【5分でできる】感染が疑われたらすぐにやること
ウイルス感染が疑われたら、以下の手順を順番に実行してください。専門知識は不要で、5分以内に完了できます。焦らず、一つひとつ確実に行いましょう。
Step1:ネットワークから切断する(30秒)
最も重要かつ最優先の対応は、ネットワークからの切断です。これにより、他のPCへの感染拡大や、不正アクセスによる情報流出を防ぐことができます。
有線LANの場合
- LANケーブルを探す
- PCの背面または側面に接続されている、四角いコネクタのケーブルです。電話線に似ていますが、やや大きめのコネクタです。
- ケーブルを抜く
- コネクタのツメ(レバー)を押しながら引き抜きます。「カチッ」と音がしたら正しく抜けています。無理に引っ張らないでください。
- ケーブルの場所がわからない場合
- デスクの下や壁のコンセント付近を確認してください。見つからない場合は、Step1をスキップしてStep2に進んでも構いません。
Wi-Fiの場合
| OS | 手順 |
|---|---|
| Windows 10/11 | 画面右下のタスクバーにあるWi-Fiアイコン(扇形)をクリック → 「切断」または「機内モード」をオン |
| Mac | 画面右上のメニューバーにあるWi-Fiアイコンをクリック → 「Wi-Fiをオフにする」を選択 |
| 共通 | 機内モード(飛行機マーク)をオンにする方法でも可 |
物理的なWi-Fiスイッチがある場合は、それをオフにすることでも切断できます。
Step2:電源は切らない
ウイルス感染時に電源を切ったり再起動したりすることは避けてください。
- 証拠(ログ)が消える可能性
- メモリ上にある情報は電源を切ると消えてしまいます。この情報は後の調査で重要な証拠となります。
- 調査に必要な情報が失われる
- 感染経路の特定や、マルウェア感染の種類を判別するための手がかりが失われてしまいます。
- 自動的に再起動しようとしても止める
- 画面に「再起動してください」と表示されても、すぐには従わないでください。情報システム部門の指示を待ちましょう。
ただし、画面がどんどん変化している(ファイルが次々と暗号化されているように見える)場合は、被害拡大を防ぐために電源を切ることを検討してください。この判断は難しいため、可能であれば情報システム部門に電話で確認してください。
Step3:画面を撮影する(1分)
スマートフォンを使って、PCの画面を撮影してください。
- 撮影すべきもの
- エラーメッセージ、身代金要求画面、見慣れないウィンドウなど、異常が表示されているものすべて
- 撮影のコツ
- 画面全体が写るように撮影してください。文字が読めるよう、ピントを合わせましょう。可能であれば、時計を写し込むか、撮影後すぐに時刻をメモしてください。
- 複数枚撮影する
- 異常な表示が複数ある場合は、それぞれ撮影してください。後から「もっと撮っておけばよかった」とならないよう、気になるものはすべて撮影しましょう。
この画像は、フィッシング詐欺なのかランサムウェアなのかを判別する際の重要な証拠となります。
Step4:周囲の機器も確認(1分)
自分のPC以外にも異常がないか、周囲を確認してください。
| 確認対象 | 確認すること | 異常があった場合 |
|---|---|---|
| 隣の席のPC | 同じような症状が出ていないか | 同様にネットワークから切断 |
| 共有プリンター | エラー表示や異常動作がないか | 電源を切る |
| ネットワーク機器 | ルーターやハブのランプが異常点滅していないか | そのままにして報告 |
| 共有フォルダ | アクセスできるか、ファイルは正常か | 他の人にも確認を呼びかける |
ソーシャルエンジニアリングと組み合わせた攻撃の場合、複数の端末が同時に狙われることがあります。自分だけでなく、周囲にも注意を促してください。
Step5:上司・情シスに報告(2分)
ネットワーク切断と画面撮影が完了したら、すぐに報告してください。
- 連絡方法
- 感染したPCは使わず、スマートフォンや別のPCから連絡してください。電話が最も確実です。
- 連絡先の優先順位
- ①情報システム部門 → ②直属の上司 → ③総務部門 の順で連絡を試みてください。
- 連絡がつかない場合
- メールやチャットで報告を入れつつ、電話を続けてください。緊急事態であることを伝えましょう。
上司・情シスへの報告テンプレート
報告時に伝えるべき情報を整理しておくと、スムーズに対応が進みます。
報告すべき情報
- いつ異常に気づいたか
- 「○時○分頃」のようにできるだけ正確に。「さっき」「ついさっき」ではなく、具体的な時刻を伝えましょう。
- どんな異常が起きているか
- 「画面に英語のメッセージが表示されている」「ファイルが開けなくなった」など、見たままを伝えてください。
- 直前に何をしていたか
- 「メールの添付ファイルを開いた」「Webサイトを見ていた」「特に何もしていなかった」など。これは感染経路の特定に重要です。
- 今の状況
- 「ネットワークから切断済み」「電源は入ったまま」など、現在の対応状況を伝えてください。
報告例文
以下は報告の例文です。このまま使っていただいても構いません。
「○○部の△△です。
先ほど○時頃、自分のPCで異常を発見しました。
画面に英語のメッセージが表示され、ファイルが開けなくなっています。
直前にメールの添付ファイルを開いたところ、このような状態になりました。
現在、LANケーブルを抜いてネットワークから切断しています。
画面はスマートフォンで撮影しました。
どのように対応すればよいでしょうか。」
このように、5W1H(いつ・どこで・誰が・何を・なぜ・どのように)を意識して報告すると、相手も状況を把握しやすくなります。
絶対にやってはいけない5つのNG行動
感染が疑われる際にやってしまいがちな、しかし絶対に避けるべき行動があります。
NG1:電源を切る/再起動する
| やりがちな行動 | なぜダメか |
|---|---|
| 「おかしくなったから再起動しよう」 | メモリ上の証拠が消え、感染経路の特定が困難になる |
| 「電源を切れば止まるはず」 | 調査に必要なログが失われ、被害範囲の特定が難しくなる |
| 「一度切ってから相談しよう」 | 標的型攻撃(APT)の調査では、メモリ情報が重要な証拠となる |
NG2:自分で駆除しようとする
| やりがちな行動 | なぜダメか |
|---|---|
| 「ウイルス対策ソフトでスキャンしよう」 | 不完全な駆除により、証拠が消えたり被害が拡大したりする |
| 「怪しいファイルを削除しよう」 | 削除したファイルが調査に必要な証拠かもしれない |
| 「ネットで対処法を調べて自分で直そう」 | 誤った対処で状況が悪化する可能性がある |
NG3:身代金を払う
- データが戻る保証がない
- ランサムウェアの身代金を払っても、データが復元される保証はありません。支払い後に追加要求されるケースもあります。
- 会社の判断なしに払わない
- 身代金の支払いは重大な経営判断です。個人の判断で支払うことは絶対に避けてください。
- 犯罪者の資金源になる
- 支払ったお金は次の攻撃の資金となり、被害者を増やすことにつながります。
NG4:感染PCからメールを送る
| やりがちな行動 | なぜダメか |
|---|---|
| 「上司にメールで報告しよう」 | 感染が社内ネットワークに広がる可能性がある |
| 「同僚に注意喚起のメールを送ろう」 | 添付されたマルウェアが他の人に送られてしまう可能性 |
| 「取引先にお詫びメールを送ろう」 | 感染PCからの通信すべてがリスクとなる |
連絡は必ずスマートフォンや別の(感染していない)PCから行ってください。
NG5:隠す・報告しない
- 被害が拡大する
- 報告が遅れるほど、他のPCへの感染や情報漏洩のリスクが高まります。
- 早期報告が被害を最小化する
- ほとんどの組織で、早期報告は評価される行動です。隠すことで問題が大きくなります。
- 会社として対応が必要
- ビジネスメール詐欺(BEC)などと組み合わされている場合、組織全体での対応が必要です。
NG行動チェックリスト
以下の行動をしていないか、確認してください。
| やってしまいがちな行動 | なぜダメか | 正しい行動 |
|---|---|---|
| PCを再起動した | 証拠が消える | 電源はそのまま維持 |
| ウイルス対策ソフトでフルスキャンを開始 | 証拠が書き換わる可能性 | 専門家の指示を待つ |
| 感染PCでメールを送信 | 感染拡大の可能性 | スマホから連絡 |
| 画面を閉じた | 証拠が見えなくなる | 画面はそのまま、撮影する |
| 誰にも言わず帰宅 | 被害拡大、対応遅延 | 必ず報告してから帰宅 |
報告しても怒られない?不安への回答
「自分のせいで感染したのではないか」「報告したら怒られるのではないか」という不安を感じる方も多いでしょう。
報告は義務であり評価される行動
- 早期発見・報告が被害を最小化する
- サイバー攻撃の被害を最小限に抑えるためには、早期発見と早期対応が不可欠です。報告が早ければ早いほど、組織としての対応も早くなります。
- 隠す方が問題が大きくなる
- 報告せずに時間が経つと、他のPCへの感染、情報漏洩、業務停止など、被害が拡大します。後から発覚した場合、なぜ報告しなかったのかが問題になります。
- 「報告してくれてありがとう」と言われるケースが多い
- 情報セキュリティ担当者の多くは、報告してくれた従業員に感謝しています。怒られることを心配する必要はありません。
自分のせいではないかもしれない
| 不安 | 事実 |
|---|---|
| 「自分が変なメールを開いたせいだ」 | 巧妙なフィッシング詐欺は、セキュリティ専門家でも見抜けないことがある |
| 「自分の操作ミスが原因だ」 | 多くの感染は、システムの脆弱性を突いた攻撃が原因 |
| 「自分だけ引っかかった」 | 同じ攻撃メールは、組織内の複数人に送られていることが多い |
個人を責めても問題は解決しません。重要なのは、組織として適切に対応することです。
情シス・専門家が来るまでの待機
報告後、情報システム部門やセキュリティ専門家が対応に来るまで、以下の点に注意して待機してください。
やっておくべきこと
- 画面はそのままにしておく
- スクリーンセーバーが起動しないよう、時々マウスを動かしてください(クリックはしない)。画面の内容が調査に必要です。
- 追加の撮影・メモ
- 新しいメッセージが表示されたり、画面が変化したりした場合は、その都度撮影してください。時刻もメモしておきましょう。
- 周囲に状況を伝える
- 近くの席の同僚にも状況を伝え、同様の異常がないか注意を促してください。
- 質問に答えられるよう準備
- 「いつから」「何をしていたか」「どんな症状か」を整理しておくと、調査がスムーズに進みます。
やらなくてよいこと
| 行動 | 理由 |
|---|---|
| 自分で調べて駆除しようとする | 専門家に任せた方が確実で安全 |
| ネット検索で解決策を探す | 感染PCでの検索は避け、別のデバイスで調べるならOK |
| 他の作業を続ける | 感染PCでの作業は被害を拡大させる可能性 |
| 同僚に「見て」と頼む | 専門家以外が触ると証拠が消える可能性 |
外部機関への連絡先
会社の情報システム部門がない場合や、個人で対応が必要な場合は、以下の公的機関に相談できます。
| 機関 | 連絡先 | 対応内容 | 受付時間 |
|---|---|---|---|
| 警察相談専用ダイヤル | #9110 | サイバー犯罪全般の相談 | 平日8:30〜17:15(都道府県により異なる) |
| 消費生活センター | 188(いやや) | 消費者トラブル相談 | 地域により異なる |
| IPA情報セキュリティ安心相談窓口 | 03-5978-7509 | セキュリティに関する技術的相談 | 平日10:00〜12:00、13:30〜17:00 |
| JPCERT/CC | Webフォームから連絡 | インシデント報告・相談 | 24時間(対応は平日) |
よくある質問(FAQ)
- Q: 上司が不在の場合は誰に報告すればよいですか?
- A: まず情報システム部門(ヘルプデスク)に連絡してください。情報システム部門がない場合は、上司の上司、または総務部門に連絡します。連絡がつかない場合は、メールやチャットで報告を残しつつ、電話を続けてください。「誰にも連絡がつかないから何もしない」ということは避けてください。
- Q: 自分が原因で感染した場合、責任を問われますか?
- A: 通常、従業員個人が損害賠償などの責任を問われることはほとんどありません。巧妙なサイバー攻撃は、セキュリティの専門家でも見抜けないことがあります。重要なのは、感染に気づいたらすぐに報告することです。報告を遅らせたり隠したりした場合は、その行為自体が問題になる可能性があります。
- Q: テレワーク中に感染した場合はどうすればよいですか?
- A: 手順は同じです。まずWi-Fiを切断してネットワークから隔離し、スマートフォンで会社に連絡してください。VPN接続している場合は、VPNを切断することも重要です。自宅のルーターやWi-Fiに問題がないか確認し、家族の端末にも注意を促してください。会社のVPN経由で自宅の他の機器に感染が広がる可能性もあります。
- Q: スマートフォンも感染しますか?
- A: スマートフォンもマルウェアに感染する可能性はあります。ただし、会社のPCがランサムウェアに感染しても、スマートフォンに直接感染することは通常ありません。感染したPCとスマートフォンを接続(充電ケーブルなど)しないようにしてください。スマートフォンで不審なアプリをインストールしたり、怪しいリンクをタップしたりした場合は、別途対応が必要です。
- Q: 退勤時間になっても対応が終わらない場合は?
- A: サイバーインシデントは緊急事態です。情報システム部門や上司の指示に従い、必要な対応が完了するまで待機してください。残業が発生する場合は、上司に確認を取りましょう。翌日に持ち越す場合でも、対応状況の引き継ぎを必ず行ってください。
関連記事
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
