感染発覚時の初動対応(最初の1時間にやるべきこと)
ランサムウェア感染が疑われる場合、最初の1時間で取る行動が極めて重要です。冷静に、しかし迅速に対応することが求められます。
Step1:ネットワークからの隔離(即時)
感染が疑われる端末を発見したら、まずネットワークから隔離することが最優先です。
- LANケーブルの抜線
- 有線接続の場合は、LANケーブルを端末から抜く。ネットワークスイッチ側で該当ポートを無効化する方法もある。
- Wi-Fiの切断
- 無線接続の場合は、Wi-Fiをオフにする。機内モードに設定することで、すべての無線通信を遮断できる。
- 電源は切らない
- 証拠保全(フォレンジック調査)のため、電源は切らないことが望ましい。メモリ上に残る攻撃の痕跡が失われる恐れがある。ただし、暗号化が進行中の場合は電源を切る判断もありうる。
ネットワークからの隔離により、他の端末やサーバーへの感染拡大(横展開)を防ぐことができます。詳細な初動手順については、「会社PCがウイルス感染?5分間緊急初動マニュアル」をご参照ください。
Step2:感染状況の記録
隔離と並行して、感染状況を正確に記録することが重要です。この記録は、後の調査や報告に必要となります。
- スクリーンショットの撮影
- 身代金要求画面、エラーメッセージ、暗号化されたファイルの状態などをスマートフォン等で撮影しておく。
- 発見情報の記録
- 発見日時、発見者名、発見した端末名・場所、発見時の状況(何をしていた時に気づいたか)を記録する。
- 身代金画面の保存
- 身代金要求画面に表示されているランサムウェアの名称、金額、連絡先(メールアドレス、Torアドレス等)、期限などを記録する。
これらの情報は、ランサムウェアの種類を特定し、復号ツールの有無を確認するために必要です。また、警察への届出や保険会社への報告にも使用します。
Step3:社内エスカレーション
発見者から適切な部署・責任者への報告を速やかに行います。
- 報告ルートの例
- 発見者 → 直属の上長 → 情報システム部門 → CSIRT/セキュリティ担当 → 経営層(CIO/CISO/社長)
- 報告すべき情報
- 発見日時、影響を受けている端末・システム、現時点で判明している被害範囲、取った対応(隔離等)
報告を受けた情報システム部門は、インシデント対応チームを招集し、対応体制を立ち上げます。事前に策定したインシデント対応計画があれば、それに従って動きます。
Step4:外部専門家への連絡検討
社内リソースだけでの対応が困難な場合は、外部専門家への連絡を早期に検討します。
- フォレンジック業者・セキュリティベンダー
- 感染経路の特定、被害範囲の調査、証拠保全、復旧支援などを依頼できる。事前に契約しておくと迅速に対応可能。
- サイバー保険会社
- サイバー保険に加入している場合は、保険会社に連絡し、対応支援サービスを受けられる場合がある。費用補填の対象となる対応範囲も確認する。
サイバー保険の詳細については、「サイバー保険の選び方」をご参照ください。
初動対応タイムライン
| 経過時間 | 対応項目 | 担当 | 優先度 |
|---|---|---|---|
| 即時(0〜5分) | 感染端末のネットワーク隔離 | 発見者/情シス | 最優先 |
| 5〜15分 | 感染状況の記録(スクリーンショット等) | 発見者 | 高 |
| 5〜15分 | 直属上長への報告 | 発見者 | 高 |
| 15〜30分 | 情報システム部門への連絡 | 上長 | 高 |
| 15〜30分 | 他の端末の感染確認開始 | 情シス | 高 |
| 30〜60分 | 経営層への第一報 | 情シス/CSIRT | 高 |
| 30〜60分 | 外部専門家への連絡判断 | 経営層 | 中〜高 |
| 1時間以内 | インシデント対応チーム立ち上げ | CSIRT | 高 |
被害範囲の特定と封じ込め
初動対応の後は、被害範囲を正確に把握し、これ以上の拡大を防ぐための封じ込めを行います。
感染端末の特定方法
感染端末を特定するために、以下の兆候を確認します。
- 明らかな兆候
- 身代金要求画面の表示、ファイル拡張子の変化(.locked、.crypted等)、ファイルが開けない状態
- 間接的な兆候
- 異常なCPU使用率、大量のファイルアクセスログ、異常な通信先への接続
ログ分析により、感染経路を追跡することも重要です。VPN機器のログ、Active Directoryのログイン履歴、メールサーバーのログなどを調査し、いつ、どこから侵入されたかを特定します。詳細な調査については、「ランサムウェアのフォレンジック調査」をご参照ください。
横展開(ラテラルムーブメント)の確認
ランサムウェア攻撃者は、1台の端末に侵入した後、ネットワーク内を横展開して被害を拡大させることが一般的です。
- Active Directoryの侵害確認
- ドメイン管理者アカウントが侵害されていないか、不審なグループポリシーの変更がないか確認する。侵害されている場合は全ユーザーのパスワードリセットが必要。
- 共有フォルダ・ファイルサーバーの確認
- ネットワーク共有経由で暗号化されたファイルがないか確認する。アクセス権を持つすべてのサーバーを調査対象とする。
Active Directoryの保護については、「Active Directoryをランサムウェアから守る」で詳しく解説しています。
バックアップの安全性確認
復旧に使用するバックアップが安全であるか確認することは極めて重要です。
- バックアップの暗号化確認
- オンラインバックアップ(NAS、ファイルサーバー等)がランサムウェアによって暗号化されていないか確認する。同時に暗号化されているケースも多い。
- 復旧可能なバックアップ世代の特定
- 感染前のクリーンなバックアップがどの時点まで遡れば存在するか確認する。オフラインバックアップがあれば最優先で確認。
バックアップ戦略の詳細については、「ランサムウェアに負けないバックアップ戦略」をご参照ください。
封じ込め範囲の決定
感染拡大を防ぐために、封じ込めの範囲を決定します。
- セグメント単位での隔離
- 感染が確認されたネットワークセグメント全体を隔離する判断もありうる。業務影響とのバランスを考慮して決定。
- 業務影響の最小化
- 全システムを停止すれば封じ込めは確実だが、業務への影響も甚大になる。リスクと業務継続のバランスを経営判断として決定する必要がある。
関係機関への報告(警察・IPA・個人情報保護委員会)
ランサムウェア被害を受けた場合、複数の関係機関への報告が必要または推奨されます。
警察への届出
ランサムウェア被害は犯罪被害であり、警察への届出は対応の基本です。
- 届出先
- 最寄りの警察署、または都道府県警察のサイバー犯罪相談窓口。緊急でない場合は警察相談専用ダイヤル「#9110」も利用可能。
- 届出のメリット
- 捜査への協力による復号ツール提供の可能性、再発防止情報の入手、被害届提出による保険請求への活用など。
警察庁は、いくつかのランサムウェアファミリーに対する復号ツールを開発しており、届出を通じて提供される場合があります。
IPAへの届出
IPA(独立行政法人情報処理推進機構)では、コンピュータウイルス・不正アクセス届出制度を運営しています。
- 届出先
- IPAのWebサイトから届出フォームを使用して報告。
- 届出の意義
- 統計情報の収集、注意喚起への活用、届出者への情報提供など。社会全体のセキュリティ向上に貢献。
個人情報保護委員会への報告(速報・確報)
個人情報が漏洩した「おそれ」がある場合、個人情報保護法に基づく報告義務が発生する可能性があります。
- 報告義務の発生条件
- ランサムウェア被害は「不正アクセス」に該当し、個人データの漏えい等の「おそれ」がある場合は報告義務が発生する。1件でも該当すれば報告が必要。
- 速報
- 発覚から概ね3〜5日以内に、把握している事項を速やかに報告。詳細が判明していなくても、まず速報を行う。
- 確報
- 発覚から原則60日以内(不正アクセスの場合は30日以内)に、詳細な調査結果を報告。
報告義務の詳細については、「ランサムウェアと法的責任」をご参照ください。
業界監督官庁への報告
業種によっては、監督官庁への報告義務が別途存在します。
- 金融機関
- 金融庁への報告が必要な場合がある。
- 医療機関
- 厚生労働省への報告が必要な場合がある。
- 電気通信事業者
- 総務省への報告が必要な場合がある。
業界別の対応については、各業界向けページ(医療機関、金融機関等)をご参照ください。
報告先一覧表
| 報告先 | 連絡先 | 期限 | 備考 |
|---|---|---|---|
| 警察 | 最寄りの警察署、#9110 | 速やかに | 被害届または情報提供 |
| IPA | Webフォーム | 任意 | 統計・注意喚起に活用 |
| 個人情報保護委員会 | Webフォーム | 速報3-5日、確報30-60日 | 個人データ漏えい時は義務 |
| 業界監督官庁 | 各官庁 | 業界規則による | 業種により異なる |
| サイバー保険会社 | 契約書記載の連絡先 | 契約による | 保険適用のため早期連絡 |
身代金要求への対応方針
ランサムウェア攻撃者は、ファイルの復号や窃取データの削除と引き換えに身代金を要求します。この要求にどう対応するかは、高度な経営判断となります。
【重要】本セクションは一般的な情報提供であり、個別のケースについては必ず弁護士にご相談ください。
身代金支払いに関する一般的な考慮事項
身代金の支払いは、一般的に推奨されていません。その理由として、以下の点が挙げられます。
- 復号が保証されない
- 身代金を支払っても、復号キーが提供されない、提供されても正常に復号できないケースが報告されている。
- 再攻撃のリスク
- 支払いを行った組織は「支払い能力がある」とみなされ、再び攻撃の標的となる可能性がある。
- 犯罪組織への資金提供
- 身代金は攻撃者の活動資金となり、さらなる攻撃を助長することになる。
FBI(米国連邦捜査局)、英国NCSC(国家サイバーセキュリティセンター)などの国際的な機関も、身代金支払いを推奨していません。
組織としての意思決定プロセス
身代金支払いの判断は、経営レベルの意思決定として行われるべきです。
- 検討すべき要素
- 業務への影響度、バックアップからの復旧可能性、データの重要性・機密性、法的リスク、レピュテーションへの影響など。
- 専門家への相談
- 弁護士(法的リスクの確認)、フォレンジック業者(技術的可能性の確認)、セキュリティコンサルタント等の専門家の意見を踏まえて判断する。
身代金支払いの法的リスク
身代金の支払いには、法的リスクが伴う可能性があります。
- 外為法(外国為替及び外国貿易法)
- 攻撃者が経済制裁対象(北朝鮮等)に関連している場合、送金が外為法違反となる可能性がある。
- 犯罪収益移転防止法
- 身代金が犯罪収益であることを認識した上での送金は、犯罪収益移転防止法上の問題となる可能性がある。
法的リスクの詳細については、「ランサムウェアと法的責任」をご参照ください。
支払う場合・支払わない場合の想定シナリオ
| 観点 | 支払う場合 | 支払わない場合 |
|---|---|---|
| データ復旧 | 復号される可能性あり(保証なし) | バックアップからの復旧に依存 |
| 費用 | 身代金+復旧費用 | 復旧費用+事業損失 |
| 時間 | 交渉・支払いに時間を要する | 復旧に時間を要する |
| 法的リスク | 外為法等の違反リスク | 報告義務違反のリスク(該当する場合) |
| レピュテーション | 支払いが公表された場合のリスク | 長期停止による顧客離れリスク |
| 再攻撃リスク | 高まる可能性 | 変わらず |
【再掲】本セクションは一般的な情報提供であり、個別のケースについては必ず弁護士にご相談ください。
システム復旧の手順
身代金を支払わずに復旧する場合、またはバックアップから復旧する場合の手順を解説します。
復旧方針の決定
復旧方針には、主に2つのアプローチがあります。
- クリーンインストール
- OSから再インストールし、クリーンな環境を構築する方法。確実だが時間がかかる。
- バックアップ復元
- 感染前のバックアップから復元する方法。バックアップの健全性が前提となる。
業務優先度に基づいて、どのシステムから復旧するかの順序を決定します。
クリーン環境の構築
復旧作業の前に、感染経路が封鎖されていることを確認する必要があります。
- 感染経路の封鎖確認
- VPN機器の脆弱性が原因であれば、パッチ適用またはVPN停止。フィッシングメールが原因であれば、該当メールのブロック。
- セキュリティパッチの適用
- 復旧するシステムには、最新のセキュリティパッチを適用してから稼働させる。
- 認証情報のリセット
- 侵害された可能性のあるすべてのアカウントのパスワードをリセットする。特に管理者アカウントは必須。
バックアップからの復元
バックアップからの復元は慎重に行う必要があります。
- 復元前の安全性確認
- 復元するバックアップにランサムウェアが含まれていないか確認する。感染後に取得されたバックアップは危険な可能性がある。
- 段階的な復元と検証
- 一度にすべてを復元するのではなく、重要度の高いシステムから段階的に復元し、各段階で正常性を検証する。
復旧後の監視強化
復旧後も、再感染や残存する脅威への警戒が必要です。
- 再感染の兆候監視
- 復旧直後は特に注意深く監視し、再び暗号化が始まっていないか、不審な通信がないかを確認する。
- ログ監視の強化
- 通常よりも詳細なログ収集・監視を行い、攻撃者が再侵入していないかを確認する。
監視の詳細については、「SIEMでランサムウェアを検知する」をご参照ください。
復号ツールの活用(No More Ransom・警察庁ツール)
一部のランサムウェアファミリーについては、無料で利用できる復号ツールが存在します。
復号ツールとは
復号ツールは、ランサムウェアによって暗号化されたファイルを、身代金を支払わずに復号するためのツールです。
- 復号ツールが存在する理由
- セキュリティ研究者による暗号の解読、法執行機関による攻撃者の摘発とキーの押収、攻撃者側のミスによる暗号の脆弱性などにより、復号が可能になる場合がある。
- 利用条件
- 特定のランサムウェアファミリー(種類)にのみ対応。すべてのランサムウェアに復号ツールがあるわけではない。
No More Ransomプロジェクト
No More Ransomは、Europol(欧州刑事警察機構)、オランダ警察、セキュリティ企業が共同で運営するプロジェクトです。
- プロジェクト概要
- ランサムウェア被害者への支援を目的とし、無料の復号ツールを提供。190種類以上のランサムウェアに対応(2024年時点)。
- 利用方法
- Webサイト(nomoreransom.org)にアクセスし、暗号化されたファイルをアップロードして、対応するランサムウェアを特定。対応ツールがあればダウンロード可能。
警察庁開発の復号ツール
日本の警察庁も、いくつかのランサムウェアファミリーに対する復号ツールを開発しています。
- 対応ファミリー
- LockBit、Phobos、8Base等の複数のファミリーに対応(2025年時点)。
- 入手方法
- 警察への被害届または情報提供を通じて、復号ツールの提供を受けられる場合がある。一般公開はされていないものもある。
ランサムウェアファミリーの特定方法
復号ツールを利用するには、感染したランサムウェアの種類を特定する必要があります。
- ID Ransomware
- オンラインサービスで、暗号化されたファイルや身代金要求文をアップロードすることで、ランサムウェアの種類を特定できる。
- ファイル拡張子からの特定
- 暗号化後のファイル拡張子(.lockbit、.phobos等)から種類を推測できる場合がある。
- 身代金画面からの特定
- 身代金要求画面に表示されるロゴ、メッセージ、連絡先などから種類を特定できる場合がある。
復号ツールの詳細については、「ランサムウェア復号ツール完全ガイド」をご参照ください。
再発防止策の策定
インシデント対応が完了したら、同様の被害を繰り返さないための再発防止策を策定します。
根本原因分析(RCA)
まず、なぜ感染が発生したのかを徹底的に分析します。
- 侵入経路の特定
- VPN機器の脆弱性、フィッシングメール、RDP経由など、どのルートから侵入されたかを特定する。
- 検知できなかった原因
- なぜ侵入や暗号化を事前に検知できなかったのか、セキュリティ対策の不備を分析する。
技術的対策の強化
根本原因分析に基づき、技術的対策を強化します。
- 侵入経路の封鎖
- VPN機器のアップデート、パッチ管理プロセスの見直し、RDPの非公開化、メールフィルタリング強化など。
- 検知・監視体制の強化
- EDRの導入または設定見直し、ログ監視の強化、SIEM導入の検討など。
対策の詳細については、「ランサムウェア対策完全ガイド」をご参照ください。
組織的対策の見直し
技術だけでなく、組織的な対策も見直します。
- インシデント対応計画の改訂
- 今回の対応で判明した課題を反映し、対応計画を改訂する。
- 教育・訓練の強化
- 従業員教育の内容・頻度を見直し、標的型メール訓練を導入または強化する。
再発防止策チェックリスト
| 観点 | 対策項目 | 実施状況 |
|---|---|---|
| 技術 | 感染経路(VPN/RDP/メール等)の封鎖 | □ |
| 技術 | 全端末へのパッチ適用 | □ |
| 技術 | 全アカウントのパスワードリセット | □ |
| 技術 | EDR/セキュリティツールの導入・強化 | □ |
| 技術 | バックアップ体制の見直し | □ |
| 運用 | パッチ管理プロセスの確立 | □ |
| 運用 | ログ監視体制の強化 | □ |
| 運用 | インシデント対応計画の改訂 | □ |
| 組織 | 経営層への報告・承認 | □ |
| 組織 | 従業員教育の実施 | □ |
| 組織 | 外部専門家との連携体制構築 | □ |
よくある質問(FAQ)
- Q: 感染したPCの電源を切っても大丈夫ですか?
- A: 証拠保全(フォレンジック調査)の観点からは、電源を切らないことが望ましいです。メモリ上には攻撃の痕跡が残っており、電源を切ると失われてしまいます。ただし、暗号化が進行中であることが明らかな場合は、被害拡大を防ぐために電源を切る判断もありえます。まずはネットワークからの隔離(LANケーブル抜線、Wi-Fi切断)を優先し、電源については専門家の判断を仰ぐことをお勧めします。
- Q: 身代金を払えばデータは戻りますか?
- A: 身代金を支払っても、データが戻る保証はありません。復号キーが提供されないケース、提供されても正常に復号できないケースが報告されています。また、支払い後に再度攻撃される事例もあります。FBI、英国NCSCなど国際的な機関も身代金支払いを推奨していません。バックアップからの復旧、復号ツールの活用など、他の手段を優先的に検討してください。詳細は「身代金要求メールが届いたら」をご参照ください。
- Q: 警察に届け出ると何かメリットがありますか?
- A: 警察への届出には複数のメリットがあります。まず、警察庁が開発した復号ツールの提供を受けられる可能性があります(LockBit、Phobos、8Base等に対応)。また、捜査を通じて得られた攻撃者の手口や再発防止情報を共有してもらえる場合があります。さらに、被害届を提出することで、サイバー保険の請求に必要な証明となることもあります。犯罪被害として記録に残すことは、社会全体のセキュリティ向上にも貢献します。
- Q: 復旧にどのくらいの期間がかかりますか?
- A: 警察庁の統計によると、ランサムウェア被害からの復旧に1週間以上を要した組織が約70%を占めています。復旧期間は、被害範囲、バックアップの有無と状態、対応リソース、事前のインシデント対応計画の有無などによって大きく異なります。数日で復旧できるケースもあれば、数ヶ月を要するケースもあります。事前の備え(バックアップ、対応計画)が復旧期間を大きく左右します。
- Q: 個人情報が漏洩したかどうかはどうやって確認しますか?
- A: 個人情報の漏洩有無を確認するには、フォレンジック調査が必要です。攻撃者がどのデータにアクセスし、どのデータを外部に持ち出したかを、ログ分析や通信記録の調査によって特定します。また、ダークウェブ監視サービスを利用して、自社のデータが流出していないかを継続的に監視することも有効です。二重恐喝型の場合、攻撃者がリークサイトで公開する情報を監視することで判明する場合もあります。
関連ページへの導線
ランサムウェア対策 関連ページ
基礎から学ぶ
緊急対応
復旧と報告
再発防止
ご注意・免責事項
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 身代金支払いの判断は高度な経営判断であり、法的リスクも伴います。必ず弁護士・専門家にご相談ください
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化しています
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
