、効率的に作業を進めることが重要です。

パスワード一斉変更の優先順位

アカウント乗っ取り（ATO）を防ぐため、パスワードの変更は必須ですが、すべてを同時に変更するのは現実的ではありません。以下の優先順位で実施します：

1. 最優先（1時間以内に変更）

ドメイン管理者アカウント（Active Directory管理者）
データベース管理者アカウント（sa、root等）
金融系システムのアカウント（銀行API、決済システム）
顧客データベースへのアクセスアカウント
クラウドサービスの管理者アカウント（AWS、Azure、GCP）

2. 優先（6時間以内に変更）

一般ユーザーのドメインアカウント
メールアカウント（特に管理職）
主要なSaaSサービス（Microsoft 365、Google Workspace）
VPNアクセスアカウント
リモートデスクトップアカウント

3. 通常（24時間以内に変更）

開発環境のアカウント
テスト環境のアカウント
社内限定システムのアカウント
共有アカウント（必要性を見直し）
APIキー、アクセストークンの再発行

パスワード変更時は、多要素認証の設定も同時に見直し、可能な限り有効化します。

セキュリティパッチ適用手順

既知の脆弱性を悪用された可能性が高い場合、緊急パッチの適用が必要です：

脆弱性スキャンの実施
- OpenVAS、Nessusなどでスキャン
- Windows Update、パッケージ管理ツールで更新確認
- 発見された脆弱性のCVSS スコアを確認
優先度に応じた適用計画
- CVSS 9.0以上：即座に適用
- CVSS 7.0-8.9：24時間以内
- CVSS 7.0未満：計画的に適用
テスト環境での検証
- 可能であれば、本番環境と同じ構成で検証
- 最低限、1台でテスト適用
- 業務アプリケーションの動作確認
本番環境への適用
- 業務影響の少ない時間帯を選択
- ロールバック手順を準備
- 段階的適用（全台同時は避ける）
適用後の動作確認
- 基本機能の動作テスト
- パフォーマンスの確認
- ログにエラーが出ていないか確認

証拠保全の方法

デジタル証拠の保全

デジタル・フォレンジックの観点から、証拠の完全性（Integrity）を保ちながら保全することが重要です。法的手続きで使用する可能性がある場合は、特に慎重に作業する必要があります。

ログファイルの正しいコピー方法

ログファイルは、攻撃の痕跡を示す重要な証拠です。改ざんや削除を防ぐため、以下の手順で保全します：

# Linux環境での証拠保全手順
# 1. 保全前のハッシュ値を記録
md5sum /var/log/secure > /evidence/hash_before.txt
sha256sum /var/log/secure >> /evidence/hash_before.txt

# 2. タイムスタンプを保持してコピー
cp -p /var/log/secure /evidence/secure_backup_$(date +%Y%m%d_%H%M%S)

# 3. コピー後のハッシュ値を記録
md5sum /evidence/secure_backup_* > /evidence/hash_after.txt
sha256sum /evidence/secure_backup_* >> /evidence/hash_after.txt

# 4. ハッシュ値の一致を確認
diff /evidence/hash_before.txt /evidence/hash_after.txt

# Windows環境での証拠保全
# PowerShellを管理者権限で実行
# 1. イベントログのエクスポート
wevtutil epl Security C:\Evidence\Security_$(Get-Date -Format "yyyyMMdd_HHmmss").evtx

# 2. ハッシュ値の計算
Get-FileHash -Path C:\Evidence\*.evtx -Algorithm SHA256 | 
	Export-Csv -Path C:\Evidence\hash_evidence.csv -NoTypeInformation

# 3. 証拠の書き込み防止
Set-ItemProperty -Path C:\Evidence\*.* -Name IsReadOnly -Value $true

重要なのは、オリジナルファイルには触らないことです。必ずコピーを作成し、コピーに対して分析を行います。

保全すべきログの優先順位

限られた時間で効率的に証拠を収集するため、優先順位を設定します：

優先度	ログ種別	保存場所（例）	重要度の理由
最高	Webアクセスログ	/var/log/httpd/ /var/log/nginx/	侵入経路、攻撃手法の特定
高	認証ログ	/var/log/secure /var/log/auth.log	不正ログイン、権限昇格の痕跡
高	ファイアウォールログ	/var/log/firewalld/ pfSenseログ	外部との通信記録
中	データベースログ	/var/lib/mysql/ /var/lib/postgresql/	データアクセスの記録
中	メールログ	/var/log/maillog Exchange ログ	フィッシングメール、情報送信
低	アプリケーションログ	/var/log/app/ 各種アプリログ	動作異常の記録

タイムスタンプ保持の重要性

デジタル証拠において、タイムスタンプは極めて重要です。Linuxシステムでは、ファイルに3つの時刻情報があります：

atime（Access Time）：最後にファイルが読み取られた時刻
mtime（Modify Time）：最後にファイルの内容が変更された時刻
ctime（Change Time）：最後にファイルのメタデータが変更された時刻

証拠保全時は、これらのタイムスタンプを保持する必要があります：

# タイムスタンプを保持したコピー
cp -p original_file backup_file

# tarアーカイブでの保存（最も推奨）
tar -czf evidence_$(date +%Y%m%d_%H%M%S).tar.gz \
	--preserve-permissions \
	--preserve-times \
	/var/log/

# rsyncでの保存（大量ファイルの場合）
rsync -avzp /var/log/ /evidence/logs/

# メタデータも含めた完全バックアップ
dd if=/dev/sda1 of=/evidence/disk_image.dd bs=4M

物理的証拠の確保

デジタル証拠と同様に、物理的な機器も重要な証拠となります。適切な手順で確保し、改ざんを防ぐことが必要です。

機器のラベリング方法

押収した機器には、必ず以下の情報を記載したラベルを貼付します：

【証拠ラベル記載例】
=====================================
機器ID：PC-001
機器種別：デスクトップPC
メーカー/型番：Dell OptiPlex 7090
シリアル番号：ABC123DEF456
押収日時：2025/11/01 14:30
押収場所：本社3F開発室 座席番号A-15
押収時の状態：電源ON、ログイン画面表示
押収者：セキュリティ部 山田太郎
立会人：開発部 鈴木一郎
備考：ランサムウェア感染の疑い
　　　画面に身代金要求メッセージ表示
=====================================

ラベルは、機器本体と証拠品袋の両方に貼付し、写真撮影も行います。

Chain of Custody（証拠の連鎖）作成

法的手続きで証拠として使用する場合、Chain of Custody（証拠の連鎖）の文書化が不可欠です：

証拠品の受け渡し記録
- 日時、場所、渡した人、受け取った人
- 受け渡しの目的（分析、保管等）
- 両者のサイン
保管場所の変更記録
- 移動日時、移動前後の場所
- 移動理由、責任者のサイン
アクセス者の記録
- アクセス日時、目的、作業内容
- 変更があった場合はその詳細
改ざん防止措置の記録
- 封印シールの番号、写真
- 保管庫の施錠記録
- 監視カメラ映像の保存

フォレンジック調査

本格的な原因究明には、専門的なフォレンジック調査が必要です。社内で実施するか、外部専門業者に委託するかを判断します。

社内調査vs外部委託の判断基準

判断要素	社内調査	外部委託
コスト	人件費のみ	50-500万円
期間	1-2週間	3-5日
専門性	限定的	高度な技術と経験
使用ツール	無料/安価なツール	高価な専門ツール
法的証拠能力	低い	高い（鑑定書発行）
適用ケース	内部確認、軽微な事案	訴訟準備、重大事案

フォレンジック業者選定チェックリスト

外部委託する場合は、以下の点を確認して業者を選定します：

[ ] デジタル・フォレンジック研究会の会員企業である
[ ] 24時間365日の緊急対応が可能
[ ] 裁判での証拠採用実績がある
[ ] 機密保持契約（NDA）の締結が可能
[ ] 報告書のサンプルを事前に確認できる
[ ] 費用体系が明確（追加料金の有無）
[ ] 対応可能な機器・OSが要件を満たす
[ ] 調査期間の目安が明示されている
[ ] 国際的な認証（GCFA、GNFA等）保有者が在籍
[ ] 警察・検察との連携実績がある

警察・関係機関への届出

警察への被害届

サイバー犯罪は、必ず警察に被害届を提出すべきです。「どうせ犯人は捕まらない」と諦めず、社会全体のサイバーセキュリティ向上のためにも届出は重要です。

サイバー犯罪相談窓口一覧

主要都道府県のサイバー犯罪対策課の連絡先：

地域	窓口	電話番号	対応時間
警視庁	サイバー犯罪対策課	03-3431-8109	平日9:00-17:00
大阪府警	サイバー犯罪対策課	06-6941-0030	平日9:00-17:00
愛知県警	サイバー犯罪対策課	052-951-1611	平日9:00-17:00
福岡県警	サイバー犯罪対策課	092-641-4141	平日9:00-17:00
北海道警	サイバー犯罪対策課	011-241-3076	平日9:00-17:00

全国共通の相談ダイヤル「#9110」でも相談可能です。

被害届提出時の必要資料

警察署に行く前に、以下の資料を準備します：

【被害届提出時の持参資料チェックリスト】
==========================================
□ 被害状況説明書（A4用紙2-3枚程度）
  - 発生日時、発見の経緯
  - 被害の概要、推定被害額
  - 実施した対応の記録

□ 技術的証拠（CD-RまたはUSBメモリ）
  - ログファイル（テキスト形式）
  - 画面キャプチャ（JPEGまたはPNG）
  - ハッシュ値一覧

□ 画面キャプチャの印刷物
  - 身代金要求画面
  - エラーメッセージ
  - 不正アクセスの痕跡

□ 被害額算定根拠
  - 復旧費用の見積書
  - 営業損失の計算書
  - 対応人件費の概算

□ 会社関係書類
  - 会社登記簿謄本（3ヶ月以内）
  - 担当者の名刺
  - 担当者の身分証明書

□ 委任状（代理人の場合）
  - 代表者印の押印必須
==========================================

IPA（情報処理推進機構）への届出

IPAへの届出は、統計情報として活用され、日本全体のセキュリティ向上に貢献します。また、技術的なアドバイスを受けることもできます。

届出フォーム記入例

IPAのWebサイトから届出が可能です。以下は記入例です：

【基本情報】
==========================================
発生日時：2025年11月1日 10:30頃
発見日時：2025年11月1日 13:00
被害システム：自社ECサイト決済システム
被害規模：顧客情報約1万件
業種：小売業
従業員数：50名

【攻撃手法】
種別：SQLインジェクション
侵入経路：Webアプリケーションの脆弱性
　　　　　（入力値検証の不備）
被害内容：個人情報（氏名、住所、電話番号）の窃取
　　　　　クレジットカード情報は暗号化により無事

【対応状況】
緊急対応：該当システムを14:00に停止
　　　　　WAFの緊急導入
恒久対策：脆弱性修正パッチを開発中
　　　　　11月3日に適用予定
　　　　　ペネトレーションテスト実施予定

【その他】
警察への届出：実施済み（11月1日15:00）
顧客への通知：11月2日に実施予定
==========================================

個人情報保護委員会への報告

個人情報の漏洩が発生した場合、個人情報保護委員会への報告は法的義務です。データ漏洩の規模により、報告期限が異なります。

報告期限と要件

速報（72時間以内）が必要なケース：

要配慮個人情報（病歴、犯罪歴等）が含まれる
不正利用により財産的被害が生じるおそれ（クレジットカード情報等）
不正の目的をもって行われた漏洩
1,000人を超える個人データの漏洩

確報（30日以内、不正の場合は60日以内）の内容：

詳細な原因分析結果
影響範囲の確定
再発防止策の具体的内容
本人への通知状況
問い合わせ対応状況

報告は、個人情報保護委員会のWebサイトから電子申請で行います。

関係者への連絡と公表

顧客への通知

個人情報が漏洩した場合、本人への通知は原則として義務です。二次被害を防ぐためにも、迅速かつ適切な通知が重要です。

通知タイミングの判断

通知タイミングは、以下のフローで判断します：

【通知タイミング判断フロー】
==========================================
1. 二次被害の可能性評価
   高い（金銭被害等）→ 即座に通知（24時間以内）
   中程度 → 48時間以内に通知
   低い → 詳細確認後に通知（72時間以内）

2. 通知方法の選択
   緊急度：最高 → 電話＋メール＋郵送
   緊急度：高 → メール＋郵送
   緊急度：中 → メールまたは郵送
   緊急度：低 → Webサイト掲載＋メール

3. 公表範囲の決定
   影響者が特定可能 → 該当者のみに個別通知
   影響者が不明確 → 全顧客に通知
   社会的影響大 → プレスリリース
==========================================

通知文書テンプレート

お客様への通知は、分かりやすく、具体的な対処法を含めることが重要です：

件名：【重要】不正アクセスによる個人情報流出に関するお詫びとお知らせ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
○○○○株式会社
お客様各位

平素より弊社サービスをご利用いただき、誠にありがとうございます。

この度、弊社システムへの不正アクセスにより、お客様の個人情報が
流出した可能性があることが判明いたしました。
お客様には多大なご迷惑とご心配をおかけしましたことを
深くお詫び申し上げます。

■ 1. 事実経緯
2025年11月1日（金）午前10時30分頃、弊社ECサイトのシステムに
外部からの不正アクセスがあり、お客様情報の一部が不正に
閲覧された可能性があることが判明いたしました。

現在、不正アクセスは遮断されており、これ以上の被害拡大は
ございません。

■ 2. 流出した可能性がある情報
以下の情報が流出した可能性があります：
・お名前
・ご住所  
・電話番号
・メールアドレス
・購入履歴

※以下の情報は暗号化されており、流出しておりません：
・パスワード（ハッシュ化済み）
・クレジットカード情報（トークン化済み）

■ 3. 現在の対応状況
・不正アクセスの遮断：完了（11月1日 14:00）
・警察への被害届：提出済み（11月1日 15:00）
・原因究明：外部専門機関による調査中
・再発防止策：セキュリティ強化を実施中

■ 4. お客様へのお願い
念のため、以下の対応をお願いいたします：

(1) パスワードの変更
他のサービスで同じパスワードをご利用の場合は、
速やかに変更をお願いいたします。

(2) 不審なメールにご注意
弊社を装った不審なメールが送信される可能性があります。
心当たりのないメールは開かずに削除してください。

(3) 身に覚えのない請求にご注意
クレジットカードの利用明細をご確認いただき、
身に覚えのない請求があった場合は、カード会社に
ご連絡ください。

■ 5. お問い合わせ窓口
本件に関するお問い合わせは、下記窓口にて承っております。

【専用お問い合わせ窓口】
電話番号：0120-XXX-XXX（フリーダイヤル）
受付時間：9:00～21:00（土日祝日も対応）
メール：security2025@example.co.jp

■ 6. 今後の対策
弊社では、再発防止に向けて以下の対策を実施いたします：
・セキュリティ監視の24時間365日体制への強化
・定期的な脆弱性診断の実施
・全従業員へのセキュリティ教育の徹底
・外部専門機関によるセキュリティ監査

この度は、お客様に多大なるご迷惑をおかけしましたことを
重ねて深くお詫び申し上げます。
今後このような事態が発生しないよう、全社一丸となって
セキュリティ強化に取り組んでまいります。

2025年11月2日
○○○○株式会社
代表取締役社長 ○○ ○○
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

プレスリリース作成

社会的影響が大きい場合は、プレスリリースによる公表が必要です。透明性を保ち、憶測による風評被害を防ぐ効果があります。

記載すべき6W1H

プレスリリースには、以下の要素を必ず含めます：

When（いつ）
- 発生日時：2025年11月1日 10:30頃
- 発覚日時：2025年11月1日 13:00
- 対応開始：2025年11月1日 14:00
Where（どこで）
- 被害システム：自社ECサイト
- 影響範囲：顧客データベース
Who（誰が）
- 攻撃者：不明（調査中）
- 被害者：当社顧客約1万名
What（何を）
- 被害内容：個人情報の不正閲覧
- 流出情報：氏名、住所、電話番号等
Why（なぜ）
- 原因：Webアプリケーションの脆弱性
- 詳細：SQLインジェクション攻撃
How（どのように）
- 攻撃手法：外部からの不正アクセス
- 侵入経路：インターネット経由
How much（どの程度）
- 被害規模：顧客1万人分
- 金銭的被害：調査中

内部関係者への報告

社内への情報共有も重要です。特に経営層への迅速な報告は、適切な意思決定のために不可欠です。

経営層への報告フォーマット

経営層向けには、要点を簡潔にまとめた報告書を作成します：

【エグゼクティブサマリー】
==========================================
報告日時：2025年11月1日 16:00
報告者：情報システム部長 山田太郎

■ 発生事象
不正アクセスによる顧客情報流出

■ 影響度
高（顧客1万人の個人情報）

■ 現在の対応状況
・初動対応：完了（システム停止、証拠保全）
・原因調査：実施中（外部専門家起用）
・顧客通知：準備中（11月2日実施予定）

■ 必要な意思決定事項
1. 公表タイミングの承認
   →11月2日10:00のプレスリリースを提案

2. 対策予算の承認
   →緊急対策費500万円の承認をお願いします
   （内訳：フォレンジック200万、システム改修200万、
		  広報対応100万）

3. 外部専門家の起用承認
   →○○セキュリティ社への委託（見積添付）

■ 今後の予定
11/2 10:00 プレスリリース
11/2 14:00 顧客への一斉通知
11/3 脆弱性対策完了
11/10 最終報告書提出

■ リスク評価
・レピュテーションリスク：中
・法的リスク：低（適切に対応中）
・財務リスク：中（対応費用500万円）
==========================================

復旧作業の進め方

システム復旧手順

被害状況の把握と初期対応が完了したら、計画的なシステム復旧を進めます。拙速な復旧は、証拠の消失や二次被害を招く可能性があるため、慎重に進めることが重要です。

復旧前チェックリスト

システムを復旧する前に、以下の項目を必ず確認します：

[ ] 攻撃者の侵入経路を完全に特定できている
[ ] すべてのバックドアが除去されている
[ ] 脆弱性の修正が完了している
[ ] クリーンなバックアップが確保されている
[ ] 詳細な復旧手順書が作成されている
[ ] 問題発生時のロールバック手順が準備されている
[ ] 復旧作業の役割分担が明確になっている
[ ] 復旧後の監視体制が整っている
[ ] ステークホルダーへの連絡体制が確立している
[ ] 復旧作業のログ記録体制が整っている

段階的復旧プロセス

システム復旧は、リスクを最小化するため段階的に実施します：

1. 検証環境での動作確認（Day 1-2）

本番環境と同等の検証環境を構築
バックアップからのリストアテスト
パッチ適用後の動作確認
セキュリティ設定の検証

2. 限定ユーザーでの試験運用（Day 3-4）

社内ユーザーのみでアクセス
基本機能の動作確認
パフォーマンステスト
ログ監視の強化

3. 段階的な本番展開（Day 5-7）

25%→50%→75%→100%と段階的に開放
各段階で問題がないことを確認
負荷分散の調整
異常検知時の即座停止体制

4. 完全復旧と監視強化（Day 8以降）

全機能の復旧確認
24時間監視体制の確立
定期的な脆弱性スキャン
インシデントレポートの作成

再発防止策の実装

復旧と並行して、再発防止策を段階的に実装します。短期・中期・長期の視点で、優先順位を付けて対策を進めます。

短期対策（1週間以内）

すぐに実施可能で、効果の高い対策から着手します：

緊急パッチの適用（最優先）
パスワードポリシーの強化（12文字以上、複雑性要件）
ログ監視の強化（アラート設定の見直し）
WAF（Web Application Firewall）の導入または設定強化
不要なサービス・ポートの停止
管理者権限の見直しと最小権限の原則適用

中期対策（1ヶ月以内）

体制整備と技術的対策の強化を進めます：

脆弱性診断の実施（外部専門業者による）
全従業員向けセキュリティ教育の実施
インシデント対応訓練（机上演習）
EDR（Endpoint Detection and Response）の導入
多要素認証の全面導入
バックアップ体制の見直し（3-2-1ルールの徹底）

長期対策（3ヶ月以内）

根本的なセキュリティ強化を図ります：

ゼロトラストアーキテクチャへの移行計画
SOC（Security Operation Center）の構築または外部委託
CSIRT（Computer Security Incident Response Team）の設置
ISO 27001認証の取得に向けた準備
セキュリティ投資の予算化（IT予算の15%以上）
サプライチェーンセキュリティの強化

まとめ：冷静な対応の重要性

不正アクセスの被害に遭遇した時、最も重要なのは冷静さを保つことです。パニックに陥ると、適切な判断ができず、被害を拡大させる可能性があります。

成功するインシデント対応の4原則：

パニックにならない
- 深呼吸をして、状況を客観的に把握
- チェックリストに従って着実に対応
- 一人で抱え込まず、チームで対応
記録を残す
- すべての行動を時系列で記録
- 証拠となる画面やログを保全
- 意思決定の根拠を文書化
専門家に相談
- 社内に専門家がいない場合は、躊躇せず外部に相談
- 警察、IPA、JPCERTなどの公的機関も活用
透明性を保つ
- 隠蔽は事態を悪化させる
- ステークホルダーへの適時適切な情報開示
- 再発防止への真摯な取り組みを示す

よくある質問（FAQ）

Q: ランサムウェアに感染しました。身代金は払うべきですか？: A: 身代金の支払いは推奨しません。理由は4つあります。(1)支払っても約40%はデータが復号されない、(2)一度支払うと「カモリスト」に載り再び標的にされる（80%が1年以内に再攻撃を受ける）、(3)犯罪組織の資金源となり、さらなる被害を生む、(4)米国OFAC制裁対象組織への送金は法的問題となる可能性がある。代わりに、バックアップからの復旧を試み、専門業者による復号の可能性を探ってください。No More Ransomプロジェクト（nomoreransom.org）で無料の復号ツールが提供されている場合もあります。どうしても復旧できない重要データの場合は、警察や弁護士に相談の上、慎重に判断してください。
Q: 不正アクセスされたことを公表すると会社の信用が失墜しませんか？: A: 短期的には信用に影響する可能性がありますが、隠蔽する方がはるかに大きなダメージとなります。適切に公表し対応した企業の多くは、1年以内に信頼を回復しています。一方、隠蔽が発覚した企業は、長期的な信用失墜に加え、法的制裁も受けています。重要なのは、(1)迅速な公表（72時間以内）、(2)具体的な再発防止策の提示、(3)被害者への真摯な対応、(4)継続的な情報更新です。むしろ、透明性の高い対応は、「誠実な企業」として評価される場合もあります。
Q: 証拠保全のためにサーバーを停止できません。どうすればいいですか？: A: 業務継続が必要な場合は、「ライブフォレンジック」という手法を使います。システムを稼働させたまま、(1)メモリダンプの取得、(2)ネットワークトラフィックのキャプチャ、(3)実行中プロセスの記録、(4)重要ログのリアルタイムバックアップを行います。ただし、ランサムウェアや情報流出が継続している場合は、被害拡大防止のため即座の停止が必要です。可能であれば、仮想マシンのスナップショットやストレージのスナップショットを取得し、複製環境で調査することも検討してください。
Q: 個人情報が流出したかどうか確実ではありません。通知すべきですか？: A: 「流出の可能性がある」場合は通知すべきです。個人情報保護法では、「漏洩のおそれ」がある場合も報告・通知義務があります。確実な証拠がなくても、(1)不正アクセスの痕跡がある、(2)該当データへのアクセスログがある、(3)攻撃者がデータを見た可能性を否定できない、といった場合は通知が必要です。「可能性がある」という表現で通知し、調査の進捗に応じて続報を提供するのが適切な対応です。過剰な通知は問題になりませんが、通知漏れは重大な法令違反となります。
Q: 攻撃者からコンタクトがありました。どう対応すべきですか？: A: 直接交渉は避け、必ず警察に相談してください。攻撃者とのやり取りは証拠として重要なので、(1)すべての通信を記録・保存、(2)返信する場合は警察の指導に従う、(3)約束や支払いの示唆は絶対にしない、(4)時間稼ぎをしながら警察と対策を協議、という対応を取ります。特に「データを公開する」という脅迫があった場合は、不正アクセス禁止法違反に加えて恐喝罪も成立する可能性があり、警察も積極的に動いてくれます。焦って単独で対応せず、必ず専門家のサポートを受けてください。
Q: バックアップも暗号化されていました。どうすればいいですか？: A: まず、すべてのバックアップを確認してください。(1)オフラインバックアップ（テープ、外付けHDD）、(2)クラウドバックアップの世代管理、(3)スナップショット、(4)別拠点のバックアップなど、意外な場所に無事なデータが残っている場合があります。すべてが暗号化されている場合は、(1)専門業者による復号サービス（成功率30-50%）、(2)暗号化前のデータの復元（削除ファイルの復旧）、(3)取引先や顧客からのデータ提供依頼、(4)最悪の場合は一からの再構築、という選択肢があります。この経験を教訓に、3-2-1ルール（3つのバックアップ、2種類のメディア、1つはオフサイト）を必ず実装してください。
Q: 社内に専門知識を持つ人がいません。どこに相談すればいいですか？: A: 以下の順序で相談先を検討してください：
(1) IPA（情報処理推進機構）：03-5978-7509 - 無料で技術的アドバイスを提供
(2) JPCERT/CC：info@jpcert.or.jp - インシデント対応の支援
(3) 警察サイバー犯罪相談：#9110 - 被害届の提出、捜査
(4) セキュリティベンダーの緊急対応：24時間対応可能な業者多数
(5) サイバー保険の保険会社：多くが緊急対応サービス付帯
(6) 地域のIT コーディネータ：中小企業向け支援
まずは無料相談できる公的機関に連絡し、必要に応じて有料の専門業者を紹介してもらうのが賢明です。

まとめ

不正アクセスは、どんな組織にも起こりうるリスクです。重要なのは、事前の準備と冷静な対応です。本記事のチェックリストとテンプレートを活用し、インシデント対応計画を今すぐ準備してください。

今すぐ実施すべき3つの準備：

緊急連絡先リストの作成と全従業員への配布
インシデント対応手順書の作成と定期的な訓練
ログとバックアップの適切な管理体制構築

「備えあれば憂いなし」という言葉通り、準備が被害を最小限に抑える鍵となります。不正アクセス対策完全ガイドも参照し、総合的なセキュリティ強化を進めてください。

冷静に、着実に、一歩ずつ対応すれば、必ず復旧できます。

【重要なお知らせ】

本記事は一般的な対応手順を示したものです
実際の対応は、状況に応じて柔軟に判断してください
重大インシデントの場合は、専門家への相談を強く推奨します
法的な判断が必要な場合は、必ず弁護士に相談してください

更新履歴

2025年11月03日: 初稿公開