セキュリティ

ランサムウェアに感染したら?情シスが最初の24時間でやるべき初動対応マニュアル

#ランサムウェア#インシデント対応#セキュリティ#BCP#中小企業
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

ランサムウェアに感染した瞬間、パニックに陥るのは当然です。しかし、最初の24時間の対応が被害の拡大を食い止められるかどうかを左右します。

本記事では、中小企業の情シス担当者がランサムウェア感染時に落ち着いて対応できるよう、時系列に沿った初動対応マニュアルをまとめました。事前に目を通しておくことで、いざという時に冷静な判断が可能になります。

まず絶対にやってはいけないこと

対応手順の前に、よくある間違いを押さえておきましょう。

身代金を支払わない。 支払っても復号キーが提供される保証はありません。支払いが次の攻撃の資金源になり、再度標的にされるリスクも高まります。日本の警察庁も身代金の支払いを推奨していません。

感染端末の電源を切らない。 電源を落とすとメモリ上の証拠(暗号化キーの痕跡など)が失われます。ネットワークから切り離すだけで十分です。

感染端末でウイルススキャンを実行しない。 スキャンによりディスクが書き換えられ、フォレンジック調査に必要な証拠が上書きされる可能性があります。

0〜1時間:隔離と初期評価

ステップ1:感染端末をネットワークから隔離する

LANケーブルを抜き、Wi-Fiを無効にします。VPN接続も切断してください。ランサムウェアはネットワーク経由で横展開(ラテラルムーブメント)するため、隔離のスピードが被害範囲を決定します。

ステップ2:感染状況を記録する

感染を確認した時刻、感染端末のホスト名とIPアドレス、画面に表示された脅迫文(ランサムノート)をスクリーンショットで保存します。スマートフォンで画面を撮影するのが最も確実です。

ステップ3:社内ITチーム・経営層に第一報を入れる

感染の事実と現時点での影響範囲を簡潔に報告します。「調査中」で構いません。報告が遅れると、被害拡大と意思決定の遅れにつながります。

ステップ4:他の端末・サーバーの状態を確認する

Active Directoryのドメインコントローラー、ファイルサーバー、バックアップサーバーの稼働状況を確認します。暗号化の兆候がない場合でも、予防的にネットワークセグメントを分離することを検討してください。

1〜4時間:被害範囲の特定と証拠保全

ステップ5:被害範囲を特定する

暗号化されたファイルの拡張子やランサムノートの内容から、ランサムウェアの種類を特定します。ID Ransomware(https://id-ransomware.malwarehunterteam.com/)にランサムノートをアップロードすると、種類を特定できる場合があります。

ステップ6:感染経路を推定する

直近のメール受信履歴、Webアクセスログ、VPN接続ログを確認します。フィッシングメールの添付ファイル開封、RDPの不正アクセス、VPN機器の脆弱性悪用が三大侵入経路です。

ステップ7:証拠を保全する

感染端末のメモリダンプの取得、関連するログファイルのバックアップを行います。ファイアウォール、プロキシ、Active Directoryのログは特に重要です。外部のフォレンジック業者に依頼する場合に備え、証拠の改変を避けてください。

ステップ8:バックアップの状態を確認する

バックアップデータが暗号化されていないかを確認します。オフラインバックアップやクラウドバックアップが無事であれば、復旧の見通しが立ちます。バックアップが侵害されている場合は、復旧の難易度が大幅に上がります。

4〜12時間:関係者への報告と外部連携

ステップ9:警察に届出を行う

最寄りの都道府県警察のサイバー犯罪相談窓口に届出ます。被害届の提出は任意ですが、届出により捜査機関の情報が得られる場合があり、保険金請求時にも必要になることがあります。

ステップ10:JPCERT/CCまたはIPAに報告する

JPCERT/CC(https://www.jpcert.or.jp/form/)に報告することで、同種の攻撃に関する情報提供を受けられる可能性があります。IPAの「情報セキュリティ安心相談窓口」でも相談を受け付けています。

ステップ11:個人情報漏洩の可能性を評価する

ランサムウェアが個人情報を窃取した可能性がある場合、個人情報保護委員会への報告義務があります。2022年の改正個人情報保護法により、漏洩が発生した場合の報告・通知は義務化されています。速報は事態を知った日から3〜5日以内に行う必要があります。

ステップ12:取引先・顧客への通知を判断する

情報漏洩の可能性がある場合、影響を受ける取引先や顧客への通知が必要です。経営層と法務担当と連携し、通知内容とタイミングを決定します。

12〜24時間:復旧計画の策定と実行

ステップ13:復旧の優先順位を決定する

業務への影響度を基準に復旧順序を決めます。一般的には、メール・認証基盤、基幹システム、ファイルサーバーの順に復旧します。

ステップ14:クリーンな環境から復旧する

感染端末はOSのクリーンインストールから始めます。バックアップからの復元は、バックアップが感染前の時点のものであることを確認してから行ってください。感染後に取得したバックアップには、マルウェアが含まれている可能性があります。

ステップ15:侵入経路を塞いでから復旧する

感染経路が特定できた場合、その脆弱性を修正してからシステムを復旧します。経路を塞がずに復旧すると、再感染するリスクがあります。

24時間以降:事後対応

初動対応の後は、以下を実施します。

  • フォレンジック調査の実施(外部業者への依頼を推奨)
  • インシデント報告書の作成
  • 再発防止策の策定と実施
  • 社員向けのセキュリティ教育の再実施
  • バックアップ体制の見直し
  • インシデント対応計画の更新

事前準備が最大の防御

ランサムウェアへの最善の対策は、感染を前提とした事前準備です。本記事のマニュアルを印刷し、オフラインでも参照できる場所に保管しておくことを強くおすすめします。

「自社だけでインシデント対応の体制を整えるのは難しい」という場合は、情シス365のセキュリティ運用代行サービスをご検討ください。日常的なセキュリティ監視からインシデント対応支援まで、貴社のIT部門をサポートいたします。

無料相談はこちら →

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談