2σ Guide

ランサムウェア被害発生時の
初動手順

被害拡大防止、ログ保全、個人情報報告、取引先通知、広報、復旧条件を同時並行で管理するための実務対応を整理します。

0〜72h初動タイムライン
3〜5日PPC速報目安
30/60日確報期限の確認
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

ランサムウェア被害発生時の 初動手順

被害拡大防止、ログ保全、個人情報報告、取引先通知、広報、復旧条件を同時並行で管理するための実務対応を整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
ランサムウェア被害発生時の 初動手順
被害拡大防止、ログ保全、個人情報報告、取引先通知、広報、復旧条件を同時並行で管理するための実務対応を整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • ランサムウェア被害発生時の 初動手順
  • 被害拡大防止、ログ保全、個人情報報告、取引先通知、広報、復旧条件を同時並行で管理するための実務対応を整理します。

POINT 1

  • ランサムウェア被害発生時の初動手順の全体像
  • 1. 兆候検知・通報受付:ランサムノート、拡張子変更、EDR警告、共有フォルダ異常などを受け付けます。
  • 2. インシデント宣言と対策本部:通常対応から危機対応へ切り替え、記録係と意思決定者を置きます。
  • 3. 隔離・証拠保全を優先:端末・サーバを切り離し、ログとバックアップを守ります。
  • 4. 法務評価と復旧条件へ:個人情報、契約通知、開示、復旧安全性を並行評価します。

POINT 2

  • 1. ランサムウェア被害発生時の初動手順を企業法務が理解すべき理由
  • 技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • ランサムウェアは、端末やサーバ上のデータを暗号化し、復号の対価として金銭を要求する不正プログラムです。
  • 警察庁は、VPN等のネットワーク機器の脆弱性を狙った侵入、二重恐喝、ノーウェアランサムに注意を促しています。
  • たとえば、感染端末を不用意に再起動すれば、メモリ上の痕跡や一部ログが失われる可能性があります。

POINT 3

  • 2. 用語の定義
  • 技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • 2.1 ランサムウェア
  • 2.2 侵入型ランサムウェア
  • 2.3 二重恐喝

POINT 4

  • 3. ランサムウェア被害発生時の初動手順の全体像
  • 1. 兆候検知・通報受付:ランサムノート、拡張子変更、EDR警告、共有フォルダ異常などを受け付けます。
  • 2. インシデント宣言と対策本部:通常対応から危機対応へ切り替え、記録係と意思決定者を置きます。
  • 3. 隔離・証拠保全を優先:端末・サーバを切り離し、ログとバックアップを守ります。
  • 4. 法務評価と復旧条件へ:個人情報、契約通知、開示、復旧安全性を並行評価します。

POINT 5

  • 4. 初動の五原則
  • 技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • 被害拡大を止める
  • 証拠とログを消さない
  • バックアップと認証基盤を守る

POINT 6

  • 5. 0〜72時間の初動タイムライン
  • 1. 拡大防止:感染疑い端末・サーバを隔離し、電源は原則落とさず、画面・ランサムノート・発見時刻を記録します。
  • 2. 体制確立:EDR隔離、VPN等の制御、バックアップ保護と同時に、対策本部、外部専門家、保険会社候補を確認します。
  • 3. 暫定把握
  • 4. 経営判断準備:侵入経路仮説、残存脅威、バックアップ健全性、PPC速報、取引先通知、適時開示要否を整理します。
  • 5. 復旧準備:脆弱性修正、認証情報リセット、MFA、クリーンビルド、復旧試験、監視強化を行います。
  • 6. 確報と再発防止:PPC確報、取締役会報告、監査対応、規程改訂、教育、再発防止投資へつなげます。

POINT 7

  • 6. フェーズ別の実務対応
  • 技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • 6.1 フェーズ1 ― 兆候検知と一次受付
  • 6.2 フェーズ2 ― インシデント宣言と対策本部の設置
  • 6.3 フェーズ3 ― 技術的封じ込め

POINT 8

  • 7. 個人情報保護法対応 ― 漏えい「等」と「おそれ」をどう判断するか
  • 技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • 7.1 初動から個人情報保護担当を入れる
  • 7.2 報告義務対象の典型類型
  • 7.3 速報・確報の実務

まとめ

  • ランサムウェア被害発生時の 初動手順
  • ランサムウェア被害発生時の初動手順の全体像:技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • 1. ランサムウェア被害発生時の初動手順を企業法務が理解すべき理由:技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • 2. 用語の定義:技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

ランサムウェア被害発生時の初動手順の全体像

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

下の判断の流れは、検知から事後改善までの並行対応を整理したものです。重要な判断を個人の記憶に頼らず、関係者が同じ順番で確認しますために役立ちます。上から順に読むと、初動で優先すべき項目と、後続の確認先が分かります。

検知から再発防止までの判断の流れ

兆候検知・通報受付

ランサムノート、拡張子変更、EDR警告、共有フォルダ異常などを受け付けます。

インシデント宣言と対策本部

通常対応から危機対応へ切り替え、記録係と意思決定者を置きます。

被害拡大中
隔離・証拠保全を優先

端末・サーバを切り離し、ログとバックアップを守ります。

拡大停止後
法務評価と復旧条件へ

個人情報、契約通知、開示、復旧安全性を並行評価します。

このページは、企業法務に関わる読者が「ランサムウェア被害発生時の初動手順」を実務で理解し、社内外の専門家と同じ言語で議論できるようにするための専門的解説です。想定する読者は、企業経営者、法務担当、企業内弁護士、外部弁護士、コンプライアンス担当、個人情報保護・プライバシー担当、内部監査担当、情報システム担当、CISO、CSIRT、監査役、社外取締役、会計士、税理士、社労士、経営コンサルタント、中小企業診断士、研究者、教育機関、専門機関・シンクタンク等です。

このページは、弁護士、企業内弁護士、外部弁護士、法務担当、コンプライアンス担当、リスクマネジメント担当、内部監査担当、個人情報保護担当、デジタルフォレンジック専門家、情報システム責任者、危機管理広報担当等の実務視点を統合した解説として構成しています。ただし、特定企業の個別事情に対する法的助言ではありません。実際の被害対応では、外部弁護士、フォレンジック専門会社、警察、JPCERT/CC、保険会社、所管省庁、個人情報保護委員会等への相談を、事案の性質に応じて速やかに行う必要があります。

ランサムウェア被害発生時の初動手順は、単なる「IT障害復旧手順」ではありません。暗号化の拡大を止める技術的封じ込め、証拠とログを残す調査・刑事・民事上の証拠保全、個人情報保護法・契約・適時開示・業法上の報告を判断します法務対応、顧客・取引先・従業員・株主・メディアに説明する危機広報、そして事業継続を維持するBCP/DRを同時並行に動かす総合危機対応です。

特に初動で重要なのは、次の五点です。

  1. 被害端末・サーバをネットワークから隔離し、被害拡大を止めること。
  2. 原因調査に必要なログ・メモリ・端末・ランサムノート等を消さないこと。
  3. バックアップ、ログ基盤、認証基盤、特権IDを保護すること。
  4. 個人情報、営業秘密、契約上の通知義務、業法報告、上場会社の開示を早期に評価すること。
  5. 侵入経路・残存マルウェア・不正アカウント等を除去する前に安易に復旧しないこと。

JPCERT/CCは、侵入型ランサムウェア攻撃への基本方針として、被害範囲の把握と最小化、侵入経路を塞ぐこと、要求に応じずバックアップから復旧することを示しています。警察庁も、感染端末のネットワーク隔離、原因調査のためのログ保全、電源を落とさないこと、警察への通報・相談を案内しています。個人情報が関係する場合には、個人情報保護委員会への速報・確報の期限を踏まえた対応が必要です。

Section 01

1. ランサムウェア被害発生時の初動手順を企業法務が理解すべき理由

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

ランサムウェアは、端末やサーバ上のデータを暗号化し、復号の対価として金銭を要求する不正プログラムです。近年は、単にファイルを暗号化するだけでなく、社内ネットワークへ侵入し、認証情報を窃取し、権限を昇格し、ファイルサーバやバックアップまで破壊し、さらに窃取した情報をリークサイトに掲載すると脅す「二重恐喝」型の攻撃が実務上重要です。警察庁は、VPN等のネットワーク機器の脆弱性を狙った侵入、二重恐喝、ノーウェアランサムに注意を促しています。

企業法務がランサムウェア被害発生時の初動手順を理解すべき理由は、初動の判断が法的責任、説明責任、証拠価値、復旧可能性、事業継続に直結するからです。たとえば、感染端末を不用意に再起動すれば、メモリ上の痕跡や一部ログが失われる可能性があります。攻撃者との交渉記録を残さなければ、後日の取締役会説明、保険請求、捜査協力、制裁・反社会的勢力リスク確認に支障が出ます。個人データ漏えいの「おそれ」を過小評価すれば、個人情報保護委員会への報告期限を逸するおそれがあります。原因未解明のままバックアップを復元すれば、同じ侵入経路から再暗号化される危険があります。

ランサムウェア被害発生時の初動手順は、したがって、情報システム部門だけのマニュアルではなく、経営会議、取締役会、監査役、法務、コンプライアンス、広報、営業、カスタマーサポート、人事、内部監査、外部弁護士、フォレンジック専門家が共通して参照すべき危機対応基盤です。

Section 02

2. 用語の定義

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

2.1 ランサムウェア

ランサムウェアとは、端末、サーバ、ファイル共有、バックアップ、クラウドストレージ等に保存されたデータを暗号化または利用不能にし、復旧や情報非公開の対価として金銭を要求する不正プログラムまたは攻撃手法を指します。典型的には、暗号化されたファイル、身代金要求文、攻撃者の連絡先、暗号資産での支払要求、復号可能性を示すサンプル復号等が確認されます。

2.2 侵入型ランサムウェア

侵入型ランサムウェアとは、攻撃者がVPN、RDP、クラウドアカウント、外部公開サーバ、メール添付マルウェア、MSP・委託先経由などから社内ネットワークに侵入し、一定期間内部で偵察、横展開、権限昇格、情報窃取、バックアップ破壊等を行った後、暗号化を実行する攻撃を指します。JPCERT/CCは、内部ネットワークに侵入して調査・侵害範囲の拡大・情報窃取等を実行した後、ランサムウェアに感染させる攻撃を「侵入型ランサムウェア攻撃」として説明しています。

2.3 二重恐喝

二重恐喝とは、データ暗号化による業務停止に加え、窃取した情報を公開すると脅して金銭を要求する手口です。二重恐喝では、「復旧できるか」だけでは足りず、「情報が持ち出されたか」「漏えいのおそれがあるか」「本人通知・取引先通知・規制当局報告が必要か」「営業秘密性の維持に必要な措置を講じたか」が中心論点になります。

2.4 ノーウェアランサム

ノーウェアランサムとは、データ暗号化を伴わず、情報窃取や窃取したと称する情報の公開を脅しとして金銭を要求する手口です。ランサムウェアという語から「暗号化」を想定しがちだが、法務上は、暗号化の有無よりも、不正アクセス、情報窃取、漏えいのおそれ、業務停止、対外説明、契約違反の可能性を評価する必要があります。

2.5 ランサムノート

ランサムノートとは、攻撃者が被害企業に残す身代金要求文です。ファイル名、拡張子、攻撃グループ名、連絡先、期限、支払方法、リークサイトURL、復号サンプルの案内等が記載されることがあります。削除せず、画面写真、ファイルコピー、保存場所、発見時刻、発見者を記録します。

2.6 リークサイト

リークサイトとは、攻撃者が窃取したと称する情報を掲載し、または掲載すると脅すウェブサイトです。JPCERT/CCは、窃取情報の公開場所として攻撃グループが運用するウェブサイトを説明しています。リークサイト確認は、証拠保全、広報、個人情報保護法、契約通知、捜査協力の観点から重要ですが、アクセス時に二次被害や証拠改変の懸念もあるため、専門家の指示に従うべきです。

2.7 フォレンジック

フォレンジックとは、端末、サーバ、クラウド、ログ、通信記録、メモリ、メール等から、侵入経路、侵害範囲、情報持出しの有無、攻撃者の操作履歴、残存不正プログラム、復旧時の安全性を調査する技術的手続を指します。法務上は、調査報告書の証拠価値、弁護士秘匿特権に類似する社内調査管理、外部公表の根拠、保険請求、訴訟対応、当局報告の基礎資料として重要です。

2.8 BCP/DR

BCPは事業継続計画、DRは災害復旧計画です。ランサムウェアでは、システム復旧だけでなく、受注、出荷、診療、決済、顧客対応、給与、法定提出、決算、開示などの重要業務を、代替手段でどこまで継続できるかが問われます。バックアップから復旧できるとしても、復旧順位、復旧手順、検証、再侵入防止、外部接続再開の判断が必要です。

Section 03

3. ランサムウェア被害発生時の初動手順の全体像

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

下の判断の流れは、検知から事後改善までの並行対応を整理したものです。重要な判断を個人の記憶に頼らず、関係者が同じ順番で確認しますために役立ちます。上から順に読むと、初動で優先すべき項目と、後続の確認先が分かります。

検知から再発防止までの判断の流れ

兆候検知・通報受付

ランサムノート、拡張子変更、EDR警告、共有フォルダ異常などを受け付けます。

インシデント宣言と対策本部

通常対応から危機対応へ切り替え、記録係と意思決定者を置きます。

被害拡大中
隔離・証拠保全を優先

端末・サーバを切り離し、ログとバックアップを守ります。

拡大停止後
法務評価と復旧条件へ

個人情報、契約通知、開示、復旧安全性を並行評価します。

ランサムウェア被害発生時の初動手順は、直線的な手順ではありません。実務では、検知、隔離、証拠保全、法務評価、広報準備、復旧準備が同時並行で進みます。次の図は、企業法務と技術部門が共有すべき全体像です。

この図の要点は、復旧が最後に来ることです。暗号化されたサーバを早く戻したいという経営上の圧力は当然に強い。しかし、侵入経路、認証情報の流出、残存マルウェア、バックドア、不正アカウント、バックアップ汚染が未確認のまま復旧すると、再侵入、再暗号化、さらなる情報流出を招く。JPCERT/CCも、復旧前に侵入経路を塞ぐこと、マルウェア・バックドア・不正設定を排除することの重要性を示しています。

Section 04

4. 初動の五原則

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

下の重要ポイント一覧は、初動で守るべき五つの原則を整理したものです。技術対応と法務判断の順番を取り違えないために重要です。各項目を上から確認すると、拡大防止、証拠保全、復旧判断の優先順位が分かります。

原則 1

被害拡大を止める

暗号化されたファイルの復旧より先に、未感染の端末、サーバ、バックアップ、認証基盤を守ります。

原則 2

証拠とログを消さない

再起動、初期化、暗号化ファイルの削除、ログローテーションの放置を避け、後で説明できる状態を残します。

原則 3

バックアップと認証基盤を守る

バックアップ、AD、IDaaS、特権ID、VPNなどを隔離・保全し、復旧の選択肢を確保します。

原則 4

報告・通知判断を早く始める

個人情報、契約、業法、適時開示、保険、警察相談は調査完了を待たずに評価を始めます。

原則 5

原因を塞いでから復旧する

侵入経路、脆弱性、侵害アカウント、バックドアを排除してからクリーン環境で戻します。

4.1 原則1 ― 被害拡大を止める

ランサムウェアを確認したら、最初の技術的目標は「暗号化を止める」ことではなく、「被害範囲の拡大を止める」ことです。すでに暗号化されたファイルをその場で復号することに意識を奪われると、同じネットワーク内の未感染サーバ、バックアップ、認証基盤、クラウドアカウントが破壊される危険があります。

被害端末・サーバは、LANケーブルを抜く、スイッチポートを遮断する、Wi-Fiを切断する、仮想マシンのネットワークアダプタを無効化する、EDRの隔離機能を使うなどの方法でネットワークから隔離します。ただし、警察庁が案内するように、原因調査に必要なログ消失を防ぐ観点から、原則として電源を落とさない。暗号化が進行中で停止しなければ重大な被害拡大が避けられない等の例外的状況では、電源断を含む措置を検討する余地がありますが、その場合も時刻、判断者、理由、対象機器を記録します。

4.2 原則2 ― 証拠とログを消さない

ランサムウェア被害では、「復旧できるか」と同じくらい「何が起きたかを後で説明できるか」が重要です。ログ、端末、メモリ、ランサムノート、攻撃者との通信、画面表示、ファイル拡張子、バックアップ装置の状態、ID管理システムの履歴、VPNログ、EDRアラート、ファイアウォールログ、クラウド監査ログ等は、法的報告、保険請求、捜査協力、取引先説明、内部統制改善、訴訟対応の基礎となります。

再起動、初期化、ウイルス駆除ツールの一括実行、暗号化ファイルの削除、ログローテーションの放置は、調査可能性を損なう。初動段階では「直す」前に「残す」ことを徹底します。

4.3 原則3 ― バックアップと認証基盤を守る

ランサムウェア攻撃者は、バックアップサーバやバックアップ管理画面を優先的に狙うことがあります。バックアップが暗号化・削除されますと、復旧の選択肢は大幅に狭まる。したがって、バックアップストレージ、バックアップ管理サーバ、スナップショット、クラウドバックアップ、オフライン媒体、ログ保管基盤を、感染ネットワークから切り離し、上書きや自動同期を停止し、保全します。

同時に、Active Directory、LDAP、IDaaS、クラウドIAM、特権ID、VPNアカウント、RDPアカウント、管理者端末、APIキー、SSH鍵を保護します。侵害アカウントが残っていれば、復旧後に再侵入されます。

4.4 原則4 ― 法的報告・通知判断を早期に始める

ランサムウェア被害の法務判断は、調査完了後に始めるのでは遅い。個人情報保護法上の漏えい等報告は、速報が「発覚日から概ね3〜5日以内」、確報が原則30日以内、不正目的のおそれがある場合は60日以内とされています。速報は完全な原因究明を前提にするものではありません。不明事項は不明として速報し、確報で更新する発想が必要です。

また、委託契約、クラウド契約、秘密保持契約、サイバー保険契約、業法、重要インフラ関連の報告、上場会社の適時開示、取引先への事故通知、従業員への説明、本人通知が問題となります。初動から法務・コンプライアンス・個人情報保護担当を対策本部に入れるべきです。

4.5 原則5 ― 原因を塞いでから復旧する

復旧は、単にバックアップを戻すことではありません。侵入経路、悪用された脆弱性、侵害アカウント、横展開経路、残存マルウェア、バックドア、攻撃者が作成した管理者アカウント、無効化されたセキュリティ設定を特定し、必要な遮断・修正を実施した後に行います。JPCERT/CCも、復旧前に侵入経路を塞ぐこと、マルウェア・バックドア・不正設定を排除することを求めています。

Section 05

5. 0〜72時間の初動タイムライン

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

下の時系列は、0分から30日・60日までの対応を段階ごとに並べたものです。期限と担当がずれると報告遅延や再感染につながるため重要です。左から時間帯、目的、技術対応、法務・経営対応、記録事項の順に読みます。

0〜15分

拡大防止

感染疑い端末・サーバを隔離し、電源は原則落とさず、画面・ランサムノート・発見時刻を記録します。

15〜60分

体制確立

EDR隔離、VPN等の制御、バックアップ保護と同時に、対策本部、外部専門家、保険会社候補を確認します。

1〜6時間

暫定把握

AD、VPN、FW、EDR、DNS、メール、クラウド監査ログを保全し、個人情報、契約通知、警察・JPCERT/CC相談を検討します。

6〜24時間

経営判断準備

侵入経路仮説、残存脅威、バックアップ健全性、PPC速報、取引先通知、適時開示要否を整理します。

24〜72時間

復旧準備

脆弱性修正、認証情報リセット、MFA、クリーンビルド、復旧試験、監視強化を行います。

3〜30/60日

確報と再発防止

PPC確報、取締役会報告、監査対応、規程改訂、教育、再発防止投資へつなげます。

次の表は、ランサムウェア被害発生時の初動手順を時間軸で整理したものです。時間は目安であり、医療、金融、製造、物流、重要インフラ、公共機関、上場会社、グローバル企業では、より速い意思決定が必要になります。

下の比較表は、5. 0〜72時間の初動タイムラインに関する情報を時間帯、主な目的、技術対応、法務・経営対応の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

時間帯主な目的技術対応法務・経営対応記録すべき事項
0〜15分拡大防止感染疑い端末・サーバをネットワーク隔離。原則として電源は落とさない。画面・ランサムノートを保存。インシデント受付者がCISO、情報システム責任者、法務責任者へ連絡。発見時刻、発見者、端末名、IP、画面表示、実施措置。
15〜60分体制確立EDR隔離、VPN・RDP・管理系アクセスの一時制御、バックアップ保護、特権ID確認。インシデント宣言、対策本部設置、外部弁護士・フォレンジック候補・保険会社への連絡。対策本部メンバー、意思決定者、連絡先、被害仮説。
1〜6時間被害範囲の暫定把握AD、VPN、FW、EDR、プロキシ、DNS、メール、クラウド監査ログの保全。感染範囲調査。個人情報・営業秘密・契約通知・業法報告・警察相談・JPCERT/CC相談を検討。影響システム、停止業務、顧客影響、保全ログ、外部連絡履歴。
6〜24時間経営判断の準備侵入経路仮説、残存脅威、バックアップ健全性、復旧優先順位の整理。取締役・監査役への報告、社内外説明案、PPC速報要否、取引先通知要否、適時開示要否を検討。事実、不明点、推測、リスク評価、承認者。
24〜72時間封じ込めから復旧準備へ脆弱性修正、認証情報リセット、MFA、クリーンビルド、復旧試験、監視強化。当局報告、本人通知、公表、契約上の通知、サイバー保険請求資料を整備。報告日時、報告内容、通知対象、復旧判定、再発防止策。
3〜30/60日確報・再発防止根本原因分析、再侵入監視、EDR/ログ改善、訓練。PPC確報、取締役会報告、監査対応、契約交渉、社内規程改訂。調査報告書、再発防止計画、教育記録、予算措置。
Section 06

6. フェーズ別の実務対応

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

6.1 フェーズ1 ― 兆候検知と一次受付

ランサムウェア被害の兆候は、必ずしも「身代金要求画面」だけではありません。典型的な兆候は、ファイル拡張子の一斉変更、共有フォルダへのアクセス不能、サーバ負荷急増、EDRアラート、バックアップジョブ失敗、管理者アカウントの異常ログイン、VPNの不審接続、深夜帯の大量ファイルアクセス、セキュリティソフト停止、ログ削除、ランサムノートの出現等です。

一次受付者は、問題を「単なるPC不調」と処理してはいけません。次の情報を短時間で記録します。

  • 発見日時、発見者、部署、連絡先。
  • 影響端末・サーバ名、IPアドレス、設置場所。
  • 画面表示、ランサムノート、変更された拡張子。
  • ネットワーク接続状態。
  • 直近の操作、添付ファイル開封、VPN利用、外部媒体接続。
  • 業務影響の有無。
  • 個人情報、顧客情報、営業秘密、決済情報、医療情報、マイナンバー等を含むシステムか。

受付段階では、原因を断定しない。「感染した」「漏えいした」といった表現は、技術調査前には避けます。一方で、重大インシデントの可能性がある場合には、確証を待たずにエスカレーションします。

6.2 フェーズ2 ― インシデント宣言と対策本部の設置

ランサムウェアの疑いがある場合、情報システム責任者またはCISOは、社内規程に従いインシデントを宣言します。宣言により、通常の承認手順ではなく危機対応手順に移行し、システム停止、ネットワーク遮断、外部専門家起用、臨時予算、社外連絡、広報統制が可能になります。

対策本部には、少なくとも次の機能を置く。

下の比較表は、6. フェーズ別の実務対応に関する情報を機能、主担当、主な責任の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

機能主担当主な責任
本部長CEO、COO、CISO等事業停止、復旧優先順位、公表、支払拒否方針等の経営判断。
技術対応情報システム、SOC、CSIRT隔離、ログ保全、フォレンジック、復旧、再侵入監視。
法務企業内弁護士、法務担当、外部弁護士法令報告、契約通知、証拠保全、身代金対応、取締役会説明。
個人情報保護DPO、プライバシー担当漏えい等報告、本人通知、委託先・共同利用先との調整。
広報広報、IR、カスタマーサポート社内外説明、FAQ、メディア対応、顧客窓口。
事業部門営業、製造、物流、医療現場等重要業務の優先順位、代替運用、顧客影響把握。
内部監査・監査役内部監査、監査役会統制不備、取締役対応、再発防止の監督。
記録係法務または危機管理事務局時系列、意思決定、連絡、証拠、会議体の記録。

JPCERT/CCも、侵入型ランサムウェア対応では体制確保、社内連絡体制、広報・一元窓口、外部連携担当の確保を挙げています。対策本部を置く実務的意味は、情報を一元化し、矛盾した社外説明を防ぎ、法務・技術・経営の判断を同じ時系列で管理する点にあります。

6.3 フェーズ3 ― 技術的封じ込め

初期封じ込めでは、感染疑い端末・サーバをネットワークから隔離します。隔離方法は、LANケーブル抜線、スイッチポート遮断、VLAN隔離、無線LAN停止、EDR隔離、仮想NIC無効化、クラウドセキュリティグループ変更等です。大規模な場合には、拠点間VPN、RDP、VPN装置、リモート管理ツール、ファイル共有、バックアップネットワーク、管理用ジャンプサーバの一時停止も検討します。

ただし、隔離と証拠保全は緊張関係にあります。端末をネットワークから外すことは被害拡大防止に有効だが、電源断や初期化は証拠を失わせる。警察庁は、感染端末等のLANケーブルを抜くなどネットワークから隔離する一方、原因調査に必要なログが消失する可能性があるため電源を落とさないことを案内しています。

封じ込めの対象は、感染端末だけではありません。次を同時に確認します。

  • Active Directoryドメインコントローラ。
  • VPN、RDP、VDI、リモート保守経路。
  • EDR、SIEM、ログ保管基盤。
  • バックアップ管理サーバ、バックアップストレージ。
  • ファイルサーバ、NAS、仮想化基盤、ストレージ装置。
  • クラウドIAM、管理者アカウント、APIキー。
  • MSP、保守ベンダー、委託先からの接続経路。
  • メールゲートウェイ、M365、Google Workspace等のクラウド監査ログ。

初動では、すべてのパスワードを一斉変更する前に、侵害範囲を把握し、攻撃者のセッション、トークン、永続化手段を確認する必要があります。一斉変更自体が攻撃者に検知され、破壊的行動を早めることもあります。とはいえ、侵害が疑われる特権ID、VPNアカウント、退職者アカウント、共有アカウント、外部委託先アカウントは早期に凍結・再発行を検討します。

6.4 フェーズ4 ― 証拠保全とフォレンジック

証拠保全の目的は、刑事手続のためだけではありません。企業が、株主、取引先、本人、監督官庁、裁判所、保険会社、監査人に対して合理的な説明を行うために必要です。

初動で保全すべき典型資料は次のとおりです。

下の比較表は、6. フェーズ別の実務対応に関する情報を分類、保全対象、法務上の意味の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

分類保全対象法務上の意味
端末・サーバディスクイメージ、メモリ、イベントログ、プロセス情報侵入経路、実行ファイル、攻撃者操作、情報窃取の推定。
認証ADログ、VPNログ、MFAログ、クラウドIAMログ侵害アカウント、横展開、外部接続元の把握。
ネットワークFW、プロキシ、DNS、IDS/IPS、NetFlowC2通信、外部送信、窃取通信の有無。
メールメールゲートウェイ、M365監査ログ、添付ファイルフィッシング起点、アカウント侵害の有無。
バックアップバックアップジョブ履歴、削除履歴、管理者操作復旧可能性、破壊行為、内部統制上の問題。
攻撃者痕跡ランサムノート、拡張子、リークサイト情報、チャット記録攻撃グループ推定、支払要求、脅迫内容、広報対応。
業務影響停止業務一覧、顧客影響、代替運用記録損害算定、契約違反、適時開示、保険請求。
意思決定対策本部議事録、承認記録、時系列表取締役の善管注意義務、説明責任、事後監査。

フォレンジック調査では、少なくとも次を明らかにする必要があります。

  1. 初期侵入経路は何か。
  2. 侵入時刻と暗号化開始時刻はいつか。
  3. どのアカウントが侵害されたか。
  4. 管理者権限の取得や横展開があったか。
  5. どのサーバ、端末、共有フォルダ、クラウドにアクセスされたか。
  6. 情報が外部送信された痕跡があるか。
  7. バックアップが汚染・削除・暗号化されたか。
  8. 復旧前に除去すべき残存脅威があるか。
  9. 個人データ、営業秘密、機密情報に関する漏えい等またはそのおそれがあるか。
  10. 報告・通知・公表に足る合理的な事実認定は何か。

JPCERT/CCは、ログ解析、侵入経路の推測、SSL-VPN製品等の確認、代表的侵入経路としてリモートアクセス、外部公開システムの脆弱性、MSP回線、メール起因マルウェア端末等を挙げています。初動でこれらのログを消してしまうと、後日の判断が推測に依存します。

6.5 フェーズ5 ― 外部専門家・関係機関との連携

ランサムウェア被害が疑われる場合、社内だけで抱え込まない。早期に連携すべき相手は、事案に応じて次のとおりです。

下の比較表は、6. フェーズ別の実務対応に関する情報を相手方、連絡目的、留意点の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

相手方連絡目的留意点
外部弁護士法令報告、契約通知、証拠保全、取締役会説明、身代金対応技術調査と法務評価を一体化させる。
フォレンジック専門会社侵入経路、情報持出し、復旧安全性の調査保険契約で指定業者・事前承認があるか確認。
警察犯罪被害の通報・相談、捜査協力、復号ツール情報ログ、ランサムノート、通信記録を保全。
JPCERT/CC初動相談、攻撃種別、侵入経路推測、関係機関連携JPCERT/CCは初動相談を受け付けるが、復旧作業自体の代行ではありません。
個人情報保護委員会・所管省庁個人データ漏えい等報告、業法報告速報期限に注意。権限委任分野やマイナンバーを確認。
保険会社サイバー保険の事故通知、費用補償、ベンダー承認事前承認なしの支出が補償対象外となる場合があります。
監査法人決算・内部統制・開示影響上場会社や決算期には早期共有が望ましいです。
主要取引先供給責任、委託データ、SLA、共同対応事実と推測を分けて説明します。

JPCERT/CCは、侵入型ランサムウェアの初動対応、種別・侵入経路の推測、復号可能性、リークサイト掲載、都道府県警察、所管省庁、個人情報保護委員会等への報告・届出に関する相談を受け付ける旨を示しています。警察庁も、保存しているログ等を持参して最寄り警察署または都道府県警察のサイバー犯罪相談窓口へ通報・相談することを案内しています。

Section 07

7. 個人情報保護法対応 ― 漏えい「等」と「おそれ」をどう判断するか

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

7.1 初動から個人情報保護担当を入れる

ランサムウェア被害では、「実際に個人情報が外部に出たか」が直ちに分からないことが多い。しかし、個人情報保護法上の漏えい等報告は、漏えいそのものだけでなく、滅失、毀損、漏えい等のおそれを含む。攻撃者が個人データを保存するサーバに不正アクセスし、暗号化または窃取を示唆した場合、初動から報告要否を評価する必要があります。

個人情報保護委員会は、漏えい等報告の期限として、速報を発覚日から概ね3〜5日以内、確報を30日以内、不正目的のおそれがある場合を60日以内と示しています。ランサムウェアは不正アクセスや不正目的による行為が問題になることが多いため、確報期限が60日となります類型に該当するかを検討します。

7.2 報告義務対象の典型類型

個人情報保護委員会の整理を実務向けに表にすると、次のようになります。

下の比較表は、7. 個人情報保護法対応 ― 漏えい「等」と「おそれ」をどう判断するかに関する情報を類型、ランサムウェア事案での例、初動判断のポイントの観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

類型ランサムウェア事案での例初動判断のポイント
要配慮個人情報が含まれます医療情報、健康診断情報、障害、犯罪被害、信条等を含むサーバが暗号化・アクセスされた暗号化だけでも毀損・利用不能の問題があり得ます。
財産的被害のおそれクレジットカード情報、口座情報、決済情報、認証情報が含まれます二次被害防止の本人通知が急務となりますことがあります。
不正目的による漏えい等のおそれ不正アクセス、マルウェア通信、攻撃者による窃取主張、リークサイト掲載「持ち出しが確認できない」だけで報告不要とは限りません。
1,000人超の個人データ顧客DB、従業員DB、会員情報、問い合わせ履歴件数推定が必要。不明なら保守的に評価します。

個人情報保護委員会は、2025年10月1日以降、ランサムウェア事案の個人データ漏えい等またはそのおそれについて共通様式による報告を可能としています。例として、不正アクセス、マルウェア通信、第三者からの漏えいのおそれの連絡、ランサムウェア等により個人データが暗号化され復元不能となった場合等が示されています。

7.3 速報・確報の実務

速報では、すべての事実が確定していなくても、発覚日、発覚経緯、影響システム、個人データの種類、件数の概算、講じた措置、今後の対応を記載します。確報では、原因、影響範囲、漏えい等の有無、本人通知、再発防止策を更新します。

法務担当は、速報の遅れを避けるため、次のテンプレートを初動から準備します。

  • 発覚日時と発覚経緯。
  • インシデントの概要。
  • 対象システムと保有データの種類。
  • 個人データの件数または推定件数。
  • 要配慮個人情報、財産的被害のおそれ、マイナンバーの有無。
  • 外部送信・リークサイト掲載・攻撃者主張の有無。
  • 端末隔離、ログ保全、バックアップ保護、外部専門家起用等の措置。
  • 本人通知の方針。
  • 再発防止策の暫定案。

マイナンバーが含まれます場合や含まれますか不明な場合、権限委任分野に該当する場合、所管省庁報告が必要な業種の場合には、報告先や様式を確認します。個人情報保護委員会は、マイナンバーを含む場合または不明な場合のフォーム、権限委任業種における委任先省庁への報告、共通様式の提出方法等を案内しています。

Section 08

8. 契約法務 ― 取引先・委託先・SaaS・クラウドの通知義務

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

ランサムウェア被害では、取引先への通知義務が個人情報保護法よりも早い場合があります。委託契約、SaaS利用契約、データ処理契約、秘密保持契約、情報セキュリティ覚書、業務委託基本契約、SLA、サプライチェーン契約には、セキュリティ事故発生時の通知期限が定められていることがあります。たとえば「発見後24時間以内」「遅滞なく」「合理的に可能な限り速やかに」といった条項です。

法務担当は、初動の1〜6時間で次を棚卸しします。

  1. 被害システムに保存されるデータの所有者は誰か。
  2. 自社が委託元か、委託先か、共同利用者か、再委託先か。
  3. 契約上の事故通知期限はあるか。
  4. 通知先は契約担当か、セキュリティ窓口か、個人情報保護窓口か。
  5. 通知内容として求められる事項は何か。
  6. フォレンジック報告書の共有義務または共有制限はあるか。
  7. 再委託先、クラウド事業者、MSP、保守ベンダーへの連絡義務はあるか。
  8. 損害賠償、免責、責任制限、SLAクレジット、監査権の条項はどうなっているか。

通知文では、事実、可能性、未確認事項を明確に分けます。悪い例は、「情報漏えいはありません」と早期に断定した後、後日リークサイト掲載が判明することです。よい例は、「現時点で外部流出を確認していませんが、調査を継続しています。対象システム、時系列、講じた措置、今後の報告予定は以下のとおりです」と記載することです。

Section 09

9. 上場会社・金融商品取引法・適時開示

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

上場会社では、ランサムウェア被害が有価証券の投資判断に重要な影響を与える場合、適時開示の検討が必要となります。JPXは、適時開示が求められる会社情報について、有価証券の投資判断に重要な影響を与える会社の業務、運営または業績等に関する情報と説明しています。サイバー攻撃そのものが列挙項目に明示されていない場合でも、業務停止、重要データ喪失、顧客情報漏えい、損害発生、行政処分、業績予想修正、内部統制上の重要な不備等に波及する場合には、開示要否を検討すべきです。

上場会社の初動では、法務、広報、IR、経理、監査法人、取締役会事務局を対策本部に接続します。特に、次の論点を整理します。

  • 重要業務の停止期間と売上・利益への影響。
  • 生産、出荷、決済、予約、診療、金融取引等の停止範囲。
  • 顧客情報・取引先情報・従業員情報の漏えい等のおそれ。
  • 特別損失、保険金、復旧費用、損害賠償請求の可能性。
  • 内部統制報告書、監査報告、有価証券報告書の提出遅延の可能性。
  • 適時開示、臨時報告書、有価証券報告書の事業等のリスクへの記載。

開示は早ければよいというものではありません。不確実な情報を断定的に公表すると、市場や顧客を誤導するリスクがあります。他方、重大な影響が判明しているのに開示を遅らせることも問題となります。実務では、「判明している事実」「未確認の事項」「講じている措置」「今後の見通し」を分け、必要に応じて続報を出す。

Section 10

10. 身代金要求への対応

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

下の比較表は、身代金要求を検討しますときに同時に確認します論点を整理したものです。金額だけで判断しますと制裁、反社、保険、説明責任を見落とすため重要です。各行を上から確認し、支払判断の根拠と代替手段を記録する必要があります。

原則は要求に応じないことです

支払っても復号や情報非公開が保証されず、さらなる攻撃を招くおそれがあります。接触や情報収集を検討します場合も、経営承認、外部弁護士、フォレンジック専門家、警察・保険会社への相談要否、制裁・反社・AML確認、通信記録保全を前提にします。

10.1 原則として要求には応じない

JPCERT/CCは、身代金を支払っても復号鍵を渡す保証はなく、攻撃者の要求に応じることでさらなる攻撃を招くおそれがあり、基本的に身代金は支払うべきではありませんと説明しています。警察庁やIPAも、No More Ransom等の復号ツール情報を案内しています。

身代金支払いは、単なる費用対効果の問題ではありません。法務・コンプライアンス上は、次のリスクを検討する必要があります。

下の比較表は、10. 身代金要求への対応に関する情報を論点、検討事項の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

論点検討事項
復号保証支払っても復号鍵が提供される保証、復号できる保証、再恐喝されない保証はない。
情報非公開保証支払っても窃取情報が削除されます保証、転売されない保証、再掲載されない保証はない。
制裁・反社支払先が制裁対象、反社会的勢力、犯罪組織、テロ資金等に関係する可能性。
AML・暗号資産暗号資産での送金、ウォレット確認、取引所利用、記録保全。
取締役責任支払判断の合理性、代替手段、事業継続上の必要性、専門家意見、取締役会承認。
保険支払費用が補償対象か、事前承認が必要か、除外事由があるか。
捜査協力警察相談、通信記録、ウォレット情報、攻撃者との接触記録の保全。
公表支払の有無を開示・説明する必要性、社会的批判、再攻撃誘発。

10.2 交渉をどう扱うか

企業として攻撃者と接触するか否かは、慎重な経営判断です。原則として要求に応じないとしても、攻撃者の主張内容、窃取情報の有無、復号サンプル、期限、リークサイト情報を把握するため、専門業者や外部弁護士の関与のもとで限定的な情報収集を検討することはあり得ます。

ただし、現場担当者が個人判断で攻撃者に連絡してはいけません。交渉・接触を検討します場合は、少なくとも次を行います。

  • 取締役または危機対策本部長の承認を得ます。
  • 外部弁護士とフォレンジック専門家を関与させる。
  • 警察・保険会社への相談要否を確認します。
  • 制裁対象・反社・AMLリスクを確認します。
  • 通信環境、端末、アカウントを分離します。
  • 全通信を保存し、時系列表に記録します。
  • 支払に関する意思決定過程を議事録化します。
Section 11

11. 広報・IR・カスタマーコミュニケーション

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

ランサムウェア被害では、技術調査の遅れよりも、説明の混乱が企業価値を損なうことがあります。広報の原則は、「隠さない、断定しすぎない、続報を約束する、被害者視点で説明する」です。

初動公表文または顧客通知では、次の構成が望ましいです。

  1. 発生した事象の概要。
  2. 発覚日と現在の状況。
  3. 影響しているサービス・業務。
  4. 個人情報・機密情報への影響について、判明事実と調査中事項を区別して記載。
  5. 既に講じた措置。
  6. 外部専門家・関係機関と連携していること。
  7. 顧客・本人が取るべき措置。
  8. 問い合わせ窓口。
  9. 次回更新予定または更新方法。

避けるべき表現は次のとおりです。

  • 「情報漏えいはありません」と早期に断定すること。
  • 「システム障害」とだけ表現し、サイバー攻撃の可能性を隠すこと。
  • 攻撃者の要求やリークサイト情報を不必要に拡散すること。
  • 技術的に未確認の原因を公表すること。
  • 顧客や委託元からの問い合わせ窓口を設定しないこと。

社内向けには、従業員に対して、感染疑い端末の取り扱い、不審メールの報告、USB等外部媒体の使用禁止、社外問い合わせへの回答禁止、SNS投稿禁止、パスワード変更指示、代替業務手順を明確に伝える。

Section 12

12. 復旧判断 ― 早期復旧と再侵入防止のバランス

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

復旧判断は、経営判断であると同時に、技術判断であり、法務判断でもあります。業務停止が長期化すれば顧客・患者・利用者・従業員・取引先に重大な影響が出ます。一方で、原因未解明のまま復旧すれば、再暗号化や二次漏えいが発生し、結果として被害が拡大します。

復旧前には、次のチェックを行います。

  • 初期侵入経路を特定または合理的に仮説化し、遮断したか。
  • 悪用された脆弱性にパッチを適用したか。
  • 侵害アカウント、共有アカウント、退職者アカウントを停止・再発行したか。
  • 特権IDのパスワード変更、MFA、セッション失効を実施したか。
  • バックドア、不正サービス、不正タスク、不正GPO、不審ツールを除去したか。
  • バックアップが暗号化・汚染・改ざんされていないことを確認したか。
  • 復元先はクリーンな環境か。
  • 復旧後のEDR、ログ監視、ネットワーク監視を強化したか。
  • 復旧優先順位を事業部門が承認したか。
  • 復旧による個人情報・契約・開示への影響を法務が確認したか。

JPCERT/CCは、暗号化されたファイルの復号は通常困難であり、BCP/DRに基づきバックアップから復元すること、復号ツールの有無を確認することを示しています。警察庁やIPAも、No More Ransom等の復号ツール情報を案内しています。ただし、復号ツールが存在しても、全データが完全に戻るとは限らないため、復元検証とデータ完全性確認が必要です。

Section 13

13. 役割分担 ― 誰が何を決めるのか

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

ランサムウェア被害発生時の初動手順では、役割の曖昧さが最大のリスクです。平時から次の役割分担を定めておきます。

下の比較表は、13. 役割分担 ― 誰が何を決めるのかに関する情報を役割、初動での主な判断、成果物の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

役割初動での主な判断成果物
経営者・取締役インシデント宣言、事業停止、復旧優先順位、公表、外部費用、支払拒否方針経営判断記録、取締役会報告。
CISO・CSIRT封じ込め、調査範囲、復旧条件、外部専門家起用技術対応計画、時系列、原因分析。
情報システム隔離、ログ保全、バックアップ保護、復旧作業機器一覧、ログ、復旧手順書。
法務法令報告、契約通知、証拠保全、身代金法務、開示法務メモ、通知文、当局報告案。
個人情報保護担当漏えい等報告、本人通知、委託先調整PPC報告案、本人通知案。
コンプライアンス社内ルール、従業員周知、反社・制裁確認社内通知、リスク評価。
広報・IR社外公表、メディア対応、株主説明公表文、FAQ、IR資料。
営業・CS顧客問い合わせ、契約相手方説明顧客リスト、回答テンプレート。
内部監査統制不備、再発防止、監査計画監査報告、改善計画。
外部弁護士個別法務助言、調査統制、当局・取引先対応意見書、調査方針、交渉支援。
フォレンジック専門家侵入経路・持出し・復旧安全性調査調査報告書、IoC、復旧助言。
Section 14

14. 初動チェックリスト

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

下の一覧は、30分、6時間、24時間、72時間以内の確認事項をまとめたものです。時間帯ごとに抜けやすい作業を見落とさないために重要です。各列を順に確認すると、隔離・保全・通知・復旧準備の進み具合が分かります。

最初の30分

隔離、電源維持、画面保存、発見時刻記録、責任者連絡、バックアップ保護、社外回答の一元化を確認します。

最初の6時間

対策本部、ログ保全、特権ID・VPN確認、外部専門家・警察・JPCERT/CC・PPC相談要否を確認します。

最初の24時間

侵入経路仮説、情報持出しのおそれ、PPC速報、契約通知、適時開示、FAQ、復旧条件承認を確認します。

72時間以内

脆弱性修正、認証リセット、MFA、不正アカウント除去、クリーン復旧試験、当局報告、取締役報告を確認します。

14.1 最初の30分チェックリスト

  • 感染疑い端末・サーバをネットワークから隔離した。
  • 原則として電源を落としていない。
  • 画面、ランサムノート、拡張子、エラーメッセージを保存した。
  • 発見時刻、発見者、対象機器、実施措置を記録した。
  • 情報システム責任者、CISO、法務責任者へ連絡した。
  • バックアップ管理者へ、バックアップ保護と自動上書き停止を指示した。
  • 社内で不用意な再起動・初期化・削除を禁止した。
  • 社外問い合わせへの回答を一元化した。

14.2 最初の6時間チェックリスト

  • 対策本部を設置し、記録係を置いた。
  • 影響システム、停止業務、顧客影響を暫定把握した。
  • AD、VPN、EDR、FW、プロキシ、DNS、メール、クラウド監査ログを保全した。
  • 特権ID、VPN、RDP、外部委託先アカウントを確認した。
  • バックアップの健全性を確認し、感染ネットワークから切り離した。
  • 外部弁護士、フォレンジック専門家、保険会社への連絡要否を判断した。
  • 警察、JPCERT/CC、所管省庁への相談要否を判断した。
  • 個人情報、営業秘密、契約上の通知義務を棚卸しした。

14.3 最初の24時間チェックリスト

  • 侵入経路仮説を立てた。
  • 情報持出しの有無またはおそれを評価した。
  • 個人情報保護委員会への速報要否を判断し、必要なら準備した。
  • 取引先・委託元・委託先への通知要否を判断した。
  • 上場会社の場合、適時開示要否を検討した。
  • 重要業務の代替運用を開始した。
  • 従業員向け注意喚起を行った。
  • 顧客・本人・メディア向けFAQ案を作成した。
  • 復旧優先順位と復旧条件を経営が承認した。

14.4 72時間以内チェックリスト

  • 脆弱性修正、認証情報リセット、MFA強化を実施した。
  • 不正アカウント、バックドア、不審ツールを除去した。
  • クリーン環境で復旧試験を行った。
  • 復旧後の監視体制を強化した。
  • PPC速報、業法報告、契約通知、公表を必要に応じて実施した。
  • 取締役・監査役へ経過報告した。
  • 確報・再発防止報告に向けた調査計画を定めた。
Section 15

15. 初動でやってはいけないこと

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

下の比較表は、15. 初動でやってはいけないことに関する情報をやってはいけない行為、なぜ危険か、代替措置の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

やってはいけない行為なぜ危険か代替措置
感染端末を再起動・シャットダウンするメモリ、プロセス、ログが失われる可能性ネットワーク隔離し、専門家指示を待つ。
暗号化ファイルやランサムノートを削除する攻撃種別、復号可否、証拠が失われるコピー・画面保存・保全を行います。
原因未解明のままバックアップを戻す再感染・再暗号化のリスク侵入経路封鎖後にクリーン環境へ復元。
社内で個別に攻撃者へ連絡する交渉記録不備、制裁・反社・保険リスク対策本部承認と専門家関与の下で判断。
「漏えいなし」と早期断定する後日訂正で信用を失う「現時点で確認されていない」と表現。
情報システムだけで抱え込む報告期限、契約通知、開示判断を逸する法務・経営・広報を初動から入れる。
ログ保全前にウイルス駆除を一括実行する痕跡が消え、原因不明になるイメージ保全・ログ取得後に駆除。
バックアップを感染ネットワークに接続したままにするバックアップまで暗号化・削除されます物理・論理的に切り離す。
Section 16

16. 中小企業における現実的な初動手順

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

中小企業では、専任CISO、SOC、CSIRT、法務部が存在しないことも多い。その場合でも、ランサムウェア被害発生時の初動手順は簡略化して準備できます。経済産業省は、サイバーセキュリティ経営ガイドラインにおいて、セキュリティ投資は経営者判断が必要であり、経営者のリーダーシップで推進すべきことを示しています。中小企業向けにも経営者編・管理実践編のガイドラインが提供されています。

中小企業向けの最低限の初動体制は次のとおりです。

下の比較表は、16. 中小企業における現実的な初動手順に関する情報を役割、兼務例、最低限の準備の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

役割兼務例最低限の準備
意思決定者代表取締役、事業責任者システム停止、外部費用、顧客説明を即決できる権限。
技術窓口情報システム担当、外部ITベンダー緊急連絡先、管理者ID、バックアップ場所の把握。
法務窓口顧問弁護士、総務、管理部長契約通知、個人情報報告、警察相談の窓口。
顧客窓口営業責任者、カスタマーサポート連絡先リスト、説明テンプレート。
記録係総務、経理、秘書時系列、証拠、連絡履歴の記録。

中小企業で特に重要なのは、外部ITベンダーに任せきりにしないことです。ベンダーが復旧作業を急ぐあまり、ログや証拠が失われることがあります。顧問弁護士とフォレンジック専門家に早期相談し、少なくとも「何を消してよいか」「何を残すべきか」を確認します。

Section 17

17. 業種別の追加論点

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

17.1 金融機関・決済事業者

金融機関、証券会社、保険会社、資金移動業者、クレジットカード関連事業者では、業法上の報告、金融庁・財務局・業界団体への連絡、顧客資産・決済情報・認証情報の保護が重要です。ランサムウェアにより決済、口座照会、本人確認、取引監視が停止する場合、単なるシステム障害ではなく、利用者保護・金融システム安定の問題となります。

17.2 医療・ヘルスケア

医療機関では、電子カルテ、画像診断、検査、薬剤、予約、会計が停止すると、人命・身体に直結します。初動では、紙運用、転院、救急受入制限、医療安全、要配慮個人情報の漏えい等報告、医療機器・ネットワークの分離が問題となります。復旧優先順位は、事業上の収益性ではなく、患者安全を第一に決めます。

17.3 製造・物流

製造業では、OT、ICS、工場ネットワーク、品質管理、出荷、在庫、購買、EDIが影響を受ける。ITネットワークのランサムウェアがOTへ波及する可能性、またはOTを止めることによる安全リスクを評価します。物流では、配送管理、倉庫管理、輸出入、取引先EDI停止がサプライチェーン全体に波及します。

17.4 重要インフラ・公共機関

重要インフラや公共機関では、所管省庁、地方公共団体、関係機関、住民・利用者への説明が必要となります。国家サイバー統括室は、STOP! RANSOMWARE特設ページで、国内外の組織でランサムウェア被害が確認されていること、重要インフラ向け注意喚起やCRIの組織向けガイダンスを案内しています。

17.5 グローバル企業

海外拠点、海外子会社、EU、米国、アジア各国のデータ主体が関係する場合、GDPR、州法、海外監督当局、現地警察、海外証券規制、越境移転、グローバルDPO、英文通知が問題となります。日本本社だけで判断せず、現地弁護士、外国法事務弁護士、グローバルフォレンジックチームと連携します。

Section 18

18. 取締役・監査役・社外役員の視点

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

ランサムウェア対応では、取締役は「IT部門に任せた」と説明するだけでは足りない。経営者は、事業継続、顧客保護、個人情報保護、財務影響、社会的信用、再発防止投資を判断します責任を負う。サイバーセキュリティ経営ガイドラインも、サイバーセキュリティを経営課題として捉え、経営者のリーダーシップで推進することを求めています。

取締役・監査役が初動で確認すべき質問は次のとおりです。

  1. 被害拡大を止める措置は完了したか。
  2. 証拠・ログ・バックアップは保全されているか。
  3. 重要業務への影響と代替運用は何か。
  4. 個人情報、営業秘密、顧客情報の漏えい等のおそれはあるか。
  5. 法令報告、契約通知、適時開示、本人通知の期限は何か。
  6. 外部弁護士、フォレンジック専門家、警察、保険会社と連携しているか。
  7. 復旧条件は何か。原因を塞ぐ前に復旧していないか。
  8. 身代金要求に対する方針と判断記録はあるか。
  9. 公表文は事実と不明点を分けているか。
  10. 再発防止のための予算、人員、システム改善は何か。

社外取締役・監査役は、対策本部の技術詳細に介入するよりも、意思決定プロセス、専門家起用、証拠保全、説明責任、再発防止の合理性を監督します。

Section 19

19. 平時に整備すべきランサムウェア被害発生時の初動手順

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

有事に初めて手順を作る企業は、初動で混乱します。平時から次の準備を行います。

19.1 インシデント対応規程

  • ランサムウェアを重大インシデントとして定義します。
  • インシデント宣言権者を決めます。
  • 対策本部のメンバーと代理者を決めます。
  • システム停止・ネットワーク遮断の権限を明確にします。
  • 外部専門家の緊急起用ルールを設けます。
  • 記録係と時系列表の様式を定めます。

19.2 連絡網

  • 経営者、CISO、法務責任者、広報、個人情報保護担当、内部監査。
  • 外部弁護士、フォレンジック専門会社、ITベンダー、クラウド事業者。
  • 保険会社、警察相談窓口、JPCERT/CC、所管省庁。
  • 主要取引先、委託元、委託先、データ処理先。

連絡網は、社内システム停止時にも参照できるよう、紙、暗号化されたオフライン媒体、緊急連絡用端末等に保管します。

19.3 バックアップと復旧演習

バックアップは、存在するだけでは不十分です。復元できること、復元時間が事業上許容できること、バックアップが攻撃者に削除されないこと、復元先がクリーンであることを確認する必要があります。警察庁は、ログやバックアップ等をネットワークから切り離してオフラインで保管すること、復旧手順を確認することを案内しています。

19.4 ログ設計

ランサムウェア対応で必要なログは、有事に突然取得できない。平時から次を整備します。

  • AD、IDaaS、VPN、MFA、RDP、特権IDのログ。
  • EDR、ウイルス対策、SIEMのログ。
  • ファイアウォール、プロキシ、DNS、メールゲートウェイのログ。
  • クラウド監査ログ、SaaS管理ログ。
  • バックアップ操作ログ。
  • ログの保管期間、改ざん防止、時刻同期。

19.5 契約・通知テンプレート

平時から、取引先通知、本人通知、PPC速報、社内通知、公表文、Q&A、コールセンター台本を準備します。通知文は、事実未確定の段階でも使えるよう、「現時点で判明している事項」「調査中の事項」「講じた措置」「今後の連絡予定」に分けます。

19.6 訓練

机上訓練では、次のシナリオを用いると効果的です。

  • 月曜朝、ファイルサーバが暗号化され、ランサムノートが表示された。
  • バックアップサーバにも不審なログインがあります。
  • 攻撃者が顧客情報を窃取したと主張しています。
  • 主要取引先から、契約上24時間以内の報告を求められています。
  • メディアから問い合わせが来ています。
  • 個人情報保護委員会への速報期限が迫っています。
  • 復旧すれば出荷は再開できるが、侵入経路は未確定です。

この訓練では、技術対応だけでなく、経営判断、法務判断、広報判断、記録、取締役会報告を同時に行います。

Section 20

20. NIST等の国際的なインシデント対応枠組みとの関係

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

ランサムウェア被害発生時の初動手順は、日本の法制度だけでなく、国際的なインシデント対応枠組みとも整合させると有用です。NIST SP 800-61 Rev.3は、インシデント対応の推奨事項をNIST Cybersecurity Framework 2.0のリスク管理活動に組み込み、準備、被害発生数・影響の低減、検知・対応・復旧の効率改善に役立てることを目的としています。

国際的な枠組みを使う意義は、海外子会社、海外顧客、グローバル監査、サイバー保険、外部委託先とのコミュニケーションで共通語を持てることです。ただし、日本企業が実際に行うべき報告・通知・本人対応は、日本法、業法、契約、上場規則、海外法を個別に確認する必要があります。

Section 21

21. ランサムウェア被害発生時の初動手順のモデル規程案

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

以下は、社内規程に落とし込む際の簡易モデルです。各社の規模、業種、システム構成、委託関係、上場有無に応じて修正します。

21.1 インシデント宣言基準

次のいずれかに該当する場合、重大セキュリティインシデントとして宣言します。

  • ランサムノート、暗号化ファイル、拡張子変更が確認された場合。
  • ファイルサーバ、認証基盤、バックアップ、基幹システムに不審な暗号化・削除・アクセス不能が発生した場合。
  • 攻撃者が情報窃取または公開を主張した場合。
  • EDR、SOC、外部機関からランサムウェア感染または侵入型攻撃の警告を受けた場合。
  • 個人データ、営業秘密、顧客情報、決済情報、医療情報、マイナンバー等に不正アクセスのおそれがある場合。

21.2 初動措置

重大セキュリティインシデント宣言後、情報システム責任者は、被害拡大防止のため、必要な範囲でネットワーク隔離、リモートアクセス停止、バックアップ保護、特権ID凍結を実施できます。実施に当たっては、証拠保全のため、原則として対象機器の電源を落とさず、実施時刻、対象、理由、実施者を記録します。

21.3 対策本部

対策本部は、経営責任者、CISO、情報システム責任者、法務責任者、個人情報保護担当、広報責任者、事業責任者、内部監査担当、必要に応じ外部弁護士およびフォレンジック専門家で構成します。対策本部は、被害範囲、事業影響、法的報告、契約通知、公表、復旧条件、再発防止を決定または承認します。

21.4 記録

対策本部は、時系列表を作成し、すべての重要な事実、判断、外部連絡、証拠保全、復旧作業を記録します。記録は、社内調査、当局報告、取締役会報告、保険請求、訴訟対応のため、改ざん防止措置を講じて保管します。

21.5 法務評価

法務責任者は、外部弁護士と連携し、個人情報保護法、マイナンバー法、業法、契約、秘密保持義務、上場規則、金融商品取引法、労務・従業員プライバシー、制裁・反社会的勢力、サイバー保険の各論点を評価します。

Section 22

22. 典型的な失敗事例と教訓

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

22.1 初期化してしまい原因が分からない

感染端末を初期化し、暗号化ファイルを削除し、ログローテーションを放置した結果、侵入経路も情報持出しの有無も分からなくなります。これにより、当局報告、顧客説明、保険請求、再発防止が推測に依存します。教訓は、復旧前に証拠保全を行うことです。

22.2 バックアップが同時に暗号化される

バックアップサーバが本番ネットワークに常時接続され、同じ管理者認証情報で運用されていたため、攻撃者に削除・暗号化される。教訓は、オフラインまたはイミュータブルなバックアップ、管理認証の分離、復元テストを平時から行うことです。

22.3 法務が後から参加し、報告期限が迫る

技術部門だけで数日対応した後、個人情報保護担当に共有され、PPC速報期限が迫る。契約上の24時間通知も過ぎています。教訓は、初動から法務、個人情報保護、広報、経営を対策本部に入れることです。

22.4 「漏えいなし」と公表後にリークサイト掲載

初期調査で外部送信ログが見つからなかったため「漏えいなし」と公表したが、後日リークサイトにデータが掲載された。教訓は、否定事実を早期断定せず、「現時点で確認されていない」「調査中」と表現することです。

22.5 原因未解明のまま復旧し、再暗号化される

バックアップから復旧したが、VPN脆弱性、侵害アカウント、不正タスクが残っており、再度暗号化される。教訓は、復旧条件を文書化し、原因封鎖、認証情報更新、監視強化後に復旧することです。

Section 23

23. 実務テンプレート ― 初動時系列表

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

以下のような時系列表を、有事の開始直後から作成します。

下の比較表は、23. 実務テンプレート ― 初動時系列表に関する情報を時刻、事象、情報源、実施措置の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。

時刻事象情報源実施措置判断者証拠・資料未確認事項
2026/06/07 09:05経理部PCでランサムノート発見経理部A氏LANケーブル抜線、画面撮影情シスB氏写真001、端末名PC-001他端末影響不明
09:20ファイルサーバ一部共有に拡張子変更確認情シスサーバNIC隔離、ログ保全開始CISOサーバログ取得中情報持出し不明
10:00対策本部設置CISO法務・広報・外部弁護士へ連絡CEO会議メモ001PPC報告要否未判断

時系列表は、単なる作業ログではありません。後日の法務評価では、いつ何を知り、誰がどのような根拠で判断したかが問われます。特に、公表、本人通知、身代金対応、復旧、システム再開の判断は、議事録または承認記録を残します。

Section 24

24. 結論 ― ランサムウェア被害発生時の初動手順は「同時並行の統制」です

技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。

ランサムウェア被害発生時の初動手順において、最も危険なのは、個々の担当者が善意で独立に動くことです。情報システムは早く復旧したい。営業は早く顧客に説明したい。広報は早く公表文を出したい。経営は早く事業影響を知りたい。法務は正確な事実を確認したい。しかし、これらが統制されなければ、証拠消失、再感染、報告遅延、誤公表、契約違反、顧客不信につながります。

実務上の結論は明確です。ランサムウェア被害発生時の初動手順は、次の順序を守りつつ、同時並行で管理します。

  1. 隔離します。 感染疑い端末・サーバをネットワークから切り離し、被害拡大を止めます。
  2. 残します。 電源断、初期化、削除を避け、ログ・証拠・ランサムノート・時系列を保全します。
  3. 守ります。 バックアップ、認証基盤、特権ID、ログ基盤を保護します。
  4. 集めます。 対策本部を設置し、経営・法務・技術・広報・事業部門の情報を一元化します。
  5. 判断します。 個人情報、契約、業法、適時開示、身代金、復旧条件を専門家と評価します。
  6. 塞ぎます。 侵入経路、脆弱性、侵害アカウント、残存脅威を排除します。
  7. 戻します。 クリーンな環境に、検証済みバックアップから、監視を強化して復旧します。
  8. 説明します。 顧客、本人、取引先、当局、株主、従業員に、事実と不明点を分けて説明します。
  9. 直します。 根本原因を踏まえ、内部統制、契約、バックアップ、ログ、教育、演習を改善します。

この意味で、「ランサムウェア被害発生時の初動手順」は、サイバーセキュリティの手順にとどまらず、企業法務、内部統制、危機管理、経営判断の統合プロセスでもあります。平時に手順を作り、訓練し、有事に記録し、事後に改善する企業だけが、ランサムウェア被害を単なる事故ではなく、組織の耐性を高める契機に変えることができます。

Reference

参考資料

参考にした主な資料

  • JPCERT/CC「侵入型ランサムウェア攻撃を受けたら読むFAQ」
  • JPCERT/CC「インシデントの相談」
  • 警察庁「ランサムウェア被害防止対策」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 国家サイバー統括室「STOP! RANSOMWARE」
  • 情報処理推進機構(IPA)「ランサムウェア対策特設ページ」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • National Institute of Standards and Technology, SP 800-61 Rev. 3
  • 日本取引所グループ「適時開示が求められる会社情報」