被害拡大防止、ログ保全、個人情報報告、取引先通知、広報、復旧条件を同時並行で管理するための実務対応を整理します。
被害拡大防止、ログ保全、個人情報報告、取引先通知、広報、復旧条件を同時並行で管理するための実務対応を整理します。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
下の判断の流れは、検知から事後改善までの並行対応を整理したものです。重要な判断を個人の記憶に頼らず、関係者が同じ順番で確認しますために役立ちます。上から順に読むと、初動で優先すべき項目と、後続の確認先が分かります。
ランサムノート、拡張子変更、EDR警告、共有フォルダ異常などを受け付けます。
通常対応から危機対応へ切り替え、記録係と意思決定者を置きます。
端末・サーバを切り離し、ログとバックアップを守ります。
個人情報、契約通知、開示、復旧安全性を並行評価します。
このページは、企業法務に関わる読者が「ランサムウェア被害発生時の初動手順」を実務で理解し、社内外の専門家と同じ言語で議論できるようにするための専門的解説です。想定する読者は、企業経営者、法務担当、企業内弁護士、外部弁護士、コンプライアンス担当、個人情報保護・プライバシー担当、内部監査担当、情報システム担当、CISO、CSIRT、監査役、社外取締役、会計士、税理士、社労士、経営コンサルタント、中小企業診断士、研究者、教育機関、専門機関・シンクタンク等です。
このページは、弁護士、企業内弁護士、外部弁護士、法務担当、コンプライアンス担当、リスクマネジメント担当、内部監査担当、個人情報保護担当、デジタルフォレンジック専門家、情報システム責任者、危機管理広報担当等の実務視点を統合した解説として構成しています。ただし、特定企業の個別事情に対する法的助言ではありません。実際の被害対応では、外部弁護士、フォレンジック専門会社、警察、JPCERT/CC、保険会社、所管省庁、個人情報保護委員会等への相談を、事案の性質に応じて速やかに行う必要があります。
ランサムウェア被害発生時の初動手順は、単なる「IT障害復旧手順」ではありません。暗号化の拡大を止める技術的封じ込め、証拠とログを残す調査・刑事・民事上の証拠保全、個人情報保護法・契約・適時開示・業法上の報告を判断します法務対応、顧客・取引先・従業員・株主・メディアに説明する危機広報、そして事業継続を維持するBCP/DRを同時並行に動かす総合危機対応です。
特に初動で重要なのは、次の五点です。
JPCERT/CCは、侵入型ランサムウェア攻撃への基本方針として、被害範囲の把握と最小化、侵入経路を塞ぐこと、要求に応じずバックアップから復旧することを示しています。警察庁も、感染端末のネットワーク隔離、原因調査のためのログ保全、電源を落とさないこと、警察への通報・相談を案内しています。個人情報が関係する場合には、個人情報保護委員会への速報・確報の期限を踏まえた対応が必要です。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェアは、端末やサーバ上のデータを暗号化し、復号の対価として金銭を要求する不正プログラムです。近年は、単にファイルを暗号化するだけでなく、社内ネットワークへ侵入し、認証情報を窃取し、権限を昇格し、ファイルサーバやバックアップまで破壊し、さらに窃取した情報をリークサイトに掲載すると脅す「二重恐喝」型の攻撃が実務上重要です。警察庁は、VPN等のネットワーク機器の脆弱性を狙った侵入、二重恐喝、ノーウェアランサムに注意を促しています。
企業法務がランサムウェア被害発生時の初動手順を理解すべき理由は、初動の判断が法的責任、説明責任、証拠価値、復旧可能性、事業継続に直結するからです。たとえば、感染端末を不用意に再起動すれば、メモリ上の痕跡や一部ログが失われる可能性があります。攻撃者との交渉記録を残さなければ、後日の取締役会説明、保険請求、捜査協力、制裁・反社会的勢力リスク確認に支障が出ます。個人データ漏えいの「おそれ」を過小評価すれば、個人情報保護委員会への報告期限を逸するおそれがあります。原因未解明のままバックアップを復元すれば、同じ侵入経路から再暗号化される危険があります。
ランサムウェア被害発生時の初動手順は、したがって、情報システム部門だけのマニュアルではなく、経営会議、取締役会、監査役、法務、コンプライアンス、広報、営業、カスタマーサポート、人事、内部監査、外部弁護士、フォレンジック専門家が共通して参照すべき危機対応基盤です。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェアとは、端末、サーバ、ファイル共有、バックアップ、クラウドストレージ等に保存されたデータを暗号化または利用不能にし、復旧や情報非公開の対価として金銭を要求する不正プログラムまたは攻撃手法を指します。典型的には、暗号化されたファイル、身代金要求文、攻撃者の連絡先、暗号資産での支払要求、復号可能性を示すサンプル復号等が確認されます。
侵入型ランサムウェアとは、攻撃者がVPN、RDP、クラウドアカウント、外部公開サーバ、メール添付マルウェア、MSP・委託先経由などから社内ネットワークに侵入し、一定期間内部で偵察、横展開、権限昇格、情報窃取、バックアップ破壊等を行った後、暗号化を実行する攻撃を指します。JPCERT/CCは、内部ネットワークに侵入して調査・侵害範囲の拡大・情報窃取等を実行した後、ランサムウェアに感染させる攻撃を「侵入型ランサムウェア攻撃」として説明しています。
二重恐喝とは、データ暗号化による業務停止に加え、窃取した情報を公開すると脅して金銭を要求する手口です。二重恐喝では、「復旧できるか」だけでは足りず、「情報が持ち出されたか」「漏えいのおそれがあるか」「本人通知・取引先通知・規制当局報告が必要か」「営業秘密性の維持に必要な措置を講じたか」が中心論点になります。
ノーウェアランサムとは、データ暗号化を伴わず、情報窃取や窃取したと称する情報の公開を脅しとして金銭を要求する手口です。ランサムウェアという語から「暗号化」を想定しがちだが、法務上は、暗号化の有無よりも、不正アクセス、情報窃取、漏えいのおそれ、業務停止、対外説明、契約違反の可能性を評価する必要があります。
ランサムノートとは、攻撃者が被害企業に残す身代金要求文です。ファイル名、拡張子、攻撃グループ名、連絡先、期限、支払方法、リークサイトURL、復号サンプルの案内等が記載されることがあります。削除せず、画面写真、ファイルコピー、保存場所、発見時刻、発見者を記録します。
リークサイトとは、攻撃者が窃取したと称する情報を掲載し、または掲載すると脅すウェブサイトです。JPCERT/CCは、窃取情報の公開場所として攻撃グループが運用するウェブサイトを説明しています。リークサイト確認は、証拠保全、広報、個人情報保護法、契約通知、捜査協力の観点から重要ですが、アクセス時に二次被害や証拠改変の懸念もあるため、専門家の指示に従うべきです。
フォレンジックとは、端末、サーバ、クラウド、ログ、通信記録、メモリ、メール等から、侵入経路、侵害範囲、情報持出しの有無、攻撃者の操作履歴、残存不正プログラム、復旧時の安全性を調査する技術的手続を指します。法務上は、調査報告書の証拠価値、弁護士秘匿特権に類似する社内調査管理、外部公表の根拠、保険請求、訴訟対応、当局報告の基礎資料として重要です。
BCPは事業継続計画、DRは災害復旧計画です。ランサムウェアでは、システム復旧だけでなく、受注、出荷、診療、決済、顧客対応、給与、法定提出、決算、開示などの重要業務を、代替手段でどこまで継続できるかが問われます。バックアップから復旧できるとしても、復旧順位、復旧手順、検証、再侵入防止、外部接続再開の判断が必要です。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
下の判断の流れは、検知から事後改善までの並行対応を整理したものです。重要な判断を個人の記憶に頼らず、関係者が同じ順番で確認しますために役立ちます。上から順に読むと、初動で優先すべき項目と、後続の確認先が分かります。
ランサムノート、拡張子変更、EDR警告、共有フォルダ異常などを受け付けます。
通常対応から危機対応へ切り替え、記録係と意思決定者を置きます。
端末・サーバを切り離し、ログとバックアップを守ります。
個人情報、契約通知、開示、復旧安全性を並行評価します。
ランサムウェア被害発生時の初動手順は、直線的な手順ではありません。実務では、検知、隔離、証拠保全、法務評価、広報準備、復旧準備が同時並行で進みます。次の図は、企業法務と技術部門が共有すべき全体像です。
この図の要点は、復旧が最後に来ることです。暗号化されたサーバを早く戻したいという経営上の圧力は当然に強い。しかし、侵入経路、認証情報の流出、残存マルウェア、バックドア、不正アカウント、バックアップ汚染が未確認のまま復旧すると、再侵入、再暗号化、さらなる情報流出を招く。JPCERT/CCも、復旧前に侵入経路を塞ぐこと、マルウェア・バックドア・不正設定を排除することの重要性を示しています。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
下の重要ポイント一覧は、初動で守るべき五つの原則を整理したものです。技術対応と法務判断の順番を取り違えないために重要です。各項目を上から確認すると、拡大防止、証拠保全、復旧判断の優先順位が分かります。
暗号化されたファイルの復旧より先に、未感染の端末、サーバ、バックアップ、認証基盤を守ります。
再起動、初期化、暗号化ファイルの削除、ログローテーションの放置を避け、後で説明できる状態を残します。
バックアップ、AD、IDaaS、特権ID、VPNなどを隔離・保全し、復旧の選択肢を確保します。
個人情報、契約、業法、適時開示、保険、警察相談は調査完了を待たずに評価を始めます。
侵入経路、脆弱性、侵害アカウント、バックドアを排除してからクリーン環境で戻します。
ランサムウェアを確認したら、最初の技術的目標は「暗号化を止める」ことではなく、「被害範囲の拡大を止める」ことです。すでに暗号化されたファイルをその場で復号することに意識を奪われると、同じネットワーク内の未感染サーバ、バックアップ、認証基盤、クラウドアカウントが破壊される危険があります。
被害端末・サーバは、LANケーブルを抜く、スイッチポートを遮断する、Wi-Fiを切断する、仮想マシンのネットワークアダプタを無効化する、EDRの隔離機能を使うなどの方法でネットワークから隔離します。ただし、警察庁が案内するように、原因調査に必要なログ消失を防ぐ観点から、原則として電源を落とさない。暗号化が進行中で停止しなければ重大な被害拡大が避けられない等の例外的状況では、電源断を含む措置を検討する余地がありますが、その場合も時刻、判断者、理由、対象機器を記録します。
ランサムウェア被害では、「復旧できるか」と同じくらい「何が起きたかを後で説明できるか」が重要です。ログ、端末、メモリ、ランサムノート、攻撃者との通信、画面表示、ファイル拡張子、バックアップ装置の状態、ID管理システムの履歴、VPNログ、EDRアラート、ファイアウォールログ、クラウド監査ログ等は、法的報告、保険請求、捜査協力、取引先説明、内部統制改善、訴訟対応の基礎となります。
再起動、初期化、ウイルス駆除ツールの一括実行、暗号化ファイルの削除、ログローテーションの放置は、調査可能性を損なう。初動段階では「直す」前に「残す」ことを徹底します。
ランサムウェア攻撃者は、バックアップサーバやバックアップ管理画面を優先的に狙うことがあります。バックアップが暗号化・削除されますと、復旧の選択肢は大幅に狭まる。したがって、バックアップストレージ、バックアップ管理サーバ、スナップショット、クラウドバックアップ、オフライン媒体、ログ保管基盤を、感染ネットワークから切り離し、上書きや自動同期を停止し、保全します。
同時に、Active Directory、LDAP、IDaaS、クラウドIAM、特権ID、VPNアカウント、RDPアカウント、管理者端末、APIキー、SSH鍵を保護します。侵害アカウントが残っていれば、復旧後に再侵入されます。
ランサムウェア被害の法務判断は、調査完了後に始めるのでは遅い。個人情報保護法上の漏えい等報告は、速報が「発覚日から概ね3〜5日以内」、確報が原則30日以内、不正目的のおそれがある場合は60日以内とされています。速報は完全な原因究明を前提にするものではありません。不明事項は不明として速報し、確報で更新する発想が必要です。
また、委託契約、クラウド契約、秘密保持契約、サイバー保険契約、業法、重要インフラ関連の報告、上場会社の適時開示、取引先への事故通知、従業員への説明、本人通知が問題となります。初動から法務・コンプライアンス・個人情報保護担当を対策本部に入れるべきです。
復旧は、単にバックアップを戻すことではありません。侵入経路、悪用された脆弱性、侵害アカウント、横展開経路、残存マルウェア、バックドア、攻撃者が作成した管理者アカウント、無効化されたセキュリティ設定を特定し、必要な遮断・修正を実施した後に行います。JPCERT/CCも、復旧前に侵入経路を塞ぐこと、マルウェア・バックドア・不正設定を排除することを求めています。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
下の時系列は、0分から30日・60日までの対応を段階ごとに並べたものです。期限と担当がずれると報告遅延や再感染につながるため重要です。左から時間帯、目的、技術対応、法務・経営対応、記録事項の順に読みます。
感染疑い端末・サーバを隔離し、電源は原則落とさず、画面・ランサムノート・発見時刻を記録します。
EDR隔離、VPN等の制御、バックアップ保護と同時に、対策本部、外部専門家、保険会社候補を確認します。
AD、VPN、FW、EDR、DNS、メール、クラウド監査ログを保全し、個人情報、契約通知、警察・JPCERT/CC相談を検討します。
侵入経路仮説、残存脅威、バックアップ健全性、PPC速報、取引先通知、適時開示要否を整理します。
脆弱性修正、認証情報リセット、MFA、クリーンビルド、復旧試験、監視強化を行います。
PPC確報、取締役会報告、監査対応、規程改訂、教育、再発防止投資へつなげます。
次の表は、ランサムウェア被害発生時の初動手順を時間軸で整理したものです。時間は目安であり、医療、金融、製造、物流、重要インフラ、公共機関、上場会社、グローバル企業では、より速い意思決定が必要になります。
下の比較表は、5. 0〜72時間の初動タイムラインに関する情報を時間帯、主な目的、技術対応、法務・経営対応の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 時間帯 | 主な目的 | 技術対応 | 法務・経営対応 | 記録すべき事項 |
|---|---|---|---|---|
| 0〜15分 | 拡大防止 | 感染疑い端末・サーバをネットワーク隔離。原則として電源は落とさない。画面・ランサムノートを保存。 | インシデント受付者がCISO、情報システム責任者、法務責任者へ連絡。 | 発見時刻、発見者、端末名、IP、画面表示、実施措置。 |
| 15〜60分 | 体制確立 | EDR隔離、VPN・RDP・管理系アクセスの一時制御、バックアップ保護、特権ID確認。 | インシデント宣言、対策本部設置、外部弁護士・フォレンジック候補・保険会社への連絡。 | 対策本部メンバー、意思決定者、連絡先、被害仮説。 |
| 1〜6時間 | 被害範囲の暫定把握 | AD、VPN、FW、EDR、プロキシ、DNS、メール、クラウド監査ログの保全。感染範囲調査。 | 個人情報・営業秘密・契約通知・業法報告・警察相談・JPCERT/CC相談を検討。 | 影響システム、停止業務、顧客影響、保全ログ、外部連絡履歴。 |
| 6〜24時間 | 経営判断の準備 | 侵入経路仮説、残存脅威、バックアップ健全性、復旧優先順位の整理。 | 取締役・監査役への報告、社内外説明案、PPC速報要否、取引先通知要否、適時開示要否を検討。 | 事実、不明点、推測、リスク評価、承認者。 |
| 24〜72時間 | 封じ込めから復旧準備へ | 脆弱性修正、認証情報リセット、MFA、クリーンビルド、復旧試験、監視強化。 | 当局報告、本人通知、公表、契約上の通知、サイバー保険請求資料を整備。 | 報告日時、報告内容、通知対象、復旧判定、再発防止策。 |
| 3〜30/60日 | 確報・再発防止 | 根本原因分析、再侵入監視、EDR/ログ改善、訓練。 | PPC確報、取締役会報告、監査対応、契約交渉、社内規程改訂。 | 調査報告書、再発防止計画、教育記録、予算措置。 |
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア被害の兆候は、必ずしも「身代金要求画面」だけではありません。典型的な兆候は、ファイル拡張子の一斉変更、共有フォルダへのアクセス不能、サーバ負荷急増、EDRアラート、バックアップジョブ失敗、管理者アカウントの異常ログイン、VPNの不審接続、深夜帯の大量ファイルアクセス、セキュリティソフト停止、ログ削除、ランサムノートの出現等です。
一次受付者は、問題を「単なるPC不調」と処理してはいけません。次の情報を短時間で記録します。
受付段階では、原因を断定しない。「感染した」「漏えいした」といった表現は、技術調査前には避けます。一方で、重大インシデントの可能性がある場合には、確証を待たずにエスカレーションします。
ランサムウェアの疑いがある場合、情報システム責任者またはCISOは、社内規程に従いインシデントを宣言します。宣言により、通常の承認手順ではなく危機対応手順に移行し、システム停止、ネットワーク遮断、外部専門家起用、臨時予算、社外連絡、広報統制が可能になります。
対策本部には、少なくとも次の機能を置く。
下の比較表は、6. フェーズ別の実務対応に関する情報を機能、主担当、主な責任の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 機能 | 主担当 | 主な責任 |
|---|---|---|
| 本部長 | CEO、COO、CISO等 | 事業停止、復旧優先順位、公表、支払拒否方針等の経営判断。 |
| 技術対応 | 情報システム、SOC、CSIRT | 隔離、ログ保全、フォレンジック、復旧、再侵入監視。 |
| 法務 | 企業内弁護士、法務担当、外部弁護士 | 法令報告、契約通知、証拠保全、身代金対応、取締役会説明。 |
| 個人情報保護 | DPO、プライバシー担当 | 漏えい等報告、本人通知、委託先・共同利用先との調整。 |
| 広報 | 広報、IR、カスタマーサポート | 社内外説明、FAQ、メディア対応、顧客窓口。 |
| 事業部門 | 営業、製造、物流、医療現場等 | 重要業務の優先順位、代替運用、顧客影響把握。 |
| 内部監査・監査役 | 内部監査、監査役会 | 統制不備、取締役対応、再発防止の監督。 |
| 記録係 | 法務または危機管理事務局 | 時系列、意思決定、連絡、証拠、会議体の記録。 |
JPCERT/CCも、侵入型ランサムウェア対応では体制確保、社内連絡体制、広報・一元窓口、外部連携担当の確保を挙げています。対策本部を置く実務的意味は、情報を一元化し、矛盾した社外説明を防ぎ、法務・技術・経営の判断を同じ時系列で管理する点にあります。
初期封じ込めでは、感染疑い端末・サーバをネットワークから隔離します。隔離方法は、LANケーブル抜線、スイッチポート遮断、VLAN隔離、無線LAN停止、EDR隔離、仮想NIC無効化、クラウドセキュリティグループ変更等です。大規模な場合には、拠点間VPN、RDP、VPN装置、リモート管理ツール、ファイル共有、バックアップネットワーク、管理用ジャンプサーバの一時停止も検討します。
ただし、隔離と証拠保全は緊張関係にあります。端末をネットワークから外すことは被害拡大防止に有効だが、電源断や初期化は証拠を失わせる。警察庁は、感染端末等のLANケーブルを抜くなどネットワークから隔離する一方、原因調査に必要なログが消失する可能性があるため電源を落とさないことを案内しています。
封じ込めの対象は、感染端末だけではありません。次を同時に確認します。
初動では、すべてのパスワードを一斉変更する前に、侵害範囲を把握し、攻撃者のセッション、トークン、永続化手段を確認する必要があります。一斉変更自体が攻撃者に検知され、破壊的行動を早めることもあります。とはいえ、侵害が疑われる特権ID、VPNアカウント、退職者アカウント、共有アカウント、外部委託先アカウントは早期に凍結・再発行を検討します。
証拠保全の目的は、刑事手続のためだけではありません。企業が、株主、取引先、本人、監督官庁、裁判所、保険会社、監査人に対して合理的な説明を行うために必要です。
初動で保全すべき典型資料は次のとおりです。
下の比較表は、6. フェーズ別の実務対応に関する情報を分類、保全対象、法務上の意味の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 分類 | 保全対象 | 法務上の意味 |
|---|---|---|
| 端末・サーバ | ディスクイメージ、メモリ、イベントログ、プロセス情報 | 侵入経路、実行ファイル、攻撃者操作、情報窃取の推定。 |
| 認証 | ADログ、VPNログ、MFAログ、クラウドIAMログ | 侵害アカウント、横展開、外部接続元の把握。 |
| ネットワーク | FW、プロキシ、DNS、IDS/IPS、NetFlow | C2通信、外部送信、窃取通信の有無。 |
| メール | メールゲートウェイ、M365監査ログ、添付ファイル | フィッシング起点、アカウント侵害の有無。 |
| バックアップ | バックアップジョブ履歴、削除履歴、管理者操作 | 復旧可能性、破壊行為、内部統制上の問題。 |
| 攻撃者痕跡 | ランサムノート、拡張子、リークサイト情報、チャット記録 | 攻撃グループ推定、支払要求、脅迫内容、広報対応。 |
| 業務影響 | 停止業務一覧、顧客影響、代替運用記録 | 損害算定、契約違反、適時開示、保険請求。 |
| 意思決定 | 対策本部議事録、承認記録、時系列表 | 取締役の善管注意義務、説明責任、事後監査。 |
フォレンジック調査では、少なくとも次を明らかにする必要があります。
JPCERT/CCは、ログ解析、侵入経路の推測、SSL-VPN製品等の確認、代表的侵入経路としてリモートアクセス、外部公開システムの脆弱性、MSP回線、メール起因マルウェア端末等を挙げています。初動でこれらのログを消してしまうと、後日の判断が推測に依存します。
ランサムウェア被害が疑われる場合、社内だけで抱え込まない。早期に連携すべき相手は、事案に応じて次のとおりです。
下の比較表は、6. フェーズ別の実務対応に関する情報を相手方、連絡目的、留意点の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 相手方 | 連絡目的 | 留意点 |
|---|---|---|
| 外部弁護士 | 法令報告、契約通知、証拠保全、取締役会説明、身代金対応 | 技術調査と法務評価を一体化させる。 |
| フォレンジック専門会社 | 侵入経路、情報持出し、復旧安全性の調査 | 保険契約で指定業者・事前承認があるか確認。 |
| 警察 | 犯罪被害の通報・相談、捜査協力、復号ツール情報 | ログ、ランサムノート、通信記録を保全。 |
| JPCERT/CC | 初動相談、攻撃種別、侵入経路推測、関係機関連携 | JPCERT/CCは初動相談を受け付けるが、復旧作業自体の代行ではありません。 |
| 個人情報保護委員会・所管省庁 | 個人データ漏えい等報告、業法報告 | 速報期限に注意。権限委任分野やマイナンバーを確認。 |
| 保険会社 | サイバー保険の事故通知、費用補償、ベンダー承認 | 事前承認なしの支出が補償対象外となる場合があります。 |
| 監査法人 | 決算・内部統制・開示影響 | 上場会社や決算期には早期共有が望ましいです。 |
| 主要取引先 | 供給責任、委託データ、SLA、共同対応 | 事実と推測を分けて説明します。 |
JPCERT/CCは、侵入型ランサムウェアの初動対応、種別・侵入経路の推測、復号可能性、リークサイト掲載、都道府県警察、所管省庁、個人情報保護委員会等への報告・届出に関する相談を受け付ける旨を示しています。警察庁も、保存しているログ等を持参して最寄り警察署または都道府県警察のサイバー犯罪相談窓口へ通報・相談することを案内しています。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア被害では、「実際に個人情報が外部に出たか」が直ちに分からないことが多い。しかし、個人情報保護法上の漏えい等報告は、漏えいそのものだけでなく、滅失、毀損、漏えい等のおそれを含む。攻撃者が個人データを保存するサーバに不正アクセスし、暗号化または窃取を示唆した場合、初動から報告要否を評価する必要があります。
個人情報保護委員会は、漏えい等報告の期限として、速報を発覚日から概ね3〜5日以内、確報を30日以内、不正目的のおそれがある場合を60日以内と示しています。ランサムウェアは不正アクセスや不正目的による行為が問題になることが多いため、確報期限が60日となります類型に該当するかを検討します。
個人情報保護委員会の整理を実務向けに表にすると、次のようになります。
下の比較表は、7. 個人情報保護法対応 ― 漏えい「等」と「おそれ」をどう判断するかに関する情報を類型、ランサムウェア事案での例、初動判断のポイントの観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 類型 | ランサムウェア事案での例 | 初動判断のポイント |
|---|---|---|
| 要配慮個人情報が含まれます | 医療情報、健康診断情報、障害、犯罪被害、信条等を含むサーバが暗号化・アクセスされた | 暗号化だけでも毀損・利用不能の問題があり得ます。 |
| 財産的被害のおそれ | クレジットカード情報、口座情報、決済情報、認証情報が含まれます | 二次被害防止の本人通知が急務となりますことがあります。 |
| 不正目的による漏えい等のおそれ | 不正アクセス、マルウェア通信、攻撃者による窃取主張、リークサイト掲載 | 「持ち出しが確認できない」だけで報告不要とは限りません。 |
| 1,000人超の個人データ | 顧客DB、従業員DB、会員情報、問い合わせ履歴 | 件数推定が必要。不明なら保守的に評価します。 |
個人情報保護委員会は、2025年10月1日以降、ランサムウェア事案の個人データ漏えい等またはそのおそれについて共通様式による報告を可能としています。例として、不正アクセス、マルウェア通信、第三者からの漏えいのおそれの連絡、ランサムウェア等により個人データが暗号化され復元不能となった場合等が示されています。
速報では、すべての事実が確定していなくても、発覚日、発覚経緯、影響システム、個人データの種類、件数の概算、講じた措置、今後の対応を記載します。確報では、原因、影響範囲、漏えい等の有無、本人通知、再発防止策を更新します。
法務担当は、速報の遅れを避けるため、次のテンプレートを初動から準備します。
マイナンバーが含まれます場合や含まれますか不明な場合、権限委任分野に該当する場合、所管省庁報告が必要な業種の場合には、報告先や様式を確認します。個人情報保護委員会は、マイナンバーを含む場合または不明な場合のフォーム、権限委任業種における委任先省庁への報告、共通様式の提出方法等を案内しています。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア被害では、取引先への通知義務が個人情報保護法よりも早い場合があります。委託契約、SaaS利用契約、データ処理契約、秘密保持契約、情報セキュリティ覚書、業務委託基本契約、SLA、サプライチェーン契約には、セキュリティ事故発生時の通知期限が定められていることがあります。たとえば「発見後24時間以内」「遅滞なく」「合理的に可能な限り速やかに」といった条項です。
法務担当は、初動の1〜6時間で次を棚卸しします。
通知文では、事実、可能性、未確認事項を明確に分けます。悪い例は、「情報漏えいはありません」と早期に断定した後、後日リークサイト掲載が判明することです。よい例は、「現時点で外部流出を確認していませんが、調査を継続しています。対象システム、時系列、講じた措置、今後の報告予定は以下のとおりです」と記載することです。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
上場会社では、ランサムウェア被害が有価証券の投資判断に重要な影響を与える場合、適時開示の検討が必要となります。JPXは、適時開示が求められる会社情報について、有価証券の投資判断に重要な影響を与える会社の業務、運営または業績等に関する情報と説明しています。サイバー攻撃そのものが列挙項目に明示されていない場合でも、業務停止、重要データ喪失、顧客情報漏えい、損害発生、行政処分、業績予想修正、内部統制上の重要な不備等に波及する場合には、開示要否を検討すべきです。
上場会社の初動では、法務、広報、IR、経理、監査法人、取締役会事務局を対策本部に接続します。特に、次の論点を整理します。
開示は早ければよいというものではありません。不確実な情報を断定的に公表すると、市場や顧客を誤導するリスクがあります。他方、重大な影響が判明しているのに開示を遅らせることも問題となります。実務では、「判明している事実」「未確認の事項」「講じている措置」「今後の見通し」を分け、必要に応じて続報を出す。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
下の比較表は、身代金要求を検討しますときに同時に確認します論点を整理したものです。金額だけで判断しますと制裁、反社、保険、説明責任を見落とすため重要です。各行を上から確認し、支払判断の根拠と代替手段を記録する必要があります。
支払っても復号や情報非公開が保証されず、さらなる攻撃を招くおそれがあります。接触や情報収集を検討します場合も、経営承認、外部弁護士、フォレンジック専門家、警察・保険会社への相談要否、制裁・反社・AML確認、通信記録保全を前提にします。
JPCERT/CCは、身代金を支払っても復号鍵を渡す保証はなく、攻撃者の要求に応じることでさらなる攻撃を招くおそれがあり、基本的に身代金は支払うべきではありませんと説明しています。警察庁やIPAも、No More Ransom等の復号ツール情報を案内しています。
身代金支払いは、単なる費用対効果の問題ではありません。法務・コンプライアンス上は、次のリスクを検討する必要があります。
下の比較表は、10. 身代金要求への対応に関する情報を論点、検討事項の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 論点 | 検討事項 |
|---|---|
| 復号保証 | 支払っても復号鍵が提供される保証、復号できる保証、再恐喝されない保証はない。 |
| 情報非公開保証 | 支払っても窃取情報が削除されます保証、転売されない保証、再掲載されない保証はない。 |
| 制裁・反社 | 支払先が制裁対象、反社会的勢力、犯罪組織、テロ資金等に関係する可能性。 |
| AML・暗号資産 | 暗号資産での送金、ウォレット確認、取引所利用、記録保全。 |
| 取締役責任 | 支払判断の合理性、代替手段、事業継続上の必要性、専門家意見、取締役会承認。 |
| 保険 | 支払費用が補償対象か、事前承認が必要か、除外事由があるか。 |
| 捜査協力 | 警察相談、通信記録、ウォレット情報、攻撃者との接触記録の保全。 |
| 公表 | 支払の有無を開示・説明する必要性、社会的批判、再攻撃誘発。 |
企業として攻撃者と接触するか否かは、慎重な経営判断です。原則として要求に応じないとしても、攻撃者の主張内容、窃取情報の有無、復号サンプル、期限、リークサイト情報を把握するため、専門業者や外部弁護士の関与のもとで限定的な情報収集を検討することはあり得ます。
ただし、現場担当者が個人判断で攻撃者に連絡してはいけません。交渉・接触を検討します場合は、少なくとも次を行います。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア被害では、技術調査の遅れよりも、説明の混乱が企業価値を損なうことがあります。広報の原則は、「隠さない、断定しすぎない、続報を約束する、被害者視点で説明する」です。
初動公表文または顧客通知では、次の構成が望ましいです。
避けるべき表現は次のとおりです。
社内向けには、従業員に対して、感染疑い端末の取り扱い、不審メールの報告、USB等外部媒体の使用禁止、社外問い合わせへの回答禁止、SNS投稿禁止、パスワード変更指示、代替業務手順を明確に伝える。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
復旧判断は、経営判断であると同時に、技術判断であり、法務判断でもあります。業務停止が長期化すれば顧客・患者・利用者・従業員・取引先に重大な影響が出ます。一方で、原因未解明のまま復旧すれば、再暗号化や二次漏えいが発生し、結果として被害が拡大します。
復旧前には、次のチェックを行います。
JPCERT/CCは、暗号化されたファイルの復号は通常困難であり、BCP/DRに基づきバックアップから復元すること、復号ツールの有無を確認することを示しています。警察庁やIPAも、No More Ransom等の復号ツール情報を案内しています。ただし、復号ツールが存在しても、全データが完全に戻るとは限らないため、復元検証とデータ完全性確認が必要です。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア被害発生時の初動手順では、役割の曖昧さが最大のリスクです。平時から次の役割分担を定めておきます。
下の比較表は、13. 役割分担 ― 誰が何を決めるのかに関する情報を役割、初動での主な判断、成果物の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 役割 | 初動での主な判断 | 成果物 |
|---|---|---|
| 経営者・取締役 | インシデント宣言、事業停止、復旧優先順位、公表、外部費用、支払拒否方針 | 経営判断記録、取締役会報告。 |
| CISO・CSIRT | 封じ込め、調査範囲、復旧条件、外部専門家起用 | 技術対応計画、時系列、原因分析。 |
| 情報システム | 隔離、ログ保全、バックアップ保護、復旧作業 | 機器一覧、ログ、復旧手順書。 |
| 法務 | 法令報告、契約通知、証拠保全、身代金法務、開示 | 法務メモ、通知文、当局報告案。 |
| 個人情報保護担当 | 漏えい等報告、本人通知、委託先調整 | PPC報告案、本人通知案。 |
| コンプライアンス | 社内ルール、従業員周知、反社・制裁確認 | 社内通知、リスク評価。 |
| 広報・IR | 社外公表、メディア対応、株主説明 | 公表文、FAQ、IR資料。 |
| 営業・CS | 顧客問い合わせ、契約相手方説明 | 顧客リスト、回答テンプレート。 |
| 内部監査 | 統制不備、再発防止、監査計画 | 監査報告、改善計画。 |
| 外部弁護士 | 個別法務助言、調査統制、当局・取引先対応 | 意見書、調査方針、交渉支援。 |
| フォレンジック専門家 | 侵入経路・持出し・復旧安全性調査 | 調査報告書、IoC、復旧助言。 |
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
下の一覧は、30分、6時間、24時間、72時間以内の確認事項をまとめたものです。時間帯ごとに抜けやすい作業を見落とさないために重要です。各列を順に確認すると、隔離・保全・通知・復旧準備の進み具合が分かります。
隔離、電源維持、画面保存、発見時刻記録、責任者連絡、バックアップ保護、社外回答の一元化を確認します。
対策本部、ログ保全、特権ID・VPN確認、外部専門家・警察・JPCERT/CC・PPC相談要否を確認します。
侵入経路仮説、情報持出しのおそれ、PPC速報、契約通知、適時開示、FAQ、復旧条件承認を確認します。
脆弱性修正、認証リセット、MFA、不正アカウント除去、クリーン復旧試験、当局報告、取締役報告を確認します。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
下の比較表は、15. 初動でやってはいけないことに関する情報をやってはいけない行為、なぜ危険か、代替措置の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| やってはいけない行為 | なぜ危険か | 代替措置 |
|---|---|---|
| 感染端末を再起動・シャットダウンする | メモリ、プロセス、ログが失われる可能性 | ネットワーク隔離し、専門家指示を待つ。 |
| 暗号化ファイルやランサムノートを削除する | 攻撃種別、復号可否、証拠が失われる | コピー・画面保存・保全を行います。 |
| 原因未解明のままバックアップを戻す | 再感染・再暗号化のリスク | 侵入経路封鎖後にクリーン環境へ復元。 |
| 社内で個別に攻撃者へ連絡する | 交渉記録不備、制裁・反社・保険リスク | 対策本部承認と専門家関与の下で判断。 |
| 「漏えいなし」と早期断定する | 後日訂正で信用を失う | 「現時点で確認されていない」と表現。 |
| 情報システムだけで抱え込む | 報告期限、契約通知、開示判断を逸する | 法務・経営・広報を初動から入れる。 |
| ログ保全前にウイルス駆除を一括実行する | 痕跡が消え、原因不明になる | イメージ保全・ログ取得後に駆除。 |
| バックアップを感染ネットワークに接続したままにする | バックアップまで暗号化・削除されます | 物理・論理的に切り離す。 |
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
中小企業では、専任CISO、SOC、CSIRT、法務部が存在しないことも多い。その場合でも、ランサムウェア被害発生時の初動手順は簡略化して準備できます。経済産業省は、サイバーセキュリティ経営ガイドラインにおいて、セキュリティ投資は経営者判断が必要であり、経営者のリーダーシップで推進すべきことを示しています。中小企業向けにも経営者編・管理実践編のガイドラインが提供されています。
中小企業向けの最低限の初動体制は次のとおりです。
下の比較表は、16. 中小企業における現実的な初動手順に関する情報を役割、兼務例、最低限の準備の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 役割 | 兼務例 | 最低限の準備 |
|---|---|---|
| 意思決定者 | 代表取締役、事業責任者 | システム停止、外部費用、顧客説明を即決できる権限。 |
| 技術窓口 | 情報システム担当、外部ITベンダー | 緊急連絡先、管理者ID、バックアップ場所の把握。 |
| 法務窓口 | 顧問弁護士、総務、管理部長 | 契約通知、個人情報報告、警察相談の窓口。 |
| 顧客窓口 | 営業責任者、カスタマーサポート | 連絡先リスト、説明テンプレート。 |
| 記録係 | 総務、経理、秘書 | 時系列、証拠、連絡履歴の記録。 |
中小企業で特に重要なのは、外部ITベンダーに任せきりにしないことです。ベンダーが復旧作業を急ぐあまり、ログや証拠が失われることがあります。顧問弁護士とフォレンジック専門家に早期相談し、少なくとも「何を消してよいか」「何を残すべきか」を確認します。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
金融機関、証券会社、保険会社、資金移動業者、クレジットカード関連事業者では、業法上の報告、金融庁・財務局・業界団体への連絡、顧客資産・決済情報・認証情報の保護が重要です。ランサムウェアにより決済、口座照会、本人確認、取引監視が停止する場合、単なるシステム障害ではなく、利用者保護・金融システム安定の問題となります。
医療機関では、電子カルテ、画像診断、検査、薬剤、予約、会計が停止すると、人命・身体に直結します。初動では、紙運用、転院、救急受入制限、医療安全、要配慮個人情報の漏えい等報告、医療機器・ネットワークの分離が問題となります。復旧優先順位は、事業上の収益性ではなく、患者安全を第一に決めます。
製造業では、OT、ICS、工場ネットワーク、品質管理、出荷、在庫、購買、EDIが影響を受ける。ITネットワークのランサムウェアがOTへ波及する可能性、またはOTを止めることによる安全リスクを評価します。物流では、配送管理、倉庫管理、輸出入、取引先EDI停止がサプライチェーン全体に波及します。
重要インフラや公共機関では、所管省庁、地方公共団体、関係機関、住民・利用者への説明が必要となります。国家サイバー統括室は、STOP! RANSOMWARE特設ページで、国内外の組織でランサムウェア被害が確認されていること、重要インフラ向け注意喚起やCRIの組織向けガイダンスを案内しています。
海外拠点、海外子会社、EU、米国、アジア各国のデータ主体が関係する場合、GDPR、州法、海外監督当局、現地警察、海外証券規制、越境移転、グローバルDPO、英文通知が問題となります。日本本社だけで判断せず、現地弁護士、外国法事務弁護士、グローバルフォレンジックチームと連携します。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア対応では、取締役は「IT部門に任せた」と説明するだけでは足りない。経営者は、事業継続、顧客保護、個人情報保護、財務影響、社会的信用、再発防止投資を判断します責任を負う。サイバーセキュリティ経営ガイドラインも、サイバーセキュリティを経営課題として捉え、経営者のリーダーシップで推進することを求めています。
取締役・監査役が初動で確認すべき質問は次のとおりです。
社外取締役・監査役は、対策本部の技術詳細に介入するよりも、意思決定プロセス、専門家起用、証拠保全、説明責任、再発防止の合理性を監督します。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
有事に初めて手順を作る企業は、初動で混乱します。平時から次の準備を行います。
連絡網は、社内システム停止時にも参照できるよう、紙、暗号化されたオフライン媒体、緊急連絡用端末等に保管します。
バックアップは、存在するだけでは不十分です。復元できること、復元時間が事業上許容できること、バックアップが攻撃者に削除されないこと、復元先がクリーンであることを確認する必要があります。警察庁は、ログやバックアップ等をネットワークから切り離してオフラインで保管すること、復旧手順を確認することを案内しています。
ランサムウェア対応で必要なログは、有事に突然取得できない。平時から次を整備します。
平時から、取引先通知、本人通知、PPC速報、社内通知、公表文、Q&A、コールセンター台本を準備します。通知文は、事実未確定の段階でも使えるよう、「現時点で判明している事項」「調査中の事項」「講じた措置」「今後の連絡予定」に分けます。
机上訓練では、次のシナリオを用いると効果的です。
この訓練では、技術対応だけでなく、経営判断、法務判断、広報判断、記録、取締役会報告を同時に行います。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア被害発生時の初動手順は、日本の法制度だけでなく、国際的なインシデント対応枠組みとも整合させると有用です。NIST SP 800-61 Rev.3は、インシデント対応の推奨事項をNIST Cybersecurity Framework 2.0のリスク管理活動に組み込み、準備、被害発生数・影響の低減、検知・対応・復旧の効率改善に役立てることを目的としています。
国際的な枠組みを使う意義は、海外子会社、海外顧客、グローバル監査、サイバー保険、外部委託先とのコミュニケーションで共通語を持てることです。ただし、日本企業が実際に行うべき報告・通知・本人対応は、日本法、業法、契約、上場規則、海外法を個別に確認する必要があります。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
以下は、社内規程に落とし込む際の簡易モデルです。各社の規模、業種、システム構成、委託関係、上場有無に応じて修正します。
次のいずれかに該当する場合、重大セキュリティインシデントとして宣言します。
重大セキュリティインシデント宣言後、情報システム責任者は、被害拡大防止のため、必要な範囲でネットワーク隔離、リモートアクセス停止、バックアップ保護、特権ID凍結を実施できます。実施に当たっては、証拠保全のため、原則として対象機器の電源を落とさず、実施時刻、対象、理由、実施者を記録します。
対策本部は、経営責任者、CISO、情報システム責任者、法務責任者、個人情報保護担当、広報責任者、事業責任者、内部監査担当、必要に応じ外部弁護士およびフォレンジック専門家で構成します。対策本部は、被害範囲、事業影響、法的報告、契約通知、公表、復旧条件、再発防止を決定または承認します。
対策本部は、時系列表を作成し、すべての重要な事実、判断、外部連絡、証拠保全、復旧作業を記録します。記録は、社内調査、当局報告、取締役会報告、保険請求、訴訟対応のため、改ざん防止措置を講じて保管します。
法務責任者は、外部弁護士と連携し、個人情報保護法、マイナンバー法、業法、契約、秘密保持義務、上場規則、金融商品取引法、労務・従業員プライバシー、制裁・反社会的勢力、サイバー保険の各論点を評価します。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
感染端末を初期化し、暗号化ファイルを削除し、ログローテーションを放置した結果、侵入経路も情報持出しの有無も分からなくなります。これにより、当局報告、顧客説明、保険請求、再発防止が推測に依存します。教訓は、復旧前に証拠保全を行うことです。
バックアップサーバが本番ネットワークに常時接続され、同じ管理者認証情報で運用されていたため、攻撃者に削除・暗号化される。教訓は、オフラインまたはイミュータブルなバックアップ、管理認証の分離、復元テストを平時から行うことです。
技術部門だけで数日対応した後、個人情報保護担当に共有され、PPC速報期限が迫る。契約上の24時間通知も過ぎています。教訓は、初動から法務、個人情報保護、広報、経営を対策本部に入れることです。
初期調査で外部送信ログが見つからなかったため「漏えいなし」と公表したが、後日リークサイトにデータが掲載された。教訓は、否定事実を早期断定せず、「現時点で確認されていない」「調査中」と表現することです。
バックアップから復旧したが、VPN脆弱性、侵害アカウント、不正タスクが残っており、再度暗号化される。教訓は、復旧条件を文書化し、原因封鎖、認証情報更新、監視強化後に復旧することです。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
以下のような時系列表を、有事の開始直後から作成します。
下の比較表は、23. 実務テンプレート ― 初動時系列表に関する情報を時刻、事象、情報源、実施措置の観点で整理したものです。複数部門で同じ前提を共有するために重要です。左から右へ確認すると、どの項目を優先して判断・記録すべきかが読み取れます。
| 時刻 | 事象 | 情報源 | 実施措置 | 判断者 | 証拠・資料 | 未確認事項 |
|---|---|---|---|---|---|---|
| 2026/06/07 09:05 | 経理部PCでランサムノート発見 | 経理部A氏 | LANケーブル抜線、画面撮影 | 情シスB氏 | 写真001、端末名PC-001 | 他端末影響不明 |
| 09:20 | ファイルサーバ一部共有に拡張子変更確認 | 情シス | サーバNIC隔離、ログ保全開始 | CISO | サーバログ取得中 | 情報持出し不明 |
| 10:00 | 対策本部設置 | CISO | 法務・広報・外部弁護士へ連絡 | CEO | 会議メモ001 | PPC報告要否未判断 |
時系列表は、単なる作業ログではありません。後日の法務評価では、いつ何を知り、誰がどのような根拠で判断したかが問われます。特に、公表、本人通知、身代金対応、復旧、システム再開の判断は、議事録または承認記録を残します。
技術的封じ込め、証拠保全、法務判断、広報、復旧を同時に管理します。
ランサムウェア被害発生時の初動手順において、最も危険なのは、個々の担当者が善意で独立に動くことです。情報システムは早く復旧したい。営業は早く顧客に説明したい。広報は早く公表文を出したい。経営は早く事業影響を知りたい。法務は正確な事実を確認したい。しかし、これらが統制されなければ、証拠消失、再感染、報告遅延、誤公表、契約違反、顧客不信につながります。
実務上の結論は明確です。ランサムウェア被害発生時の初動手順は、次の順序を守りつつ、同時並行で管理します。
この意味で、「ランサムウェア被害発生時の初動手順」は、サイバーセキュリティの手順にとどまらず、企業法務、内部統制、危機管理、経営判断の統合プロセスでもあります。平時に手順を作り、訓練し、有事に記録し、事後に改善する企業だけが、ランサムウェア被害を単なる事故ではなく、組織の耐性を高める契機に変えることができます。