身代金要求メールへの対応｜企業がとるべき初動とやってはいけない事

ランサムウェアによる身代金要求メールが届いた際、パニックに陥らず冷静な初動対応が不可欠です。自己判断による誤った行動は、被害を組織全体へ拡大させる深刻なリスクを伴います。本記事では、被害を最小限に抑えるための具体的な対処法と、絶対に避けるべき禁止事項を5つのステップで詳しく解説します。

身代金要求メールの3類型と見分け方

ファイル暗号化・データ窃取の脅迫

典型的なランサムウェア（身代金要求型ウイルス）攻撃では、不正なプログラムによってコンピュータ内のファイルが強制的に暗号化され、使用不能になります。さらに近年は、データを暗号化するだけでなく、事前に窃取した情報を人質に取り「身代金を支払わなければ公開する」と脅す二重恐喝の手口が主流です。実害が発生している場合、以下のような兆候が見られます。

感染を装う「ばらまき型」詐欺

実際にはウイルスに感染していないにもかかわらず、感染したかのように装って金銭をだまし取ろうとする詐欺メールも存在します。これは、攻撃者が不特定多数に不安を煽るメールを送信し、一部の受信者が信じ込んで支払うことを狙った手口です。システムに異常が見られない場合は、詐欺を疑い冷静に対処する必要があります。

本物か見極めるための初期確認点

メールが本物の攻撃によるものか、単なる詐欺かを見極めるには、まずシステムの動作状況を客観的に確認することが重要です。実際の感染であれば、データへのアクセスが物理的に不可能になっているはずです。以下の点を確認し、すべて問題なければ詐欺メールの可能性が高いと判断できます。

被害を広げないための禁止事項

自己判断による身代金の支払い

担当者の独断で身代金を支払うことは絶対に避けるべきです。支払ってもデータが復旧される保証はなく、攻撃者の活動を資金面で助長する結果を招きます。一度支払いに応じると「要求に応じる企業」と見なされ、繰り返し攻撃の標的になるリスクも高まります。支払いの判断は、必ず経営層を含めた組織全体で行う必要があります。

攻撃者への安易な返信・接触

専門家を介さずに攻撃者と直接接触してはいけません。復旧の可否を確認するだけのつもりでも、相手に交渉の意思があると見なされ、さらなる要求を引き出すきっかけとなります。攻撃者とのやり取りは、自社の情報や心理的な動揺を相手に与えるだけであり、百害あって一利なしです。接触は専門家に一任し、冷静に状況を見守ることが重要です。

感染PCのネットワーク接続維持

ランサムウェアの感染が疑われる端末をネットワークに接続し続けることは、被害を組織全体に拡大させる行為です。多くのウイルスは、社内ネットワークを通じて他のサーバーやPCへ自動的に感染を広げる機能を持っています。感染の疑いを検知した際は、直ちに有線LANケーブルを抜き、Wi-Fiを無効化するなどの物理的な隔離措置を講じてください。

経営層・関連部署への報告遅延

インシデントの発生を隠蔽したり、一人で抱え込んだりして上層部への報告が遅れることは、最も致命的な対応ミスの一つです。初動対応の遅れは、組織的な意思決定を妨げ、事業継続に深刻な影響を及ぼします。たとえ状況が不確実であっても、被害の可能性を認識した時点で、速やかにセキュリティ担当部署や経営層へ第一報を入れることが不可欠です。

従業員への不適切な情報共有と憶測の放置

社内で不確かな情報が錯綜したり、従業員の憶測が広まったりする状況は避けるべきです。統制されていない情報発信は、外部への情報漏洩につながり、企業の信用を損なう原因となります。特に、被害状況や利用しているセキュリティ製品名などが漏れると、攻撃者に有利な情報を与えかねません。情報は指定された担当者に集約し、公式発表があるまでは憶測で話さないよう社内に徹底することが求められます。

初動対応から解決までの5ステップ

ランサムウェアの被害を検知した場合、パニックに陥らず、以下の手順に沿って冷静に対処することが被害を最小限に抑える鍵となります。

被害の拡大を防ぐため、感染が疑われる端末を直ちにネットワークから物理的に隔離します。具体的には、有線LANケーブルを引き抜き、Wi-FiやBluetoothなどの無線通信をすべて無効化します。これにより、他の端末やサーバーへの感染拡大を食い止めます。

1. Step2：事実関係の客観的な記録

後の原因究明や警察への届け出、保険請求のために証拠を保全します。端末の電源は落とさず、画面に表示された脅迫文や暗号化されたファイルの状況などをスマートフォンやカメラで撮影します。システムログや通信ログも、可能な限り保全してください。

2. Step3：社内体制に沿った情報共有

記録した事実に基づき、あらかじめ定められた緊急連絡網に従って、セキュリティ担当部署や経営層へ迅速に報告します。いつ、どの端末で、どのような事象が発生したのかを客観的に伝え、全社的な対応方針の決定を仰ぎます。

3. Step4：警察への被害申告と届出

ランサムウェア攻撃は重大な犯罪行為であるため、速やかに管轄の警察署やサイバー犯罪相談窓口に申告します。捜査への協力は、社会全体の防犯に繋がるだけでなく、他の被害事例から得られた復旧に関する有益な助言を受けられる可能性もあります。個人情報漏洩の恐れがある場合は、個人情報保護委員会への報告も必要です。

4. Step5：外部の専門家への相談・依頼

自社だけでの対応が困難な場合は、躊躇なく外部の専門家に支援を依頼します。侵入経路や被害範囲を特定するフォレンジック調査会社や、法的対応を助言する弁護士など、状況に応じて適切な専門家と連携し、確実な事態の収束を目指します。

身代金支払いの判断とリスク

支払いが推奨されない3つの理由

身代金の支払いは、たとえ事業継続が困難な状況であっても推奨されません。その理由は、以下の通りです。

支払った場合に想定される二次被害

万が一、身代金を支払ってしまった場合、問題が解決するどころか、より深刻な二次被害を招く危険性があります。攻撃者は、一度支払いに応じた企業を「金銭を払う標的」としてリスト化し、繰り返し攻撃を仕掛けてきます。

支払わない場合のデータ復旧方針

身代金の支払いを拒否し、自力で事業を再開するためには、事前のバックアップが生命線となります。攻撃者の要求とは無関係に、安全なデータを用いてシステムを復旧させることが最も確実な解決策です。ネットワークから完全に切り離されたオフラインのバックアップデータを使い、感染したシステムを初期化した上でデータを復元します。また、セキュリティ機関などが公開している無償の復号ツールが利用できる場合もあるため、適合するかどうかを確認するのも有効です。

取引先や顧客への公表判断のタイミングと内容

被害の事実や情報漏洩の可能性が判明した場合、取引先や顧客への情報開示を検討する必要があります。被害を隠蔽することは企業の信頼を大きく損ない、かえって事態を悪化させる恐れがあります。公表する際は、専門家の助言を仰ぎながら、攻撃者に有利な情報を与えないよう内容を慎重に精査し、適切なタイミングで行うことが重要です。

再発を防ぐための恒久的な対策

OS・ソフトウェアの脆弱性対策

多くのランサムウェア攻撃は、OSやソフトウェアに存在する既知の脆弱性（セキュリティ上の欠陥）を悪用して侵入します。セキュリティパッチ（修正プログラム）が公開された際は、速やかに適用し、システムを常に最新の状態に保つことが最も基本的な防御策です。PCやサーバーだけでなく、VPN機器なども忘れずに対策してください。

バックアップ体制の構築と復旧訓練

事業継続の最後の砦となるのがバックアップデータです。このデータが攻撃者に暗号化されたり削除されたりしないよう、本番環境のネットワークから物理的・論理的に隔離された場所に保管する必要があります。また、データがあるだけでは不十分であり、実際にそのバックアップからシステムを復旧させる訓練を定期的に行い、いざという時に確実に機能することを確認しておくことが重要です。

従業員向けセキュリティ教育の徹底

攻撃の最初の入り口は、従業員の不注意による人為的なミスであることが少なくありません。不審なメールの添付ファイルを開いたり、本文中のリンクをクリックしたりしないよう、全従業員に対するセキュリティ教育を徹底する必要があります。実際の攻撃を模した「標的型攻撃メール訓練」などを定期的に実施し、組織全体のセキュリティ意識を高めることが有効です。

アクセス権限の最小化と監視強化

万が一、社内ネットワークへの侵入を許してしまった場合に備え、被害を最小限に抑える対策も不可欠です。従業員に与えるアクセス権限は業務上必要最小限にとどめ、管理者権限の利用は厳格に管理します。また、不審な通信や挙動を自動的に検知・遮断するEDR（Endpoint Detection and Response）などのセキュリティ製品を導入し、監視体制を強化することも有効です。

相談できる公的機関と専門家

警察のサイバー犯罪相談窓口

各都道府県警察に設置されている専門窓口です。被害届の提出だけでなく、犯罪捜査の観点からの助言を得られます。被害情報を警察と共有することは、他の企業への注意喚起や、国際的な捜査による犯人逮捕に繋がる可能性があります。被害が発生したら、まずは電話で相談することをお勧めします。

IPA（情報処理推進機構）

独立行政法人として、日本の情報セキュリティ対策を支援する中立的な機関です。ウェブサイトで最新の脅威情報や具体的な対策手法を公開しているほか、「情報セキュリティ安心相談窓口」を通じて、技術的な観点からのアドバイスを提供しています。インシデント発生時の対応手順などについて、客観的な助言を得られます。

JPCERT/CC（インシデント対応）

国内のコンピュータセキュリティインシデントに対応する専門チームです。企業や組織からの報告を受け付け、インシデントの解決に向けた技術的な支援や調整を行います。特に、海外の組織と連携が必要な場合や、高度な技術分析が求められる場合に重要な役割を果たします。

フォレンジック調査会社・弁護士

自社での原因究明や法的対応が困難な場合は、民間の専門家の力を借りることが不可欠です。フォレンジック調査会社は、デジタル機器に残された証拠を解析し、侵入経路や被害範囲を特定します。一方、弁護士は、個人情報保護法に基づく監督官庁への報告や、取引先・顧客への対応など、法的なリスク管理を支援します。

よくある質問

身代金を支払えばデータは復旧しますか？

いいえ、データが復旧する保証は一切ありません。攻撃者は金銭の詐取を目的とする犯罪者であり、約束を守る保証はありません。実際、身代金を支払っても復号キーが送られてこない、送られてきたキーが不完全で一部しか復旧できないといった事例が多発しています。安易な支払いは避け、バックアップからの復旧など正規の手段を検討すべきです。

警察に相談するメリットは何ですか？

警察への相談には、捜査協力だけでなく、被害企業にとっても複数のメリットがあります。

バックアップがあれば支払いは不要ですか？

はい、正常に機能するバックアップがあれば、暗号化解除のための身代金支払いは原則不要です。感染したシステムを初期化し、安全なバックアップからデータを復元することで、自力で事業を再開できます。ただし、データを窃取され、その公開を脅される「二重恐喝」の場合、バックアップだけでは情報漏洩のリスクを防げません。この場合は、データ復旧とは別に、情報漏洩インシデントとしての対応が必要になります。

身代金の支払いは違法になりますか？

現在の日本の法律では、身代金を支払う行為そのものを直接禁止する条文はありません。しかし、支払い先がテロ組織や国際的な制裁対象リストに含まれる組織・個人であった場合、意図せず「テロ資金供与」と見なされる可能性があります。この場合、外国為替及び外国貿易法などに抵触し、企業や経営者が処罰される重大な法的リスクを伴います。

サイバー保険に加入している場合、まず何をすべきですか？

サイバー保険に加入している場合、被害を認識したら直ちに保険会社の事故受付窓口へ連絡することが最優先です。保険契約には、事故発生後の報告義務期限や、保険会社の承認なしに支出した費用は補償対象外とする規定が含まれていることが一般的です。独断で調査会社などを手配する前に、必ず保険会社の指示を仰ぎ、補償対象となる専門家の紹介や手続きについて確認してください。

まとめ：身代金要求メールへの冷静な対処で被害を最小化する

本記事では、ランサムウェアによる身代金要求メールを受け取った際の初動対応と禁止事項を解説しました。最も重要なのは、パニックにならず端末のネットワーク隔離と証拠保全を徹底し、自己判断で攻撃者と接触したり身代金を支払ったりしないことです。速やかに社内報告を行い、警察やフォレンジック会社、弁護士といった外部専門家と連携して組織的に対応を進める必要があります。平時からオフラインバックアップの体制を整え、復旧訓練を行うことが事業継続の鍵となります。本記事で解説した内容は一般的な指針であり、実際の対応は必ず専門家の助言のもとで進めてください。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ