ランサムウェア感染時の初動対応|IPAへの相談・報告手順とNG行動
ランサムウェアに感染した疑いがある際、信頼できる公的機関への相談方法や正しい初動対応が分からず、お困りではないでしょうか。不適切な初動は被害を際限なく拡大させ、事業継続を困難にする重大なリスクを伴います。この記事では、公的機関であるIPA(情報処理推進機構)への具体的な相談・報告手順と、同機関が推奨する感染発覚直後の対応策について詳しく解説します。
感染の兆候チェックリスト
身代金要求画面(ランサムノート)の表示
「ランサムノート」と呼ばれる身代金要求画面の表示は、マルウェアによるデータ暗号化が最終段階に達したことを示す明白な証拠です。攻撃者は暗号化処理を終えた後、金銭を要求するためにこの画面を表示させます。この画面が確認された時点で実害が発生しているため、直ちにインシデント対応へ移行する必要があります。
- デスクトップの壁紙が脅迫文に書き換えられる
- 各フォルダ内に身代金要求のテキストファイルが作成される
- 特定のアプリケーション実行時に脅迫メッセージがポップアップする
ファイル拡張子の不審な変更
ファイルの拡張子が「.docx」や「.xlsx」などから、見慣れない文字列に変更されている場合、データの暗号化が進行中または完了したと判断できます。攻撃者はファイルを暗号化した後、その目印として独自の拡張子を付与するためです。これにより、業務用ファイルが突然開けなくなります。この兆候を見つけ次第、被害拡大を防ぐ措置を講じることが重要です。
PC・サーバー動作の極端な遅延
PCやサーバーの動作が理由なく極端に遅くなった場合、感染の初期段階である可能性があります。マルウェアが裏で大量のファイルを探索し、暗号化処理を行うことで、CPUやディスクに非常に高い負荷がかかるためです。普段は数秒で終わる処理に数分以上かかるような異常な遅延は、マルウェア活動の兆候であるため、速やかな調査が必要です。
共有フォルダ等へのアクセス不可
これまで正常に利用できていた共有フォルダや基幹システムに突然アクセスできなくなった場合、システムが攻撃を受けている兆候と考えられます。攻撃者がネットワーク内部で管理者権限を奪取し、設定を改ざんしたり接続を妨害したりするためです。単なる機器の不具合と判断せず、サイバー攻撃の可能性を疑うべきです。
セキュリティソフトの無効化や警告
導入済みのセキュリティソフトが意図せず無効化されていたり、頻繁に警告を発したりする場合は深刻な危険信号です。攻撃者は活動を検知されないよう、侵入の初期段階で防御機能を停止させようと試みます。特にEDR(Endpoint Detection and Response)のような検知・対応システムが停止している場合、すでに内部深くまで侵入されている可能性が高く、直ちに詳細な調査と対応が必要です。
発覚直後の初動対応7ステップ
1. 感染端末のネットワーク隔離
感染が疑われる端末を発見した場合、最優先でネットワークから物理的に切り離します。有線LANの場合はケーブルを抜き、無線LAN(Wi-Fi)の場合は通信機能をオフにしてください。この措置は、マルウェアが他のPCやサーバーへ感染を広げるのを防ぐために不可欠です。被害を局所化することが、その後の復旧作業を円滑に進めるための絶対条件となります。
2. 社内外の関係各所への報告
端末の隔離後、速やかに情報システム部門や経営層へ第一報を入れます。組織全体で対応方針を決定し、連携体制を築くためです。発見日時、感染端末の情報、業務への影響見込みなどを簡潔に報告します。被害の状況によっては、個人情報保護委員会や取引先への報告も必要になるため、情報開示に向けた準備も並行して進めます。
3. 感染状況の把握と証拠保全
報告と並行して、被害の全体像を把握し、関連する証拠を保全します。ランサムノートの画面撮影、暗号化されたファイルの一覧作成、システムのログデータの抽出などを行います。これらの記録は、後の原因究明や警察への被害届提出、保険請求で法的に有効な証拠となるため、不用意な操作で失わないよう慎重に作業を進めることが重要です。電源のシャットダウンなどは証拠消失につながるため避けてください。
4. バックアップデータの健全性確認
システム復旧の鍵となるバックアップデータが、マルウェアに汚染されていないかを確認します。近年の攻撃者は復旧を妨害するため、ネットワーク上のバックアップ領域も同時に攻撃対象とします。ネットワークから完全に切り離されたオフラインバックアップが存在するか、またそのデータが正常な状態かを点検します。安全なデータが確保できれば、身代金を支払うことなく自力で復旧できる可能性が高まります。
5. 外部専門家(調査会社等)への相談
自社のみでの全容解明や復旧は困難な場合が多いため、早期に外部の専門機関へ相談することが不可欠です。サイバーセキュリティの専門家は、侵入経路の特定から封じ込め、安全な復旧手順の策定まで、高度な技術と経験に基づいた支援を提供します。初期段階で専門的知見を取り入れることで、二次被害のリスクを抑え、事業再開への確実な道筋を立てられます。
6. IPA・警察への報告準備
各都道府県警察のサイバー犯罪相談窓口やIPA(情報処理推進機構)へ相談・報告するための準備を進めます。公的機関への報告は、社会全体で被害実態を共有して類似犯罪を防ぐだけでなく、高度な技術支援や捜査協力を受ける上で重要です。保全したログや脅迫文の画像、被害範囲の初期調査結果などを資料として整理し、速やかに状況を説明できるよう準備します。
7. 復旧・事業継続計画の確認
被害状況がある程度判明した段階で、あらかじめ策定済みのBCP(事業継続計画)に基づき復旧手順を確認します。顧客対応や基幹業務に関わるシステムなど、どの業務を最優先で復旧させるかを経営層と合意し、計画に沿って対応を進めます。明確な方針が組織の混乱を防ぎ、秩序ある事業再開につながります。
IPAへの相談・報告の具体的手順
相談窓口の種類と連絡先
IPA(情報処理推進機構)は、サイバー攻撃被害に遭った企業向けの「サイバーセキュリティ相談窓口」を設けています。この窓口では、インシデント発生時の初動対応に関する助言や、技術的な支援を提供しています。連絡は専用のメールアドレスで受け付けており、被害状況のヒアリングを通じて適切な対応策を案内します。万一の事態に備え、この窓口の連絡先を社内の対応マニュアルに記載しておくことが重要です。
報告時に準備すべき情報
IPAへ円滑に相談・報告するためには、客観的な事実に基づいた情報を事前に整理しておくことが求められます。これにより、担当者が被害の深刻度を迅速に判断し、的確な助言を行いやすくなります。
- 異常を発見した日時と経緯の時系列情報
- 被害を受けたシステムのOSや導入済みセキュリティソフト名
- 画面に表示された脅迫文(ランサムノート)のスクリーンショットや写真
- 暗号化されたファイルの拡張子やファイル名の例
- 現在判明している被害の範囲(PC台数、サーバー名など)
- 他の機関(警察や取引先など)への相談状況
相談・報告後の流れと支援内容
相談窓口へ報告後、IPAの専門担当者が提供された情報をもとに事象を分析し、支援を開始します。これにより、被害組織は自社だけでは気づきにくいリスクを把握し、効果的な封じ込め策を講じることが可能になります。提供された被害情報は、相談元の匿名性を確保した上で、社会全体への注意喚起や新たな攻撃対策の策定に活用されます。
- 被害の進行状況を判断し、直ちに実行すべき応急処置を助言
- 侵入経路や被害範囲の特定に向けた技術的サポート
- 高度な解析や復旧が必要な場合に、専門の調査会社を紹介
- 被害情報を匿名化・分析し、社会全体の対策強化に活用
IPA提供情報の活用法
対策ガイドラインの参照ポイント
IPAが公開している「中小企業の情報セキュリティ対策ガイドライン」は、組織の防御力を高めるための実践的な手引書です。経営者の責務から現場の技術対策まで網羅されており、自社のセキュリティ体制を客観的に評価し、弱点を特定するのに役立ちます。特に、バックアップの頻度や保管方法、従業員教育の計画など、ランサムウェア対策の要点が具体的に記載されています。定期的にこのガイドラインと自社の規定を照らし合わせ、対策を最新化することが重要です。
公開されている被害事例の分析
IPAは、実際に発生したサイバー攻撃の被害事例や手口を分析したレポートを継続的に公開しています。他社がどのように侵入され、どのような被害を受けたかを知ることで、自社に潜む類似の脆弱性や運用上の盲点を事前に発見できます。VPN機器の脆弱性を突かれた事例や二重脅迫の手口などを学ぶことで、攻撃者の最新動向を把握し、自社のインシデント対応計画をより実践的なものに改善できます。
復号ツール「No More Ransom」とは
「No More Ransom」は、欧州刑事警察機構(ユーロポール)などが主導する国際プロジェクトで、ランサムウェアの復号ツールを無償で提供しています。犯罪組織から押収した暗号鍵や専門家の解析結果をもとに開発されており、IPAもこの取り組みを紹介しています。自社が感染したマルウェアの種類が特定できれば、身代金を支払うことなくデータを復旧できる可能性があります。ただし、全てのランサムウェアに対応できるわけではないため、確実なバックアップ体制を基本としつつ、万一の際の補助手段として認識しておくことが重要です。
被害を拡大させるNG行動
安易な再起動やシャットダウン
感染が疑われるPCやサーバーの電源を落としたり再起動したりする行為は避けるべきです。メモリ上に残されている攻撃者の活動記録や暗号化の鍵といった重要な証拠が消去されてしまうからです。また、マルウェアによっては再起動が暗号化処理をさらに加速させる引き金になる場合もあります。異常を検知した際は、稼働状態を維持したままネットワーク接続のみを遮断し、専門家の指示を待つのが鉄則です。
感染後の不用意なバックアップ実行
感染した状態で慌ててバックアップを実行することは非常に危険です。マルウェアに感染したデータやプログラムそのものがバックアップ先に上書きされ、過去の正常なバックアップデータまで汚染・破壊してしまう恐れがあるためです。感染発覚後は直ちに全ての自動バックアップ機能を停止し、過去のデータの安全性を隔離された環境で確認することが求められます。
身代金の支払いと攻撃者への接触
脅迫文に従い攻撃者と接触したり、身代金を支払ったりしても、問題解決にはつながりません。支払ってもデータが復旧される保証はなく、むしろ「支払いに応じる企業」と認識され、再攻撃の標的となるリスクが高まります。また、犯罪組織への資金提供はコンプライアンス上の重大な問題にもなり得ます。脅迫には応じず、警察や専門機関と連携し、法的手続きと技術的復旧を進めることが唯一の正しい対応です。
証拠となるログやファイルの削除
ウイルスを駆除したい一心で、不審なファイルやシステムのログを自己判断で削除することは、原因究明を不可能にする致命的なミスです。これらの記録は、攻撃者がどこから侵入し、何を盗んだかを解明する唯一の手がかりです。この証拠が失われると、有効な再発防止策を立てられず、再び同じ手口で攻撃されるリスクが残ります。証拠は一切改変せず、専門家による解析(デジタル・フォレンジック)ができるよう、現状のまま保全する必要があります。
バックアップからの復旧プロセス
復旧に着手する前の優先順位付けと合意形成
本格的な復旧作業に入る前に、まずどの業務システムから復旧させるか優先順位を明確にし、経営層や関係部門間で合意を形成することが不可欠です。限られたリソースで無計画に作業を進めると、事業継続の要となる機能の再開が遅れ、損失が拡大するからです。顧客対応に直結するシステムなど、中核業務から段階的に復旧させる計画を立て、全社で共有することが混乱を防ぎます。
感染原因の特定とシステムの初期化
復旧の前提として、攻撃者の侵入経路を完全に特定し、汚染されたシステムをクリーンな状態にする必要があります。原因となった脆弱性を放置したままデータを戻しても、同じ手口で即座に再感染するリスクが残ります。専門家による調査で侵入経路を特定した後、感染した全ての端末やサーバーをOSから完全に初期化(クリーンインストール)し、マルウェアの痕跡を完全に排除します。
バックアップの健全性を確認
初期化したシステムにデータを戻す前に、バックアップファイル自体がマルウェアに汚染されていないかを厳格に検査します。攻撃の潜伏期間中に取得されたバックアップには、一見正常に見えても悪意のあるプログラムが潜んでいる可能性があります。本番環境から隔離された安全な検証環境で、複数のウイルス対策ソフトを用いてバックアップデータを徹底的にスキャンします。この検疫を通過したデータのみを復元対象とすることが、再感染を防ぐ絶対条件です。
安全な環境でのデータリストア
健全性が確認されたバックアップデータを用いて、初期化済みのクリーンなシステムへ情報を復元します。この際、システムは外部ネットワークから遮断した状態を維持します。必要なセキュリティパッチの適用や防御設定が完了するまで接続は再開しません。隔離された安全な環境でデータを移行し、予期せぬ不具合が発生しないか段階的に確認しながら、慎重に作業を進めます。
復旧後の動作検証と監視強化
データの復元が完了しシステムを再稼働させた後は、業務アプリケーションが正常に機能するかを詳細に検証します。同時に、通信ログやアクセス記録の監視体制を最高レベルに引き上げます。復旧直後のシステムは依然として攻撃の標的になりやすく、わずかな異常も即座に検知できる仕組みが不可欠です。一定期間、平時を上回る厳重な監視を継続することで、安全な事業運営を確固たるものにします。
IPA推奨の再発防止策
脆弱性管理とアップデートの徹底
サイバー攻撃を防ぐ最も基本的な対策は、OS、ソフトウェア、ネットワーク機器の脆弱性を管理し、常に最新の状態を維持することです。攻撃者の多くは公開済みのセキュリティ上の欠陥を狙うため、修正プログラムの適用を怠ったシステムは格好の標的となります。修正プログラムが提供され次第、速やかに適用する運用ルールを確立し、徹底することが不可欠です。
多要素認証(MFA)の導入
システムへのログイン時に、パスワードに加えてスマートフォンアプリやSMSなど、複数の要素で本人確認を行う多要素認証(MFA)は、不正アクセス対策として極めて有効です。万が一パスワードが漏洩しても、追加の認証がなければ攻撃者は侵入できません。特にVPNなどのリモートアクセス環境やクラウドサービスには、MFAの導入を必須とすべきです。
オフラインバックアップと復元訓練
事業継続の最後の砦となるのが、ネットワークから物理的に隔離されたオフラインバックアップです。常時接続されたバックアップはランサムウェアの攻撃対象になりますが、USBハードディスクやLTOテープなどに保管されたデータは安全です。さらに、そのバックアップから実際にシステムを復旧できるかを確認する復元訓練を定期的に実施することで、有事の際の対応力を高め、計画の実効性を担保できます。
従業員へのセキュリティ教育
組織全体の防御力向上には、全従業員への継続的なセキュリティ教育が欠かせません。従業員が巧妙なフィッシングメールを開封すれば、そこからマルウェアの侵入を許してしまいます。疑似的な標的型攻撃メールを用いた訓練を定期的に行い、不審なメールやWebサイトに気づく能力と、異常を発見した際に速やかに報告する手順を徹底させることが、組織全体のセキュリティレベルを底上げします。
よくある質問
警察には通報すべきですか?IPA報告との違いは?
ランサムウェア被害に遭った際は、警察とIPAの双方に速やかに連絡すべきです。両者は役割が異なり、並行して相談・報告することで、法的対応と技術的支援の両面から事態を収拾できます。
| 機関 | 目的 | 主な支援内容 |
|---|---|---|
| 警察(サイバー犯罪相談窓口) | 犯罪捜査、犯人検挙 | 被害届の受理、捜査、証拠保全に関する助言 |
| IPA(情報処理推進機構) | 技術的支援、被害拡大防止 | 応急処置や復旧に関する助言、社会への注意喚起、専門会社の紹介 |
身代金を支払ってしまった場合はどうなりますか?
身代金を支払っても、データが復旧される保証はなく、かえって深刻なリスクを負うことになります。安易な支払いは絶対に避けるべきです。
- 支払ってもデータが復旧される保証は一切ない
- 攻撃者に資金を提供し、さらなる犯罪を助長することになる
- 「支払いに応じる企業」と認識され、将来的な再攻撃の標的になる
- 窃取された情報が公開される「二重脅迫」のリスクは残り続ける
取引先に影響が及ぶ場合の対応は?
取引先の機密情報や個人データが漏えいした可能性がある場合は、判明した事実を迅速かつ誠実に説明する責任があります。情報開示の遅れは二次被害を拡大させ、信頼を大きく損ないます。報告の際は、判明している事実と併せ、パスワードの変更依頼など、取引先側で実施してほしい具体的な防衛策を提示することが、被害の連鎖を断ち切る上で重要です。
データの復旧にはどのくらい時間がかかりますか?
復旧時間は被害規模やバックアップの状況で大きく異なります。安全なオフラインバックアップがあり、被害範囲が限定的な場合は数日で主要業務を再開できることもあります。しかし、バックアップごと暗号化されたり、システム全体が汚染されたりした場合は、システムの再構築に数週間から数ヶ月を要することも珍しくありません。
IPAが提供する対策訓練はありますか?
はい、IPAは企業向けの実践的な対策訓練教材を無償で提供しています。インシデント発生を想定した机上演習シナリオや、従業員が不審なメールを見分けるための学習教材などが公開されています。これらを活用して訓練を行うことで、組織全体のインシデント対応能力を向上させることが可能です。
経営層への報告はどのタイミングで、何を伝えるべきですか?
ランサムウェア感染の疑いが生じた時点で、直ちに経営層へ第一報を入れることが鉄則です。事業停止や情報漏えいなど経営判断が不可欠な事態であるため、詳細調査を待つ必要はありません。報告の際は、判明している事実を客観的に伝え、迅速な意思決定を仰ぎます。
- 異常が発覚した日時
- 被害範囲の初期推定(影響が及んでいるシステムや部署)
- 現在の対応状況(例:ネットワーク隔離、専門家への連絡)
- 想定される事業への影響
外部の専門家(調査会社)へ依頼する際の注意点は?
インシデント対応を外部の専門家に依頼する際は、実績や信頼性を慎重に見極める必要があります。特に、法的な報告書(個人情報保護委員会などへの提出)を作成できる能力や、調査で扱う機密情報の管理体制は重要な選定基準です。依頼を決めた後は、自社で保全した証拠やログを速やかに引き継げるよう準備しておくことで、調査を円滑に進めることができます。
まとめ:ランサムウェア感染時はIPAへの相談と冷静な初動対応が不可欠
ランサムウェア感染が疑われる際は、まず感染端末をネットワークから隔離し、証拠を保全することが初動対応の要です。その上で、技術的支援を提供するIPAや、犯罪捜査を担う警察へ速やかに相談・報告することが被害拡大を防ぐ鍵となります。身代金の支払いには絶対に応じず、安全性が確認されたオフラインバックアップからの復旧を目指すのが基本方針です。万一の事態に備え、平時からIPAのガイドラインを参考に脆弱性管理や多要素認証といった再発防止策を講じ、事業継続計画(BCP)を整備しておくことが極めて重要です。本記事で解説した手順はあくまで一般的な指針であり、実際の対応では個別の状況に応じた判断が求められるため、必ずサイバーセキュリティの専門家へ相談してください。

