初動対応の全体像と重要性
マルウェア感染が発覚した瞬間から、時間との戦いが始まります。適切な初動対応は、①被害の拡大防止、②証拠の保全、③迅速な復旧、④法的責任の軽減、という4つの重要な目的を果たします。
初動対応の基本原則は、「PICERL」サイクルに従います。
- P(Preparation):事前準備
- I(Identification):検知・識別
- C(Containment):封じ込め
- E(Eradication):根絶
- R(Recovery):復旧
- L(Lessons Learned):教訓の抽出
本マニュアルでは、特に「I(検知・識別)」から「C(封じ込め)」、そして「E(根絶)」への移行判断までの初動72時間に焦点を当てます。
初動対応タイムライン全体図
以下の表は、感染発覚から復旧開始までの完全なタイムラインです。
| 時間 | フェーズ | 主要タスク | 実施者 | 成果物 |
|---|---|---|---|---|
| 0-10分 | 状況把握 | 感染確認、緊急度判定、初動指示 | 発見者、IT担当 | 初動判断記録 |
| 10-30分 | 封じ込め | ネットワーク遮断、端末隔離、認証無効化 | IT管理者 | 遮断実施記録 |
| 30-60分 | 被害防止 | 波及確認、バックアップ保護、証拠保全開始 | インシデント対応チーム | 被害範囲速報 |
| 1-3時間 | 影響調査 | 感染端末特定、データ被害確認、タイムライン作成 | CSIRTチーム | 被害状況詳細報告 |
| 3-6時間 | 証拠保全 | フォレンジック実施、ログ収集、検体確保 | フォレンジック担当 | 証拠保全完了報告 |
| 6-12時間 | ステークホルダー連絡 | 経営層報告、取引先連絡、当局報告準備 | 広報・法務 | 対外発表ドラフト |
| 12-24時間 | 詳細分析 | マルウェア解析、感染経路特定、被害確定 | セキュリティアナリスト | 詳細分析レポート |
| 24-48時間 | 復旧準備 | 駆除計画策定、復旧手順確認、代替策実施 | 復旧チーム | 復旧計画書 |
| 48-72時間 | 復旧開始 | 段階的駆除、システム復元、動作確認 | 全体統括 | 復旧開始宣言 |
このタイムラインは理想的な進行を示していますが、実際のインシデントでは、複数のタスクが並行して進行したり、想定外の事態で遅延したりします。柔軟性を持って対応することが重要です。
感染発覚直後の対応|最初の1時間でやるべきこと
感染発覚から最初の1時間は、被害の拡大を防ぐための最も重要な時間帯です。この1時間の対応品質が、その後の復旧までの時間と被害総額を決定します。
0-10分:状況把握と判断
感染を発見した、またはアラートを受けた瞬間から、冷静かつ迅速な判断が求められます。
- 感染の確認
- アラート内容、症状、影響範囲を迅速に把握します。ランサムウェアの脅迫画面、大量のファイル暗号化(拡張子が.encrypted、.locked等に変更)、異常なネットワーク通信(大量のデータ送信)、セキュリティソフトの大量アラート等、明確な兆候を確認します。症状の具体例:①デスクトップに身代金要求の画面が表示、②ファイルが開けない・拡張子が変わっている、③PCが異常に遅い・ファンが激しく回る、④知らないプロセスが大量のCPU/メモリを消費、⑤ネットワークトラフィックが通常の10倍以上、⑥セキュリティソフトが無効化されている、⑦勝手に再起動を繰り返す。これらの症状を5分以内に確認し、記録します。スマートフォンのカメラで画面を撮影することが、最も確実な記録方法です。スクリーンショット機能はマルウェアに無効化されている可能性があります。
- 緊急度の判定
- 感染の深刻度を4段階で即座に判定します。この判定により、エスカレーション先と対応体制が決まります。判定基準は以下の通りです。
緊急度判定基準表
| レベル | 状況 | 影響範囲 | 対応体制 | エスカレーション | 初動目標時間 |
|---|---|---|---|---|---|
| Critical | ランサムウェア実行中、基幹システム停止、大量情報漏洩確定 | 全社業務停止または重大な事業影響 | 対策本部即座設置、経営層指揮 | 即座に社長・CISO・法務・広報 | 5分以内 |
| High | 複数端末感染、重要サーバー侵害、データ持ち出し疑い | 部門単位の業務影響または機密データ関連 | CSIRTフル稼働 | 15分以内に部門長・IT部長 | 10分以内 |
| Medium | 単一端末感染、限定的被害、拡散の兆候なし | 個人端末レベル、業務影響は限定的 | 通常インシデント対応 | 30分以内にIT管理者 | 30分以内 |
| Low | 疑わしい挙動のみ、感染未確定、隔離済み | 影響なし、予防的対応 | 通常運用内で対応 | 報告のみ | 1時間以内 |
- 対策本部の設置判断
- High以上のレベルでは、対策本部を即座に設置します。責任者を指名(通常はCISO、不在時はIT部長)、会議室を確保(専用の対策ルーム、または大会議室)、コミュニケーションツールを準備(Slack/Teams等のインシデント専用チャネル、緊急連絡網)します。関係者を15分以内に招集します。対策本部のメンバー構成:①統括責任者(CISO/IT部長)、②技術対応リーダー(インフラ管理者)、③調査担当(セキュリティアナリスト)、④記録係(全ての決定と実施事項を記録)、⑤連絡係(社内外への連絡窓口)、⑥法務担当(法的責任の判断)、⑦広報担当(対外発表の準備)。初回ミーティングは招集から30分以内に開始し、①現状共有、②対応方針決定、③役割分担確認、④次回ミーティング時刻設定、を15分以内に完了します。以降、重要な局面では1-2時間ごと、通常フェーズでは4-6時間ごとに定例ミーティングを実施します。
10-30分:封じ込め措置
感染の拡大を防ぐため、迅速な封じ込め措置を実施します。この段階では、「確証」よりも「安全側」の判断を優先します。
ネットワーク遮断の実施
感染が確認された、または疑わしい端末を、即座にネットワークから物理的に隔離します。
- 物理的遮断の手順
- ①LANケーブルを抜く(最も確実)、②Wi-Fiを無効化(機内モードまたはWi-Fiスイッチをオフ)、③VPN接続を切断、④Bluetoothを無効化(横展開に悪用される可能性)。リモートから遮断する場合:①ファイアウォールで該当MACアドレス/IPアドレスをブロック、②スイッチのポートを無効化、③VLANから除外、④EDRの隔離機能を使用(CrowdStrike Falcon、Microsoft Defender for Endpoint等)。注意点:電源は切らないでください。理由は、①メモリ上の証拠(実行中のプロセス、ネットワーク接続情報、暗号化キー等)が失われる、②ディスク暗号化が中途半端な状態で停止すると復旧が困難になる、③タイムスタンプ情報が変更される可能性、があるためです。ネットワーク遮断のみを実施し、電源は入れたまま維持します。ただし、ランサムウェアが猛烈な速度で暗号化を進行している場合は、データ保護を最優先し、電源オフも選択肢となります。
- セグメント単位での遮断
- 感染が複数端末に拡散している疑いがある場合、影響を受けているネットワークセグメント(VLAN)全体を一時的に隔離します。手順:①該当VLANと他セグメントとの通信を遮断(ファイアウォールルール追加)、②該当VLAN内からインターネットへの通信も制限(必要最小限の管理通信のみ許可)、③該当VLAN内の端末同士の通信も制限(横展開防止)、④重要サーバーへのアクセスを全面禁止。影響する業務については、代替手段(電話、紙ベース、別セグメントのPCの一時利用等)で継続します。完全な業務停止よりも、制限付きでも継続する方が事業影響は小さくなります。
- インターネット接続の制限
- ワーム型マルウェアやファイルレスマルウェアの場合、インターネット経由で急速に拡散します。一時的に、①外部への全アウトバウンド通信を停止(ホワイトリスト方式に切替)、②外部からのインバウンド通信も停止(DMZ経由の公開サーバーを除く)、③VPN接続を全面停止(攻撃者が既に認証情報を取得している可能性)、という極端な措置も検討します。ただし、クラウドサービス依存度が高い企業では、全面停止は現実的でないため、最低限の業務継続に必要な通信のみ許可するハイブリッド方式とします。
感染端末の隔離
ネットワーク遮断に加え、感染端末を物理的にも隔離します。
- 端末の物理的隔離
- 感染が確認された端末を、①ネットワークから切断、②電源は入れたまま、③モニター、キーボード、マウスのみ接続維持(証拠保全作業用)、④USBメモリ等の外部メディアは全て取り外し、⑤施錠できる部屋に移動(証拠改変防止)、⑥入退室記録を開始(Chain of Custody維持)、という状態にします。複数台が感染している場合は、専用の「隔離エリア」を設け、集中管理します。隔離エリアは、①外部ネットワークから完全に分離、②入退室管理を厳格化、③監視カメラで記録、④温度・湿度管理(機器保護)、を実施します。
- ユーザーへの指示
- 感染端末を使用していたユーザーに対し、①すぐに手を止める、②電源を切らない、③USBメモリを挿さない、④他のPCを使わない(感染拡大防止)、⑤スマートフォンから上司に報告、⑥その場で待機またはIT部門へ移動、という指示を明確に伝えます。ユーザーが感染端末を触り続けると、①証拠が上書きされる、②感染が拡大する、③マルウェアに新たな指示が送られる、というリスクがあります。優しく、しかし断固として、端末から離れるよう指示します。
- 同一ネットワークの他端末確認
- 感染端末と同一ネットワークセグメントにある全端末を、予防的にスキャンします。①EDRコンソールで一括スキャン実行、②ファイアウォールログで不審な通信がないか確認、③ユーザーへのヒアリング(「PCの調子がおかしい」等の報告募集)、を並行実施します。感染の兆候がある端末は、確定診断を待たずに予防的に隔離します。「疑わしきは隔離」の原則で対応します。
認証情報の無効化
感染端末がアクセスしていたアカウントの認証情報を無効化し、攻撃者による不正アクセスを防ぎます。
- 該当ユーザーのアカウント無効化
- 感染端末を使用していたユーザーのアカウントを、①Active Directoryで一時無効化、②VPN接続を切断、③リモートデスクトップセッションを強制終了、④クラウドサービス(Microsoft 365、Google Workspace等)のアクセスを一時停止、⑤パスワードを強制リセット(ただし、本人確認を厳格に)、します。特に、管理者権限を持つアカウントが侵害された場合は、最優先で対処します。無効化の影響で業務が停止する場合は、①一時的な代替アカウント発行、②別のユーザーによる代行、③承認プロセスの簡略化、という代替策で対応します。
- 関連するサービスアカウント確認
- 感染端末がアクセスしていたサービスアカウント(データベース接続用、API接続用、バッチ処理用等)も侵害されている可能性があります。①該当端末からアクセスされたサービスをリストアップ、②各サービスのアクセスログを確認、③不審なアクセスがあればサービスアカウントを無効化、④認証情報(パスワード、APIキー、証明書等)を全て更新、します。特に、権限の強いサービスアカウントは、APT攻撃で狙われやすいため、徹底的に調査します。
- 全社パスワードリセットの検討
- 情報窃取型マルウェアの場合、保存されているパスワードが全て盗まれている可能性があります。影響範囲が不明な場合、予防的に全社員のパスワードを強制リセットすることも検討します。ただし、①ヘルプデスクへの問い合わせが殺到する、②業務が一時停止する、③ユーザーが混乱する、というデメリットもあるため、経営判断が必要です。最低限、①管理者アカウント、②重要システムへのアクセス権を持つユーザー、③感染端末と同じネットワークセグメントのユーザー、については、即座にパスワードリセットを実施します。
30-60分:被害拡大防止
初動の封じ込めが完了したら、次に被害の拡大防止と証拠保全を開始します。
他システムへの波及確認
感染が他のシステムに拡散していないか、迅速に確認します。
- サーバーへの影響確認
- 感染端末がアクセスしていたサーバー(ファイルサーバー、Webサーバー、データベースサーバー、メールサーバー等)に、マルウェアが侵入していないか確認します。確認方法:①サーバーのセキュリティソフトでフルスキャン実行、②サーバーのイベントログで不審なログイン、ファイル操作、プロセス起動を確認、③サーバーから外部への不審な通信がないかネットワークログを確認、④サーバーのパフォーマンス異常(CPU/メモリ使用率の急増)を監視、⑤重要なシステムファイルのハッシュ値を事前に保存したベースラインと比較。特に、ファイルサーバーはランサムウェアの主要ターゲットであり、共有フォルダ内のファイルが一斉に暗号化されるリスクがあります。暗号化の兆候(拡張子の一括変更、大量のファイル更新、README.txtの出現等)を即座に検知します。
- ドメインコントローラーの確認
- Active Directoryのドメインコントローラー(DC)が侵害されると、全社のアカウントが掌握され、横展開が自由に行えるようになります。最優先で確認すべき項目:①DCへの不正ログイン試行(Event ID 4625)、②新規管理者アカウントの作成(Event ID 4720, 4728)、③DCからの異常な通信(通常はDC間の複製通信のみ)、④DCのGPO(グループポリシー)改変、⑤DCのシステムファイル改変。DCに侵害の兆候があれば、全社規模のインシデントとして扱い、即座に経営層へエスカレーションします。復旧には数週間を要する可能性があります。
- クラウドサービスへの影響
- Microsoft 365、Google Workspace、Salesforce、AWS、Azure等のクラウドサービスへの不正アクセスがないか確認します。①各サービスの監査ログで異常なログイン(見知らぬIPアドレス、通常と異なる時間帯、見知らぬデバイス)を検索、②大量のデータダウンロード・削除の痕跡を確認、③管理者権限の変更・新規ユーザー追加を確認、④OAuth/API連携の不正な追加を確認。クラウドサービスは、オンプレミスとは独立した認証を持つため、オンプレミスの被害がクラウドに波及していないか、またはその逆も確認が必要です。
バックアップの保護
既存のバックアップが破壊・暗号化される前に、保護します。
- バックアップの隔離
- 現在のバックアップを、マルウェアが到達できない場所へ即座に退避させます。①オンラインバックアップ(NAS、バックアップサーバー)のネットワーク接続を切断、②テープバックアップは物理的に取り外して金庫へ保管、③クラウドバックアップは「削除保護」「イミュータブル(変更不可)」設定を有効化、④バックアップの管理者パスワードを変更(攻撃者が既に取得している可能性)。特に、ランサムウェアは近年、バックアップを優先的に破壊する機能を持っており、「バックアップがあるから安心」と思っていたら、復旧時にはバックアップも暗号化されていた、というケースが頻発しています。
- 緊急バックアップの取得
- まだ感染していない重要システムの緊急バックアップを、感染拡大前に取得します。優先順位:①ドメインコントローラー、②データベースサーバー、③ファイルサーバー、④メールサーバー、⑤基幹業務システム。バックアップ先は、①外付けHDD(取得後即座に取り外し)、②別セグメントのストレージ、③クラウドストレージ(既に感染している場合のリスク分散)。時間的余裕がない場合は、完全バックアップではなく、差分バックアップや重要ファイルのみのバックアップでも構いません。「何もないよりマシ」の精神で、できる範囲で迅速に実施します。
- バックアップの検証
- 既存のバックアップが実際に使用できる状態か、簡易テストを実施します。①最新のバックアップからランダムにファイルを数個復元してみる、②データベースのバックアップをテスト環境にリストアしてみる、③仮想マシンのスナップショットから起動してみる。バックアップが破損している、暗号化されている、古すぎる(6ヶ月前等)という事態が発覚した場合、復旧戦略を根本的に見直す必要があります。最悪の場合、身代金支払いも視野に入れざるを得ません(ただし、支払いは最後の手段)。
証拠保全の開始
後のフォレンジック調査と法的対応のため、証拠保全を開始します。
- 画面の記録
- 感染端末の画面を、スマートフォンやデジタルカメラで撮影します(スクリーンショット機能は無効化されている可能性)。撮影内容:①身代金要求画面(ランサムウェアの場合)、②セキュリティソフトのアラート画面、③タスクマネージャーの異常なプロセス、④エクスプローラーで表示される暗号化されたファイル、⑤ネットワーク接続情報(netstatコマンドの結果)。撮影時には、①日時が写るよう画面隅に時計を表示、②撮影者と立会人の名前をメモに書いて一緒に撮影、③連続写真として複数枚撮影、④RAW形式で保存(改ざん検知のため)。これらの写真は、法的証拠として利用される可能性があるため、改ざん防止が重要です。
- タイムラインメモの作成
- 発見から現在までの出来事を、時系列で記録します。記録内容:①発見時刻(正確に)、②発見者氏名、③発見時の症状、④実施した対応(誰が、何時に、何を実施したか)、⑤連絡した相手と時刻、⑥システムの状態変化。このメモは、後のインシデント報告書の基礎となり、感染経路の特定、対応の適切性評価、教訓抽出に使用されます。Excel/Word等のデジタルデータではなく、紙のノートに手書きで記録することを推奨します(デジタルデータは改ざんの疑いを持たれる可能性)。記録者の署名と日時を各ページに記入します。
- ログファイルのコピー
- 感染端末と関連システムのログファイルを、外部メディアにコピーします。対象ログ:①Windowsイベントログ(System、Security、Application)、②セキュリティソフトのログ、③ファイアウォールログ、④Webプロキシログ、⑤認証ログ(AD、VPN、クラウドサービス)、⑥アプリケーションログ。ログは時間とともに上書きされるため、早急に保存します。保存先は、感染端末とは別の、信頼できるストレージ(外付けHDD、USBメモリ、ネットワーク上の隔離されたフォルダ)とします。保存後、SHA256ハッシュ値を計算し、改ざんされていないことを後で証明できるようにします。
被害範囲の特定|感染端末と影響の洗い出し
初動の封じ込めが完了したら、被害の全容を把握します。この段階は、1-3時間かけて丁寧に実施します。
感染端末の特定方法
感染した端末を漏れなく特定することが、完全な復旧の前提条件です。
- ネットワークログ分析
- ファイアウォール、プロキシ、DNSサーバーのログから、不審な通信を検索します。検索キーワード:①既知のC&CサーバーのIPアドレス・ドメイン(脅威インテリジェンスフィードから取得)、②異常に大量のデータ送信(通常の10倍以上)、③通常と異なるポートへの接続(4444、5555、8080等、マルウェアが好む非標準ポート)、④暗号化されたトンネル通信(TOR、VPN)、⑤DNSトンネリング(異常に長いDNSクエリ)。ログ分析ツール(Splunk、ELK Stack、Azure Sentinel等)があれば、効率的に分析できますが、なければExcelやテキストエディタでも可能です(ただし時間がかかる)。不審な通信を行っていた端末のIPアドレスをリストアップし、該当端末を物理的に特定します。
- エンドポイント調査
- EDR(Endpoint Detection and Response)コンソールで、全端末を一括スキャンします。検索項目:①既知のマルウェアのハッシュ値(MD5、SHA1、SHA256)、②不審なプロセス(ランダムな名前、システムフォルダ以外の場所からの起動)、③レジストリの自動起動設定への追加、④スケジュールタスクの不正な追加、⑤ファイルの大量暗号化(ランサムウェアの兆候)、⑥権限昇格の痕跡(UAC回避、トークン窃取)。EDRがない場合、PowerShellやWMI(Windows Management Instrumentation)で、全端末に対して一括クエリを実行します。例:`Get-WmiObject Win32_Process | Where-Object {$_.Name -like "*malicious*"}` のようなスクリプトで、全端末の実行中プロセスを収集し、不審なものを抽出します。
- ユーザーヒアリング
- 全従業員に対し、「PCの異常」についてアンケートまたはヒアリングを実施します。質問項目:①PCが異常に遅くなった時期、②変な画面やポップアップが表示されたか、③ファイルが開けなくなったか、④見覚えのないファイルやフォルダがあったか、⑤勝手に再起動したか、⑥不審なメールや添付ファイルを開いたか。ユーザーは技術的な詳細を理解していないため、「何か変だった」という曖昧な情報でも、貴重な手がかりになります。ヒアリングは、①対面または電話で実施(メールでは十分な情報が得られない)、②非難しない態度で聞く(正直に話してもらうため)、③時刻を具体的に確認(「昨日の午後」ではなく「1月15日14時頃」)、という点に注意します。
影響システムの確認
感染が業務システムに与えた影響を評価します。
業務システムへの影響
- 基幹業務システム
- ERP(販売・在庫・会計)、生産管理、顧客管理等の基幹システムに、データ破損・改ざんがないか確認します。確認方法:①データベースの整合性チェック(`DBCC CHECKDB`等)、②最新のトランザクションログ確認、③異常なデータ変更(大量の削除、更新)がないか監査ログ確認、④バックアップ時点とのデータ差分確認。影響があった場合、①影響範囲の特定(どのテーブル、どの期間のデータか)、②復旧方法の検討(バックアップからの復元、トランザクションログからの再実行)、③業務への影響評価(復旧までの代替手段)、を迅速に判断します。
- Webサイト・ECサイト
- 公開Webサイトが改ざんされていないか確認します。改ざんの典型例:①トップページの内容変更(政治的メッセージ、広告、不正なリンク)、②不正なスクリプトの埋め込み(訪問者のブラウザを攻撃)、③フィッシングページの設置(ログイン画面の偽装)、④SEOスパム(隠しリンク、キーワード詰め込み)。確認方法:①目視で各ページを確認、②ソースコードのdiff比較(直前のバックアップとの差分)、③Web改ざん検知ツール(Tripwire、AIDE)の利用、④Googleセーフブラウジングでの確認。改ざんが確認された場合、即座にサイトを閉鎖し、調査・復旧を優先します。改ざんされたサイトを公開し続けると、訪問者への二次被害、検索エンジンからのペナルティ(Blacklist登録)、企業信用の失墜、というリスクがあります。
データベースの被害状況
- データ破損の確認
- データベースのデータが、削除・改ざん・暗号化されていないか確認します。SQL Server、MySQL、PostgreSQL等、DBMS別の整合性チェックコマンドを実行します。例(SQL Server):`DBCC CHECKDB (データベース名) WITH NO_INFOMSGS, ALL_ERRORMSGS;`。エラーが検出された場合、影響を受けたテーブルを特定し、①バックアップからの復元、②トランザクションログからのロールフォワード、③データのリビルド、のいずれかで復旧します。復旧には数時間~数日を要する可能性があり、その間の業務継続方法も並行して検討します。
- データ漏洩の痕跡
- データベースから大量のデータが不正に抽出されていないか確認します。確認方法:①データベース監査ログでSELECT文の実行履歴を確認、②異常に大量の行を取得したクエリがないか検索、③通常と異なる時間帯(深夜、休日)のアクセス、④通常と異なるアカウント(サービスアカウント、管理者アカウント)からのアクセス、⑤データベースからファイルへのエクスポート操作(BCP、mysqldump等)の痕跡。データ漏洩の可能性がある場合、漏洩したデータの種類と件数を可能な限り特定し、法的報告義務(個人情報保護法、GDPR等)の判断材料とします。
共有フォルダの感染状況
- ファイル暗号化の確認
- ファイルサーバーの共有フォルダ内のファイルが、ランサムウェアにより暗号化されていないか確認します。暗号化の兆候:①ファイル拡張子の一括変更(.encrypted、.locked、.crypto等)、②ファイルサイズの変化(暗号化により微増または微減)、③更新日時の一斉変更(短時間に大量のファイルが更新)、④README.txt、DECRYPT_INSTRUCTIONS.html等の身代金要求ファイルの出現。確認方法:①エクスプローラーでファイル一覧を表示し、拡張子・更新日時でソート、②PowerShellで拡張子の統計を取得:`Get-ChildItem -Recurse | Group-Object Extension | Sort-Object Count -Descending`、③サンプルファイルを開き、内容が読めるか確認。暗号化されたファイルは、バックアップから復元するか、復号ツールの利用を検討します(ただし、復号ツールが有効なのは一部のランサムウェアのみ)。
- シャドウコピーの削除確認
- Windowsのシャドウコピー(ボリュームシャドウコピー、VSS)が、ランサムウェアにより削除されていないか確認します。ランサムウェアは、感染後に`vssadmin delete shadows /all /quiet`コマンドを実行し、復元ポイントを全て削除します。確認方法:コマンドプロンプトで`vssadmin list shadows`を実行し、シャドウコピーの一覧を表示。何も表示されなければ、全て削除されています。シャドウコピーがあれば、`以前のバージョンの復元`機能で一部のファイルを復元できる可能性があります。削除されている場合、①バックアップからの復元、②サードパーティツールでの復元試行、③最悪の場合は身代金支払いの検討、となります。
タイムライン作成
感染から発覚までの時系列を再構築し、感染経路を特定します。
感染経路の推定
- 初期侵入ポイントの特定
- マルウェアが最初にネットワーク内に侵入した経路を特定します。典型的な侵入経路:①フィッシングメールの添付ファイル開封、②不正なWebサイトからのドライブバイダウンロード、③脆弱性を悪用したリモートコード実行、④VPN/RDPへの総当たり攻撃成功、⑤USBメモリ経由の感染、⑥サプライチェーン経由の侵入(委託先、ベンダーのシステム経由)、⑦内部犯行。特定方法:①最も古い感染痕跡(ログ、マルウェア実行時刻)を持つ端末を特定、②その端末のユーザーへヒアリング(何か不審なメールを開いたか、Webサイトを閲覧したか)、③メールゲートウェイログで不審なメール受信を確認、④Webプロキシログで不正サイトへのアクセスを確認、⑤VPN/RDPログで不正ログイン試行を確認。初期侵入ポイントの特定は、再発防止策の要であり、時間をかけて徹底的に調査します。
- 横展開の経路
- 初期感染後、他の端末・サーバーへどのように拡散したかを追跡します。横展開の手法:①共有フォルダ経由の自動実行、②管理者権限の悪用(PsExec、WMI、PowerShell Remoting)、③認証情報の窃取と再利用(Mimikatz等)、④脆弱性を悪用した横展開(EternalBlue等)、⑤正規のリモート管理ツールの悪用(TeamViewer、AnyDesk等)。追跡方法:①各端末のマルウェア実行時刻を比較し、時系列で並べる、②ネットワークログで端末間の通信を確認(感染端末A→未感染端末B→感染確認、というパターン)、③認証ログで、感染端末からの他端末へのログイン履歴を確認、④横展開に使用されたツール(PsExec.exe等)の実行痕跡を検索。横展開経路を明確化することで、まだ発見されていない感染端末を予測し、先回りして調査できます。
拡散の時系列
感染の拡散を時系列で図示し、全体像を把握します。
| 日時 | 端末/サーバー | イベント | 証拠 | 影響 |
|---|---|---|---|---|
| 1/10 09:15 | PC-001(営業部A氏) | フィッシングメール開封、マルウェア実行 | メールログ、EDRアラート | マルウェアが潜伏開始 |
| 1/10 09:30 | PC-001 | C&Cサーバーへ接続、追加ペイロードダウンロード | ファイアウォールログ | 攻撃の第2段階準備 |
| 1/11 02:00 | PC-001 | 認証情報窃取ツール(Mimikatz)実行 | EDRログ | 管理者パスワード取得 |
| 1/11 02:15 | File-Server-01 | PC-001から管理者権限でログイン | 認証ログ | 横展開開始 |
| 1/11 02:30 | File-Server-01 | 共有フォルダ内ファイルの暗号化開始 | ファイルタイムスタンプ | ランサムウェア実行 |
| 1/11 06:00 | File-Server-01 | 全ファイルの暗号化完了、身代金要求画面表示 | 画面撮影 | 業務停止 |
| 1/11 08:30 | - | 従業員が異常を発見、IT部門へ連絡 | インシデント記録 | インシデント対応開始 |
このようなタイムラインを作成することで、①感染から発覚までの時間(ここでは約23時間)、②攻撃者の活動時間帯(深夜2時から実行、週末や夜間を狙う典型的パターン)、③攻撃のフェーズ(侵入→認証情報窃取→横展開→目的実行)、④対応の遅れ(発見が朝8時半まで遅れた理由)、を可視化できます。
被害範囲記録シート
被害状況を構造化して記録します。このシートは、経営層への報告、保険請求、監督官庁への報告に使用されます。
| カテゴリ | 項目 | 状況 | 影響度 | 復旧見込み | 備考 |
|---|---|---|---|---|---|
| 感染端末 | 総数 | 12台 | High | 3日 | 全て初期化・再セットアップ |
| サーバー | ファイルサーバー | 暗号化 | Critical | 5日 | バックアップから復元 |
| データ | 業務ファイル | 8万件暗号化 | Critical | 5日 | 1週間前のバックアップあり |
| データ | 顧客情報DB | 無事 | None | - | 隔離により被害なし |
| 業務影響 | 営業部門 | 業務停止 | Critical | 5日 | 紙ベースで暫定対応 |
| 業務影響 | 製造部門 | 一部影響 | Medium | 2日 | 手入力で対応中 |
| 金銭被害 | 身代金要求額 | 500万円 | - | - | 支払わない方針 |
| 金銭被害 | 推定復旧コスト | 3,000万円 | - | - | 人件費・外部委託費含む |
| 法的対応 | 個人情報漏洩 | 現時点でなし | - | - | 継続調査中 |
証拠保全の手順|フォレンジック準備
初動対応と並行して、法的対応と詳細分析のための証拠保全を実施します。フォレンジック調査の品質は、初動の証拠保全で決まります。
揮発性データの保全
電源を切ると失われるデータを、最優先で保存します。
メモリダンプの取得
- メモリダンプツールの使用
- 感染端末のメモリ(RAM)内容を、ディスクにダンプします。メモリには、①実行中のマルウェアコード、②暗号化キー、③ネットワーク接続情報、④パスワード、⑤削除されたファイルの残骸、等の重要な証拠が含まれます。使用ツール:①FTK Imager(無料、AccessData社)、②DumpIt(無料)、③WinPmem(無料、Google)、④Magnet RAM Capture(無料)。手順(FTK Imagerの場合):①USBメモリにFTK Imagerをコピー(感染端末にインストールしない)、②USBメモリから起動、③File → Capture Memory、④保存先を指定(外付けHDD推奨、USBメモリは容量不足の可能性)、⑤Page Fileも含めるを選択、⑥キャプチャー開始。メモリダンプは、RAM容量と同じサイズのファイルになるため(8GBのRAMなら8GBのダンプファイル)、十分な容量の保存先を用意します。ダンプ完了後、SHA256ハッシュ値を計算し、記録します。
- メモリダンプの注意点
- ①時間がかかる:8GBのメモリで約10-15分、取得中は端末を触らない、②一度しか取得できない:再取得すると内容が変わる、③マルウェアに検知される可能性:高度なマルウェアはメモリダンプを検知し、自己削除や暗号化キーの消去を行う、④法的証拠性:取得者、日時、ハッシュ値を厳密に記録。メモリダンプは、フォレンジック調査において最も価値の高い証拠の一つですが、取得には専門知識が必要です。不安な場合は、外部のフォレンジック専門家に依頼します。
ネットワーク接続情報
- 現在の接続状態の記録
- 感染端末が現在接続している外部サーバー(C&Cサーバー)の情報を記録します。コマンド:`netstat -ano > connections.txt`(Windows)、`netstat -tupln > connections.txt`(Linux)。出力には、①ローカルIPアドレスとポート、②リモートIPアドレスとポート、③接続状態(ESTABLISHED、LISTENING等)、④プロセスID、が含まれます。特に、ESTABLISHEDまたはCLOSE_WAIT状態で、見知らぬIPアドレス(特に海外)に接続している場合、C&Cサーバーへの通信の可能性が高いです。このIPアドレスは、①脅威インテリジェンスデータベースで確認、②WhoIs検索で所有者確認、③VirusTotalで評判確認、④他の感染端末でも同じIPへの接続がないか確認、します。
- DNSキャッシュの保存
- 感染端末が最近名前解決したドメインの記録を保存します。コマンド:`ipconfig /displaydns > dnscache.txt`(Windows)、`systemd-resolve --statistics`(Linux)。マルウェアは、C&Cサーバーへの接続にドメイン名を使用することが多く(IPアドレス直接だとブロックされやすいため)、DNSキャッシュから攻撃者が使用したドメインを特定できます。特に、ランダムな文字列のドメイン(例:x7f92k3j.com)、DGA(Domain Generation Algorithm)で生成されたドメイン、最近登録されたばかりのドメイン、は要注意です。
実行中プロセス
- プロセス一覧の取得
- 感染端末で実行中の全プロセスの情報を記録します。コマンド:`tasklist /v > processes.txt`(Windows)、`ps aux > processes.txt`(Linux)。記録される情報:①プロセス名、②プロセスID(PID)、③親プロセスID(PPID、どのプロセスから起動されたか)、④CPU・メモリ使用率、⑤実行ユーザー、⑥実行ファイルのパス。不審なプロセスの特徴:①ランダムな名前(x7f92k3.exe等)、②システムフォルダ以外からの起動(C:\Users\AppData\Local等)、③異常なCPU使用率(マイニング、DDoS攻撃)、④システムプロセスを模倣した名前(svch0st.exeはsvchost.exeの偽装)。PowerShellで詳細情報を取得:`Get-Process | Select-Object Name,Id,Path,Company | Export-Csv processes.csv`。
- 自動起動設定の確認
- マルウェアが再起動後も自動実行されるよう設定した項目を確認します。確認箇所:①レジストリの自動起動キー(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等)、②スタートアップフォルダ、③スケジュールタスク、④サービス、⑤WMIイベントサブスクリプション(高度なマルウェアが使用)。ツール:Autoruns(Sysinternals)で全ての自動起動項目を一覧表示し、VirusTotalとの連携で各項目の安全性を確認。不審な項目は、詳細を記録後、無効化します(ただし、証拠保全が完了するまでは削除しない)。
不揮発性データの保全
ディスク上の恒久的なデータを保全します。
- ディスクイメージ作成
- 感染端末のハードディスク全体のビットバイビット(完全)コピーを作成します。これにより、削除されたファイル、未割り当て領域、スラック領域まで含めて保存でき、後の詳細分析が可能になります。使用ツール:①FTK Imager(無料)、②dd(Linux、`dd if=/dev/sda of=/mnt/external/disk.img bs=4M`)、③AccessData FTK、④EnCase(商用、法執行機関レベル)。重要:書き込み防止装置(Write Blocker)を使用し、証拠を改変しないことが法的証拠として重要です。手順:①感染端末をシャットダウン、②ハードディスクを取り外し、③Write Blockerに接続、④イメージング用PCに接続、⑤ディスクイメージ作成、⑥完了後SHA256ハッシュ値計算、⑦最低2つのコピーを作成(1つは証拠保全用、1つは解析用)、⑧元のハードディスクは厳重保管。ディスクイメージ作成は、ディスク容量により数時間~数日かかる場合があり、専門業者に依頼することも検討します。
- ログファイルの収集
- 感染端末および関連システムのログファイルを、体系的に収集します。収集対象:①Windowsイベントログ(System、Security、Application、Setup、Forwarded Events)、②セキュリティソフトのログ、③ファイアウォールログ、④IDS/IPSログ、⑤Webプロキシログ、⑥メールゲートウェイログ、⑦認証ログ(Active Directory、RADIUS)、⑧データベース監査ログ、⑨アプリケーションログ、⑩ネットワーク機器のSyslog。収集方法:①手動コピー(小規模)、②SIEM経由で一括エクスポート(大規模)、③PowerShellスクリプトで自動収集、④ログ管理ツール(Splunk、Graylog)の活用。保存先は、感染していない外部ストレージとし、保存後にハッシュ値を計算します。ログは時間とともに上書きされるため、最優先で保存します。
- マルウェア検体の確保
- マルウェアの実行ファイル、スクリプト、設定ファイルを、解析用に確保します。マルウェアファイルの場所:①一時フォルダ(%TEMP%、C:\Windows\Temp)、②ダウンロードフォルダ、③AppDataフォルダ、④レジストリに記録されたパス、⑤自動起動設定に登録されたパス。収集方法:①ファイルをZIPで圧縮(パスワード「infected」を設定、誤って実行されないため)、②USBメモリまたはネットワーク経由で隔離環境に転送、③元のファイルのハッシュ値を計算・記録、④ファイルのメタデータ(作成日時、変更日時、属性)を記録、⑤VirusTotalにハッシュ値を照会(既知のマルウェアか確認、ただしファイル自体はアップロードしない=情報漏洩リスク)。マルウェア検体は、①自社での解析、②セキュリティベンダーへの提供、③警察への提供、④情報共有(ISAC等)、に使用されます。
証拠の管理
収集した証拠を、法的に有効な状態で管理します。
Chain of Custodyの維持
- 証拠管理台帳の作成
- 全ての証拠について、①証拠ID、②証拠の種類(メモリダンプ、ディスクイメージ、ログファイル等)、③取得日時、④取得者氏名、⑤ハッシュ値、⑥保管場所、⑦アクセス記録(誰が、いつ、何の目的で)、を記録する台帳を作成します。この台帳は、証拠の連続性(Chain of Custody)を証明し、「証拠が改ざんされていない」ことを裁判等で立証するために必要です。Excelテンプレートを事前に用意しておくと、インシデント時にスムーズです。
- 物理的セキュリティ
- 証拠を保管する場所は、①施錠可能、②入退室記録、③監視カメラ、④温度・湿度管理、⑤火災対策、⑥限定されたアクセス権(IT管理者と法務担当のみ)、を満たす必要があります。理想的には、専用の証拠保管庫を設けますが、難しい場合は金庫でも可です。外部ストレージ(HDD、USBメモリ)は、静電気・磁気から保護し、劣化を防ぐため定期的にチェックします。
ハッシュ値による完全性保証
- ハッシュ値の計算と記録
- 全ての証拠ファイルについて、SHA256ハッシュ値を計算し、記録します。ハッシュ値は、ファイルの「指紋」のようなもので、1ビットでも変更されれば全く異なる値になります。これにより、証拠が改ざんされていないことを証明できます。計算方法:①Windows PowerShell:`Get-FileHash -Path .\evidence.dd -Algorithm SHA256`、②Linux:`sha256sum evidence.dd`、③専用ツール:HashCalc、MD5 & SHA Checksum Utility。計算したハッシュ値は、証拠管理台帳に記録するとともに、別のファイルにも保存します。裁判や監査の際、「証拠取得時のハッシュ値」と「現在のハッシュ値」を比較し、一致すれば改ざんされていないことが証明されます。
証拠保全チェックリスト
以下のチェックリストを印刷し、証拠保全の際に使用してください。
| No. | 項目 | 実施内容 | 実施者 | 実施日時 | ハッシュ値 | 保管場所 | 確認 |
|---|---|---|---|---|---|---|---|
| 1 | 画面撮影 | スマホで感染画面を撮影(連続5枚) | - | 撮影データフォルダ | □ | ||
| 2 | タイムラインメモ | 手書きノートに時系列記録 | - | 証拠保管庫 | □ | ||
| 3 | メモリダンプ | FTK Imagerで取得 | 外付けHDD#1 | □ | |||
| 4 | ネットワーク接続 | netstatコマンド出力保存 | 外付けHDD#1 | □ | |||
| 5 | プロセス一覧 | tasklistコマンド出力保存 | 外付けHDD#1 | □ | |||
| 6 | 自動起動設定 | Autorunsで出力保存 | 外付けHDD#1 | □ | |||
| 7 | イベントログ | Security/System/Applicationをevtx形式で保存 | 外付けHDD#2 | □ | |||
| 8 | ファイアウォールログ | 過去30日分をコピー | 外付けHDD#2 | □ | |||
| 9 | マルウェア検体 | 実行ファイルをZIP圧縮(PW:infected) | 隔離USB | □ | |||
| 10 | ディスクイメージ | ハードディスク全体をdd形式で取得 | 外付けHDD#3,#4 | □ |
ステークホルダーへの連絡|報告と調整
証拠保全と並行して、関係者への連絡を開始します。迅速かつ正確な情報共有が、信頼維持の鍵です。
社内への報告
社内の関係部署への報告を、優先順位に従って実施します。
経営層への第一報
- 報告内容の構成
- 経営層(社長、CISO、CIO、CFO等)への第一報は、①発生事実、②現状の被害、③影響範囲、④初動対応の状況、⑤今後の見通し、⑥判断を仰ぐ事項、の6点を簡潔に報告します。報告時間は5-10分程度とし、詳細は後のレポートで補完します。報告例:「本日10時、ランサムウェア感染が発覚しました。営業部の12台のPCとファイルサーバー1台が暗号化され、業務が停止しています。被害額は約3,000万円と推定されます。現在、ネットワーク遮断により拡散を防止し、バックアップからの復旧を準備中です。復旧には5日程度を要する見込みです。身代金500万円の要求がありますが、支払いの可否について経営判断をお願いします。」このように、事実ベースで簡潔に報告し、感情的な表現(「大変なことになりました」等)は避けます。
- 経営判断を要する事項
- 以下の事項は、IT部門だけで判断せず、必ず経営層の承認を得ます。①身代金の支払い可否、②業務停止の範囲と期間、③取引先・顧客への公表範囲とタイミング、④警察・監督官庁への報告の要否、⑤外部専門家への委託と予算、⑥プレスリリースの内容と公表日時、⑦訴訟リスクへの対応(弁護士の選任)。特に、身代金支払いは、①法的問題(犯罪組織への資金提供)、②復号化の不確実性(支払っても復号できない可能性)、③企業イメージ(支払いが報道されるリスク)、④再発リスク(支払うと再び狙われる)、という観点から慎重な判断が必要です。最近の傾向では、支払わない方針を取る企業が増えていますが、バックアップがなく事業継続が不可能な場合は、支払いも選択肢となります。
関連部署との連携
- IT部門内での役割分担
- インシデント対応では、複数の作業を並行して進めるため、明確な役割分担が必要です。役割例:①統括責任者(全体の指揮、経営層との連絡)、②技術対応リーダー(ネットワーク遮断、証拠保全の指揮)、③ネットワーク担当(ファイアウォール設定、VLAN変更)、④サーバー担当(サーバーの調査、復旧)、⑤エンドポイント担当(端末の調査、駆除)、⑥フォレンジック担当(証拠保全、ログ分析)、⑦ユーザーサポート担当(問い合わせ対応、代替手段の案内)、⑧記録係(全ての決定事項、実施事項を記録)。役割分担は、対策本部の初回ミーティングで決定し、全員に周知します。
- 法務部門との連携
- 法務部門には、①個人情報漏洩の法的報告義務(個人情報保護委員会への報告)、②契約違反のリスク(SLA未達、取引先への損害)、③訴訟リスク(株主代表訴訟、顧客からの損害賠償請求)、④犯罪被害としての警察届出、⑤サイバー保険の請求手続き、について助言・対応を依頼します。特に、個人情報漏洩の場合、個人情報保護法により「漏洩を知った時から速やか(概ね3-5日以内)」に個人情報保護委員会と本人への報告が義務付けられています。報告遅延は、行政処分(命令、罰金)のリスクがあります。
- 広報部門との連携
- 広報部門には、①プレスリリースのドラフト作成、②記者会見の準備(必要な場合)、③ホームページでの告知、④問い合わせ窓口の設置、⑤SNS等での風評監視、を依頼します。対外発表のタイミングは、①事実関係が確定してから、②対策が明確になってから、③法的報告義務を満たすタイミング、を考慮して決定します。早すぎる発表は混乱を招き、遅すぎる発表は隠蔽と受け取られるリスクがあります。通常、インシデント発覚から24-48時間以内に第一報を発表することが望ましいです。
社外への連絡
社外のステークホルダーへの連絡も、迅速に実施します。
- 監督官庁への報告
- 業界や被害内容により、監督官庁への報告義務があります。報告先:①個人情報漏洩→個人情報保護委員会、②金融機関→金融庁、③医療機関→厚生労働省、④重要インフラ事業者(電力、通信、交通等)→内閣サイバーセキュリティセンター(NISC)、⑤上場企業→金融商品取引法に基づく適時開示(東京証券取引所)。報告内容:①インシデントの概要、②発生日時、③被害内容(件数、項目)、④原因(判明している範囲で)、⑤対応状況、⑥再発防止策。報告は、文書(メール、郵送)で行い、後日詳細報告書を提出します。報告期限を厳守しないと、行政処分のリスクがあります。
- 取引先への通知
- サプライチェーンへの影響がある場合、重要度順に連絡します。連絡内容:①インシデント発生の事実、②御社への影響(納期遅延、サービス停止、データ漏洩の可能性等)、③復旧見込み、④代替手段(可能であれば)、⑤今後の連絡体制。連絡方法:①最重要取引先→電話+メール(即座)、②重要取引先→メール(6時間以内)、③一般取引先→ホームページ告知(24時間以内)。取引先からの問い合わせに対応するため、専用窓口(メールアドレス、電話番号)を設置します。不誠実な対応は、取引停止や損害賠償請求のリスクがあります。
- セキュリティベンダーへの支援要請
- 自社リソースのみでの対応が困難な場合、外部の専門家に支援を要請します。依頼先:①既に契約しているMDRサービス(契約があれば最優先)、②インシデントレスポンスサービス(NRI SecureTechnologies、ラック、トレンドマイクロ、CrowdStrike等)、③フォレンジック専門業者(日本IBM、NTTデータ先端技術等)、④マルウェア解析専門家(JPCERT/CC、セキュリティベンダーの研究部門)、⑤データ復旧業者(暗号化されたデータの復旧を試行)。依頼時の情報:①インシデントの概要、②システム構成、③希望するサービス(初動支援、フォレンジック、マルウェア解析等)、④予算、⑤緊急度。見積もりを複数社から取得する余裕はないため、事前に候補業者をリストアップしておくことが重要です。
広報対応の準備
対外発表に備え、広報資料を準備します。
プレスリリース準備
- プレスリリースの構成
- プレスリリースは、①見出し、②発生日時と発覚日時、③被害内容(件数、項目)、④原因(判明している範囲で)、⑤お客様への影響、⑥対応状況、⑦お詫びの言葉、⑧再発防止策、⑨お問い合わせ先、の順で構成します。記載のポイント:①事実のみを記載(推測や感情的表現は避ける)、②専門用語を避ける(一般の人にも理解できる表現)、③隠さない(後で追加発覚すると信用失墜)、④責任転嫁しない(「ベンダーのせい」等は避ける)、⑤前向きな姿勢(再発防止に全力で取り組む)。法務部門と広報部門で複数回レビューし、経営層の承認を得てから公表します。
- 記者会見の準備
- 被害が大規模な場合、記者会見を実施します。準備事項:①会見者の選定(社長、CISO、広報担当)、②想定問答集の作成(「原因は?」「責任者は誰?」「補償は?」等)、③資料の準備(プレスリリース、説明用スライド)、④リハーサルの実施、⑤会場の手配と設営、⑥記者への事前通知。記者会見では、①謝罪の姿勢、②事実の説明、③対応状況の報告、④再発防止の決意、を明確に伝えます。質疑応答では、①知らないことは「調査中」と正直に答える、②推測で答えない、③責任転嫁しない、④感情的にならない、という点に注意します。
問い合わせ窓口設置
- 顧客向け問い合わせ窓口
- 顧客からの問い合わせに対応するため、専用窓口を設置します。設置内容:①専用メールアドレス(例:incident@example.com)、②専用電話番号(フリーダイヤル推奨)、③対応時間(24時間対応が理想、難しければ平日9-18時等)、④FAQ(よくある質問と回答)をWebサイトに掲載、⑤対応マニュアル(担当者向けの回答スクリプト)。問い合わせ内容を記録し、①どのような質問が多いか、②顧客の懸念は何か、を把握し、FAQ更新や第二報の内容に反映します。
ステークホルダー連絡先一覧
以下の表を事前に作成し、インシデント時に即座に参照できるようにします。
| 分類 | 組織名 | 部署・担当者 | 連絡先(電話) | 連絡先(メール) | 連絡タイミング | 備考 |
|---|---|---|---|---|---|---|
| 社内 | 経営層 | 社長 | XXX-XXXX-XXXX | president@example.com | Critical発覚時即座 | 最終意思決定者 |
| 社内 | IT部門 | IT部長 | XXX-XXXX-XXXX | it-manager@example.com | High以上発覚時即座 | 技術統括 |
| 社内 | 法務部門 | 法務担当 | XXX-XXXX-XXXX | legal@example.com | 1時間以内 | 法的対応判断 |
| 社内 | 広報部門 | 広報担当 | XXX-XXXX-XXXX | pr@example.com | 6時間以内 | 対外発表準備 |
| 官公庁 | 個人情報保護委員会 | - | 03-6457-9680 | - | 個人情報漏洩時3-5日以内 | 法的報告義務 |
| 官公庁 | 警察サイバー犯罪相談 | - | #9110 | - | 犯罪被害時即座 | 被害届提出 |
| 官公庁 | IPA | - | 03-5978-7509 | - | 発覚時即座(相談) | 技術的助言 |
| 官公庁 | JPCERT/CC | - | - | info@jpcert.or.jp | 発覚後24時間以内 | インシデント報告 |
| 外部 | セキュリティベンダー | ○○社 | XXX-XXXX-XXXX | support@vendor.com | 支援必要時即座 | インシデント対応 |
| 外部 | サイバー保険会社 | △△保険 | XXX-XXXX-XXXX | claims@insurance.com | 24時間以内 | 保険請求開始 |
| 外部 | 主要取引先A | ○○部 | XXX-XXXX-XXXX | partner-a@customer.com | 影響判明時即座 | 最重要顧客 |
復旧への移行判断|駆除開始のタイミング
証拠保全と被害範囲の特定が完了したら、復旧フェーズへ移行します。ただし、焦りは禁物です。
駆除前の確認事項
不十分な準備での駆除は、状況を悪化させるリスクがあります。
証拠保全の完了確認
- 保全済み証拠のチェック
- 以下の証拠が全て保全されているか、証拠保全チェックリストで確認します。①メモリダンプ(感染端末全台)、②ディスクイメージ(最低1台、可能なら全台)、③ログファイル(感染端末、サーバー、ネットワーク機器)、④マルウェア検体、⑤画面撮影・タイムラインメモ、⑥ネットワーク通信記録。一つでも欠けていると、後のフォレンジック調査や訴訟対応で支障が出る可能性があります。不足があれば、駆除を遅らせてでも保全を優先します。
- バックアップの確認
- 復旧に使用するバックアップが、①実際に復元可能であること(テスト実施済み)、②感染前の時点であること(感染後のバックアップは使用不可)、③完全性が保たれていること(ハッシュ値確認)、を確認します。バックアップに問題があると、復旧作業が全て無駄になります。
感染範囲の確定
- 全端末の調査完了
- 全ての端末・サーバーについて、感染の有無を調査し終えているか確認します。一部の端末を見逃すと、駆除後に再感染するリスクがあります。特に、①長期間オフラインだった端末(出張中のモバイルPC等)、②ネットワーク監視外の端末(工場のOT機器、会議室のTV等)、③個人所有端末(BYOD)、は見逃しやすいため、徹底的にチェックします。
- 侵入経路の特定完了
- マルウェアがどこから侵入したか、確定しているか確認します。侵入経路が不明なまま駆除すると、同じ経路から再侵入されるリスクがあります。最低限、①初期侵入ポイント(どの端末、どのタイミング)、②侵入手法(フィッシング、脆弱性悪用等)、③横展開の経路、を特定します。
駆除ツールの準備
- 駆除ツールの選定
- マルウェアの種類に応じた駆除ツールを準備します。①既知のマルウェア→セキュリティベンダーの専用駆除ツール(Symantec、Kaspersky、Trend Micro等が公開)、②ランサムウェア→復号ツール(No More Ransom Projectで検索)、③一般的なマルウェア→総合セキュリティソフトのフルスキャン、④高度なマルウェア→専門業者への依頼。駆除ツールは、必ず最新版を使用し、隔離環境でテストしてから本番環境に適用します。
- 再感染防止策の実装
- 駆除後に再感染しないよう、以下の対策を実装してから駆除を開始します。①侵入経路の閉鎖(脆弱性パッチ適用、VPNアクセス制限等)、②全アカウントのパスワードリセット、③ファイアウォールルールの強化、④セキュリティソフトの定義ファイル更新、⑤ユーザーへの注意喚起。これらを実施せずに駆除すると、数時間後に再感染するリスクがあります。
駆除作業の優先順位
全てを同時に復旧することは不可能です。優先順位を明確化します。
- Criticalシステム
- 事業継続に最も重要なシステムから優先的に復旧します。典型例:①認証基盤(Active Directory、LDAP)→全社員がログインできなければ業務不可、②メールサーバー→社内外のコミュニケーションに必須、③ファイルサーバー→業務ファイルへのアクセスに必須、④インターネット接続→外部との通信に必須、⑤基幹業務システム(ERP、CRM等)→売上・受注等の事業中核に必須。これらのシステムは、24時間以内の復旧を目標とします。復旧作業は、最優先で人員を投入し、必要なら外部ベンダーの支援も要請します。
- 業務システム
- 次に、部門別の業務システムを優先度順に復旧します。優先順位の判断基準:①事業への影響度(売上への直接影響)、②代替手段の有無(紙ベース等で対応可能か)、③復旧の難易度(簡単なものから)、④ユーザー数(多くの人が困るもの優先)。例:①営業支援システム(顧客対応に必須)、②生産管理システム(製造業の場合)、③経理システム(月末・年度末は優先度高)、④人事システム(給与計算時期は優先度高)。復旧目標は、48-72時間以内とします。
- 個別端末
- 最後に、個々の従業員の端末を復旧します。端末の復旧方法:①軽度の感染→駆除ツールでクリーンアップ、②重度の感染→初期化(クリーンインストール)+バックアップからデータ復元、③感染なし(予防的隔離)→スキャン後に復帰。初期化が必要な場合、①OS再インストール、②ソフトウェア再インストール、③ユーザーデータ復元、④設定の復元、という手順で、1台あたり2-4時間を要します。全端末の復旧には、数日~1週間かかる場合があり、段階的に実施します。
復旧計画の策定
体系的な復旧計画を策定し、全員で共有します。
段階的復旧のロードマップ
復旧を3つのフェーズに分けて実施します。
| フェーズ | 期間 | 復旧対象 | 目標 | 成功基準 |
|---|---|---|---|---|
| Phase 1 | 0-24時間 | Critical システム | 最低限の業務再開 | 認証・メール・インターネット接続が復旧 |
| Phase 2 | 24-72時間 | 業務システム | 主要業務の再開 | 営業・生産・経理等の主要機能が復旧 |
| Phase 3 | 3-7日 | 個別端末 | 通常運用への復帰 | 全従業員が自席のPCで業務可能 |
各フェーズの完了時に、経営層へ進捗報告し、次フェーズへの移行承認を得ます。
代替手段の活用
システム復旧を待つ間、代替手段で業務を継続します。
- 紙ベース業務への一時移行
- デジタル化以前の業務フローに一時的に戻します。①受注→電話・FAXで受付、手書き伝票で管理、②在庫管理→目視確認、紙の帳簿で記録、③請求書発行→手書きまたはExcelで作成、④給与計算→Excelで計算(給与ソフトが使えない場合)。非効率ですが、業務を完全停止するよりは良い選択です。紙ベースで記録したデータは、復旧後にシステムへ入力し直します。
- クラウドサービスの緊急活用
- オンプレミスのシステムが復旧するまで、クラウドサービスを一時的に利用します。①ファイル共有→Google Drive、OneDriveで代替、②コミュニケーション→Slack、Microsoft Teamsで代替、③顧客管理→Salesforce等のクラウドCRMを緊急契約、④会計→クラウド会計ソフトを一時利用。ただし、①データ移行の手間、②コスト、③セキュリティリスク、を考慮して判断します。BCP/DR計画として、事前にクラウドサービスとの契約を結んでおくことも有効です。
初動対応必要ツール一覧
初動対応で使用する主要ツールを、事前に準備しておきます。
| ツール名 | 用途 | 入手先 | 費用 | 準備方法 |
|---|---|---|---|---|
| FTK Imager | メモリダンプ、ディスクイメージ作成 | AccessData公式サイト | 無料 | USBメモリに保存 |
| Autoruns | 自動起動項目の確認 | Microsoft Sysinternals | 無料 | USBメモリに保存 |
| Process Explorer | プロセス詳細情報の確認 | Microsoft Sysinternals | 無料 | USBメモリに保存 |
| Wireshark | ネットワーク通信の解析 | Wireshark.org | 無料 | 管理者PCにインストール |
| HashCalc | ファイルのハッシュ値計算 | SlavaSoft | 無料 | USBメモリに保存 |
| 7-Zip | マルウェア検体の圧縮 | 7-zip.org | 無料 | USBメモリに保存 |
| USB Write Blocker | 証拠改変防止 | Tableau等 | 有料(3万円~) | 証拠保全キットに常備 |
| 外付けHDD | バックアップ、証拠保存 | 家電量販店 | 1-3万円 | 3台以上常備 |
これらのツールを「インシデント対応キット」として1つのバッグにまとめ、鍵付きキャビネットに保管します。定期的(四半期ごと)に動作確認とバージョン更新を行います。
よくある質問(FAQ)
- Q: マルウェア感染が疑われたら最初に何をすべき?
- A: ①ネットワークケーブルを抜く/Wi-Fiを切断(物理的遮断が最優先)、②スクリーンショットまたはスマホで画面記録(証拠保全)、③時刻と症状をメモ(「1月15日10時30分、ランサムウェアの脅迫画面が表示された」等)、④上司/IT部門/セキュリティ担当に即報告(遅延は被害拡大につながる)、⑤他の端末での同様症状確認(横展開の有無)。重要なのは、パニックにならず、電源は切らないこと(メモリ上の証拠が失われる)。この5つを5分以内に実施することで、被害拡大を防げます。特にランサムウェアの場合、ネットワーク遮断が1分遅れるごとに、数百~数千ファイルが追加で暗号化されます。迅速な遮断が最優先です。
- Q: ランサムウェアに感染したらすぐ電源を切るべき?
- A: いいえ、すぐに電源を切るべきではありません。理由:①メモリ上の証拠(実行中のマルウェア、暗号化キー、ネットワーク接続情報等)が失われる、②暗号化プロセスが中途半端な状態で停止すると、後で復号が困難になる、③ネットワーク遮断の方が優先度が高い。正しい手順:①ネットワークを物理的に遮断(LANケーブルを抜く、Wi-Fiを切断)、②画面をスマホで撮影(身代金要求画面、暗号化されたファイルのリスト等)、③可能であればメモリダンプ取得、④その後に電源オフ。ただし、暗号化が猛烈な速度で進行中で、データ保護を最優先すべき場合(バックアップがない等)は、即座に電源オフも選択肢です。状況を見て柔軟に判断します。
- Q: 証拠保全は本当に必要?すぐ駆除したいのですが
- A: 証拠保全は極めて重要で、駆除よりも優先されます。理由:①犯人特定と法的対応に必要(警察への被害届、民事訴訟での証拠)、②感染経路の解明で再発防止(同じ経路から再侵入を防ぐ)、③サイバー保険請求の根拠(証拠がないと保険金が下りない)、④被害範囲の正確な把握(どのデータが盗まれたか、誰がアクセスしたか)、⑤内部犯行の可能性確認(外部攻撃か内部不正か判別)。最低限、①感染端末の画面撮影(スマホで5枚程度)、②Windowsイベントログのコピー(数分で可能)、③ファイアウォールログ保存(ネットワーク管理者に依頼)、を15分程度で実施するだけでも、後の対応が大きく変わります。完璧な証拠保全は難しくても、「何もしない」よりは「できる範囲でやる」方が遥かに良いです。
- Q: 週末/深夜に感染が発覚した場合は?
- A: 緊急連絡網に従い、即座に対応を開始します。手順:①オンコール担当者(事前に指定された週末・夜間の担当者)に連絡、②連絡がつかない場合は次順位者へ(30分以内に応答がなければ次へ)、③並行して、自分でできる初動対応を実施:ⓐネットワーク遮断、ⓑ証拠保全(画面撮影、タイムラインメモ)、ⓒ被害拡大防止(同一セグメントの他端末確認)、④判断に迷ったら「被害拡大防止」を最優先(過剰対応のリスクより、対応不足のリスクの方が大きい)。「月曜朝まで待つ」は最悪の選択です。週末・夜間こそ、攻撃者が狙うタイミングであり、数時間の遅れが致命的な被害につながります。リモートでもできる対応(ファイアウォールルール変更、VPN切断、EDRでの隔離等)から着手します。完璧でなくても、「何もしないよりマシ」という姿勢で行動することが重要です。
- Q: 中小企業で専門家がいない場合の初動対応は?
- A: 外部の専門機関を即座に活用します。①IPA(情報処理推進機構、電話:03-5978-7509)に即電話相談(無料、平日9:30-17:30、緊急時は時間外も対応あり)、②ネットワーク遮断は必ず自分で実施(LANケーブルを抜く、ルーターの電源を落とす等、専門知識不要)、③重要データのUSB等への退避(感染していないPCを使用、感染端末のデータは触らない)、④取引先への連絡(「サイバー攻撃を受けた可能性があり、調査中です。御社への影響は現時点で不明です」と正直に伝える)、⑤地元のIT業者またはセキュリティ業者に緊急支援要請(タウンページ、知人の紹介等で探す)。完璧な対応は無理でも、「何もしない」よりは「できることをやる」が重要です。特にネットワーク遮断と証拠保全(画面撮影)は、専門知識がなくても実施できます。初動の遅れが、数百万~数千万円の被害拡大につながる可能性があります。
- Q: 身代金を支払うべきか?
- A: 原則として、身代金の支払いは推奨されません。理由:①犯罪組織への資金提供となる(法的・倫理的問題)、②復号化の保証がない(支払っても復号ツールが提供されない、または不完全な復号しかできない事例が多数)、③再攻撃のリスク(「支払う企業」として記録され、再び狙われる)、④企業イメージの損失(支払いが報道されると、セキュリティ意識の低さを露呈)。しかし、以下の場合は支払いも選択肢となります:①バックアップが全て破壊され、復旧不可能、②事業継続が不可能(医療機関で患者の命に関わる等)、③復号ツールの信頼性が高い(過去の事例で確実に復号できている)。支払い判断は、①法務部門、②経営層、③外部の弁護士・セキュリティ専門家、の助言を得て、慎重に行います。支払う場合でも、①交渉で減額を試みる、②復号ツールの動作確認後に支払う、③仮想通貨の追跡により犯人特定の手がかりを残す、という対策を講じます。警察への被害届は、支払いの有無に関わらず提出します。
まとめ:初動対応の成否が復旧を決める
マルウェア感染時の初動対応は、①被害拡大の防止、②証拠の保全、③迅速な復旧、④法的責任の軽減、という4つの目的を同時に達成する必要があります。
最初の1時間の黄金ルール
- 0-10分:ネットワーク遮断、画面記録、緊急度判定
- 10-30分:感染端末隔離、認証無効化、初動連絡
- 30-60分:証拠保全開始、バックアップ保護、被害範囲調査
初動対応の成功要因
- 事前準備(インシデント対応計画、ツールキット、緊急連絡網)
- 冷静な判断(パニックにならず、手順に従う)
- 迅速な実行(判断に迷ったら安全側を選択)
- チーム連携(役割分担を明確化し、情報共有を密に)
- 外部支援の活用(自社だけで抱え込まない)
避けるべき失敗パターン
- 発見者が一人で抱え込み、報告が遅れる
- 証拠保全を怠り、すぐに駆除してしまう
- 感染範囲の特定が不十分なまま復旧を開始する
- 関係者への連絡が遅れ、二次被害が発生する
- 経営層への報告を躊躇し、判断が遅れる
このマニュアルを印刷し、手元に置いてください。いざという時、このマニュアルが貴社を救います。
関連記事
- マルウェア感染:包括的な対策ガイド
- マルウェアインシデント対応完全ガイド
- インシデント対応計画の策定
- マルウェア駆除の実践ガイド
- フォレンジック調査の実施方法
- インシデントレスポンスプレイブック
- ランサムウェアの脅威と対策
- ランサムウェア対応ガイド
- 事業継続計画(BCP)と災害復旧(DR)
- インシデント対応の法的・コンプライアンス対応
【重要なお知らせ】
本記事は一般的な情報提供を目的としており、個別の状況に対する法的助言ではありません。実際にインシデントが発生した場合は、弁護士、セキュリティ専門家、警察等の専門機関に速やかにご相談ください。証拠保全やフォレンジック調査は、法的証拠としての有効性を保つため、専門家の指導の下で実施することを推奨します。本記事の内容を実施したことにより生じたいかなる損害についても、著者および発行者は責任を負いかねます。インシデント対応は、各組織の状況、リスク、法的要件に応じてカスタマイズする必要があります。記載内容は作成時点の情報であり、法規制や攻撃手法の変化により、推奨事項が変更される可能性があります。
更新履歴
- 初稿公開
