ランサムウェアに感染すると、単に「パソコンのファイルが開けない」だけでは済まないことがあります。
受注システムが止まる。
請求書が発行できない。
予約情報が見られない。
顧客対応の履歴が確認できない。
従業員の給与計算ができない。
取引先への納品や連絡が遅れる。
個人情報が漏えいした可能性も出てくる。
このような状況で最も困るのは、「誰に、どの順番で、何を連絡すればよいか分からない」ことです。
IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位が「ランサム攻撃による被害」とされています。IPAは、2025年に発生した社会的影響の大きい事故や攻撃の状況などから候補を選び、専門家等による選考会の審議・投票を経て10大脅威を決定しています。
この記事では、中小企業がランサムウェア被害に遭った場合に、社内、保守会社、顧客、取引先、警察、IPA、JPCERT/CC、個人情報保護委員会へどのように連絡を切り分けるかを整理します。
なお、この記事は一般的な初動整理です。実際の対応は、被害範囲、業種、契約、個人情報の有無、業法、システム構成により変わります。判断に迷う場合は、保守会社、セキュリティ専門家、弁護士、警察、公的相談窓口へ早めに相談してください。
ランサムウェア対応は「技術対応」だけではない
ランサムウェア被害では、技術的な復旧だけに目が向きがちです。
しかし、実際には次のような対応が同時に必要になります。
| 対応領域 | 主な内容 |
|---|---|
| 技術対応 | 感染端末の隔離、ログ保全、原因調査、復旧、再発防止 |
| 業務対応 | 受注、納品、請求、予約、顧客対応の代替手段 |
| 経営判断 | 業務停止範囲、公表、外部委託、費用、優先復旧順位 |
| 法務対応 | 個人情報漏えい等報告、契約上の通知、損害対応 |
| 対外連絡 | 顧客、取引先、委託元、委託先、警察、関係機関への連絡 |
IPAの中小企業向けインシデント対応手引きでは、インシデント対応を「検知・初動対応」「報告・公表」「復旧・再発防止」の段階で整理しています。復旧後には、根本原因を分析し、技術的対策、ルール策定、教育、体制整備、運用改善などの再発防止策を検討・実施するとされています。
つまり、ランサムウェア対応は「IT担当者が復旧すれば終わり」ではありません。
会社として、誰が判断し、誰が連絡し、何を記録するかを決めておく必要があります。
最初に行うべきこと:隔離、連絡、記録
ランサムウェア感染が疑われた場合、最初の対応で重要なのは、被害拡大を止めることと証拠を残すことです。
警察庁は、ランサムウェア感染が疑われる場合、感染したパソコン等をLANケーブルを抜くなどしてネットワークから隔離すること、調査に必要なログ等が消失する場合があるためパソコンやネットワーク機器等の電源を落とさないことを案内しています。
IPAの資料でも、ウイルス感染やランサムウェア感染の場合は、感染したパソコンやサーバーの利用を停止し、ネットワークから切り離すことが重要とされています。また、ランサムウェア対応では、日頃から適切な方法でバックアップを行っておくことが被害を最小限に抑えるポイントとされています。
現場での最初の行動は、次のように整理できます。
| 優先順位 | 対応 | 注意点 |
|---|---|---|
| 1 | 感染が疑われる端末・サーバをネットワークから切り離す | LANケーブルを抜く、無線LANを切る。自己判断で再接続しない |
| 2 | 社内の緊急連絡先へ連絡する | 情報システム担当、責任者、代表者へ即時連絡 |
| 3 | 画面、時刻、メッセージ、拡張子、影響範囲を記録する | スマートフォン等で画面撮影してもよい |
| 4 | メール、ファイル、ログを削除しない | 原因調査や警察相談、報告に必要になる |
| 5 | 復旧作業を勝手に始めない | バックアップ復元前に感染範囲と原因を確認する |
ここで重要なのは、従業員が「自分で直そう」としないことです。
再起動、初期化、ファイル削除、復元、攻撃者への連絡を現場判断で行うと、証拠を失ったり、感染を広げたりする可能性があります。
連絡網は「社内」「技術」「業務」「外部機関」に分ける
ランサムウェア対応の連絡網は、1枚の紙やスプレッドシートにまとめるのが理想です。
ただし、単に電話番号を並べるだけでは不十分です。
誰が何を判断するのかを分けておく必要があります。
おすすめは、次の4分類です。
| 分類 | 役割 |
|---|---|
| 社内連絡 | 第一報受付、経営判断、対策本部、社内周知 |
| 技術連絡 | 保守会社、クラウド事業者、セキュリティ専門会社、バックアップ担当 |
| 業務連絡 | 顧客、取引先、委託元、委託先、金融機関、保険会社 |
| 外部機関連絡 | 警察、IPA、JPCERT/CC、個人情報保護委員会、所管官庁 |
中小企業では、情報システム部門がない場合もあります。
その場合でも、代表者、総務、経理、営業責任者、外部保守会社を含めて、最低限の連絡網を作っておくことが大切です。
社内連絡:最初に決めるのは「司令塔」
最初に必要なのは、社内の司令塔です。
ランサムウェア発生時には、複数の人が同時に動きます。
そのため、誰が全体を管理するのかを決めていないと、連絡漏れ、重複連絡、誤った対外説明が起こります。
社内連絡網には、次の役割を入れます。
| 役割 | 主な担当 |
|---|---|
| 第一報受付者 | 従業員から最初に連絡を受ける人 |
| 対応責任者 | 全体対応を統括する人 |
| 経営判断者 | 業務停止、公表、費用、外部委託を判断する人 |
| 技術担当 | 端末、サーバ、クラウド、ネットワークを確認する人 |
| 業務担当 | 顧客、取引先、納期、受注、請求への影響を確認する人 |
| 記録担当 | 時系列、判断、連絡内容、証跡を残す人 |
| 対外連絡担当 | 顧客、取引先、委託元、関係機関への連絡文を管理する人 |
IPAのプラクティス・ナビでも、インシデント発生時に従業員が速やかに適切な行動を取れるよう、初動対応を規定し、社内に周知する例が示されています。ランサムウェア被害の初動対応例として、PCをネットワークから切断する、メールやファイルを削除しない、PCの電源を切らない、取引先や顧客等へ連絡することが挙げられています。
社内連絡で避けるべきなのは、現場の従業員が顧客や取引先に個別判断で説明してしまうことです。
「何が起きたか」「どの範囲に影響があるか」「いつ復旧するか」は、初動段階では未確定です。外部への説明は、社内で確認した文面に統一しましょう。
技術連絡:保守会社・クラウド事業者・専門会社
次に行うのが、技術対応を行う関係先への連絡です。
中小企業では、サーバ、ネットワーク、PC、クラウド、会計ソフト、予約システム、Webサイトなどを別々の会社に任せていることがあります。
そのため、ランサムウェア発生時には、どの業者へ何を依頼するかを切り分ける必要があります。
| 連絡先 | 依頼する内容 |
|---|---|
| PC・サーバ保守会社 | 感染範囲確認、端末隔離、ログ保全、復旧方針 |
| ネットワーク保守会社 | VPN、ルータ、UTM、ファイアウォール、リモート接続確認 |
| クラウド・SaaS事業者 | 不審ログイン、アカウント停止、ログ取得、バックアップ確認 |
| Web制作・保守会社 | Web改ざん、問い合わせフォーム、管理画面、サーバログ確認 |
| バックアップ事業者 | バックアップの状態、復元可能性、復元時点の確認 |
| セキュリティ専門会社 | フォレンジック、侵入経路調査、漏えい有無調査、復旧支援 |
IPAの中小企業向けインシデント対応手引きでは、インシデント対応時に整理しておくべき事項として、発覚日時、発生日時、発生事象、対応経過、想定される原因、被害を受けたシステムの状況、システム構成・運用状況などが挙げられています。
保守会社へ連絡するときは、「ランサムウェアかもしれません。来てください」だけでは不十分です。
最低限、次の情報を伝えます。
| 項目 | 伝える内容 |
|---|---|
| 発覚日時 | いつ、誰が気づいたか |
| 表示内容 | 身代金要求画面、拡張子の変化、エラーメッセージ |
| 影響範囲 | どのPC、サーバ、共有フォルダ、SaaSが使えないか |
| 初動対応 | ネットワーク隔離、利用停止、電源状態 |
| 業務影響 | 受注、出荷、予約、請求、給与、顧客対応への影響 |
| バックアップ | 最終バックアップ日時、保存先、復元テストの有無 |
| 外部接続 | VPN、リモートデスクトップ、クラウド管理画面の有無 |
| 個人情報 | 顧客情報、従業員情報、取引先情報が含まれるか |
顧客・取引先への連絡:未確定情報を断定しない
ランサムウェアで業務が止まると、顧客や取引先への連絡が必要になります。
ただし、初動段階では分からないことが多くあります。
「個人情報は漏れていません」
「明日には復旧します」
「影響はありません」
このような断定は、根拠がない段階では避けるべきです。
初期連絡では、次の3点に絞るとよいでしょう。
| 伝える内容 | 例 |
|---|---|
| 現在確認している事実 | 一部システムに障害が発生し、調査中である |
| 業務への影響 | 受注、出荷、問い合わせ対応、請求処理に遅れが出る可能性がある |
| 今後の連絡方法 | 確認できた事項から、メールまたはWebサイトで案内する |
取引先との契約で、セキュリティ事故や業務停止時の報告義務が定められている場合があります。特に、自社が委託先として顧客情報や業務システムを預かっている場合は、委託元への連絡が必要になります。
この場合、連絡文には次の項目を入れます。
| 項目 | 内容 |
|---|---|
| 発覚日時 | いつ発覚したか |
| 発生事象 | 何が起きているか |
| 影響範囲 | どの業務、どのシステム、どの情報に影響する可能性があるか |
| 現在の対応 | 隔離、調査、復旧、外部専門家への相談 |
| 顧客・取引先への依頼 | 代替連絡先、注文方法、注意事項 |
| 次回連絡予定 | いつ次の情報を出すか |
| 問い合わせ窓口 | 担当部署、電話、メール、受付時間 |
大切なのは、早く連絡することと、正確に連絡することのバランスです。
未確定の事項は「調査中」と明記し、判明した時点で続報を出します。
警察への連絡:被害に遭った場合は通報・相談
ランサムウェアは犯罪性を伴う事案です。
警察庁は、ランサムウェア被害に遭った場合、保存した通信ログ等を持参して、最寄りの警察署またはサイバー犯罪相談窓口に通報・相談するよう案内しています。また、事前に電話で担当者と日時や持参資料を調整すると対応がスムーズに進むとされています。
警察庁は、サイバー事案に関する通報、相談、情報提供の全国統一のオンライン受付窓口も設置しています。この窓口では、被害に遭った具体的な事実の通知を伴う「通報」、アドバイスを求める「相談」、サイバー事案に関する「情報提供」を行うことができます。
警察へ相談する前に、次の資料を整理しておくとよいでしょう。
| 資料 | 内容 |
|---|---|
| 事案概要 | 発覚日時、発生事象、被害範囲 |
| 画面記録 | 身代金要求画面、ファイル拡張子、エラーメッセージ |
| ログ | VPN、サーバ、UTM、EDR、クラウド、メール等のログ |
| 通信情報 | 不審なIPアドレス、ドメイン、通信先 |
| 攻撃者情報 | 攻撃者からのメッセージ、連絡先、暗号資産ウォレット等 |
| 対応経過 | いつ、誰が、何をしたか |
| 業務影響 | 停止した業務、取引先・顧客への影響 |
| 個人情報 | 個人情報漏えい等のおそれの有無 |
警察への相談は、犯人逮捕だけを目的とするものではありません。
被害拡大防止、証拠保全、他社被害の防止に役立つ場合があります。
IPAへの連絡:技術的な初動相談と届出
技術的な対応に迷う場合は、IPAの相談窓口も確認します。
IPAは、企業組織向けに、セキュリティインシデントに関する相談、ウイルス・不正アクセス・脆弱性情報に関する届出を受け付ける窓口を設けています。連絡先に迷った場合は、企業組織向けサイバーセキュリティ相談窓口に連絡するよう案内しています。
IPAの企業組織向け窓口では、各種インシデント発生時の初動対応に関する相談として、起きている事象のヒアリング、被害発生の有無の判断、有効な応急処置の案内、インシデント対応を行う専門業者一覧の紹介、他に必要な相談・報告先等の紹介が行われます。ただし、個別の調査や解析そのものを実施する窓口ではないとされています。
また、IPAはウイルス感染被害や不正アクセス被害の届出も受け付けており、ランサムウェア感染事象を確認した場合も届出対象の例として挙げています。
IPAへの相談・届出は、次のような場合に検討します。
| 場面 | 相談・届出の目的 |
|---|---|
| 初動に迷う | 何を止めるか、何を残すか、どこへ相談するかを確認する |
| ランサムウェア感染を確認した | ウイルス・不正アクセス届出を検討する |
| 専門業者を探したい | インシデント対応を行う専門業者一覧の紹介を受ける |
| 他の報告先が分からない | 警察、PPC、JPCERT/CC等の整理を確認する |
| 中小企業向け対策を知りたい | ガイドラインや支援施策を確認する |
JPCERT/CCへの連絡:インシデント対応依頼・情報共有
JPCERT/CCへの相談や情報共有も選択肢になります。
JPCERT/CCは、国内における被害低減を目的として、広く一般からインシデントに関する対応依頼を受け付けています。報告方法として、Webフォームまたは電子メールが案内されています。
また、JPCERT/CCは、マルウェア感染、不正アクセスに関する相談、インシデント被害の公表や関係組織への連絡に関する相談、IoCやTTP情報、調査結果、マルウェア、脆弱性悪用疑義に関する情報提供も受け付けています。
JPCERT/CCへの連絡は、次のような場合に検討します。
| 場面 | 相談・共有する内容 |
|---|---|
| 侵入経路や攻撃手口が分からない | 不審通信、マルウェア、IoC、ログ情報 |
| 他社にも影響する可能性がある | 攻撃元、攻撃先、悪性ドメイン、脆弱性悪用の疑い |
| Web改ざんや不正アクセスがある | 改ざん箇所、サーバログ、攻撃元情報 |
| 公表や関係組織への連絡に迷う | 公表文、共有範囲、注意喚起の内容 |
| 調査会社の結果を共有したい | フォレンジック報告書、マルウェア分析結果 |
JPCERT/CCは警察ではありません。捜査や犯人特定を依頼する窓口ではなく、技術的な立場から被害拡大防止や再発防止を支援する組織です。JPCERT/CCのページでも、捜査、取り締まり、犯人や行為者の特定などは対応できない依頼例として示されています。
個人情報保護委員会への連絡:個人データの漏えい等がある場合
ランサムウェア被害では、個人情報保護委員会への報告が必要になる場合があります。
前回の記事で扱ったとおり、個人データの漏えい等には、外部流出だけでなく、滅失や毀損も含まれます。個人情報保護委員会は、報告が必要な事案として、要配慮個人情報を含む場合、不正利用により財産的被害が生じるおそれがある場合、不正の目的をもって行われたおそれがある場合、本人の数が1,000人を超える場合などを示しています。
個人情報保護委員会の案内では、ランサムウェア等により個人データが暗号化され、復元できなくなった場合も、報告が必要な事案例として示されています。また、不正アクセスにより個人データが窃取された場合や、マルウェア感染端末から不正通信が確認された場合なども例示されています。
報告期限は、まず速報が発覚日から3〜5日以内、次に確報が発覚日から30日以内、不正な目的で行われたおそれがある場合は60日以内と案内されています。
ランサムウェア事案による個人データの漏えい等またはそのおそれが発生した場合は、令和7年10月1日以降、共通様式による報告も可能とされています。
PPCへの報告要否を判断するため、初動では次の項目を確認します。
| 確認項目 | 内容 |
|---|---|
| 個人データの有無 | 顧客、従業員、取引先担当者、会員、予約者など |
| 情報項目 | 氏名、住所、電話、メール、ID、パスワード、決済情報、健康情報など |
| 件数 | 対象人数。未確定なら概算 |
| 暗号化・復元不能 | 個人データが暗号化され、復元できないか |
| 窃取の可能性 | 外部送信、大量通信、暴露予告、ダークウェブ掲載予告など |
| 要配慮個人情報 | 健康診断、診療情報、病歴等が含まれるか |
| 財産的被害 | クレジットカード、口座、決済ID、ログインID・パスワードなど |
| 不正目的 | 不正アクセス、盗難、内部不正、脅迫など |
| 1,000人超 | 対象本人の数が1,000人を超えるか |
| マイナンバー | 特定個人情報が含まれるか、不明か |
PPCへの報告は、単なる「システム障害報告」ではありません。
個人データの漏えい等またはそのおそれに関する報告です。したがって、技術担当だけでなく、個人情報管理責任者、総務、法務、経営者が一緒に判断する必要があります。
金融機関・カード会社・保険会社への連絡
ランサムウェア被害では、金融機関や保険会社への連絡が必要になる場合もあります。
例えば、次のような場合です。
| 連絡先 | 連絡が必要になり得る場面 |
|---|---|
| 銀行 | インターネットバンキングの認証情報漏えい、不正送金のおそれ |
| クレジットカード会社 | カード情報漏えいのおそれ、決済システム侵害 |
| 決済代行会社 | ECサイト、予約システム、決済連携の侵害 |
| サイバー保険会社 | 事故対応費用、調査費用、賠償対応、相談窓口の利用 |
| 顧問弁護士 | 通知文、公表文、契約上の責任、損害対応 |
IPAの「情報セキュリティ10大脅威 2026」解説書では、インシデント時には事故対応費用、損害賠償費用、利益損害・営業継続費用などが発生する可能性があり、サイバー保険が費用対策の一つになると説明されています。ただし、補償内容は保険会社や保険プランによって異なるため確認が必要です。
サイバー保険に加入している場合、保険会社指定の事故受付窓口や提携専門会社があることがあります。
事故発生後に連絡先を探すのではなく、保険証券、事故受付窓口、利用条件を連絡網に入れておきましょう。
身代金要求への対応:現場で交渉しない
ランサムウェアでは、攻撃者から身代金を要求されることがあります。
このとき、現場担当者が攻撃者へ連絡したり、交渉したり、支払いを判断したりしてはいけません。
JPCERT/CCは、侵入型ランサムウェア攻撃に関するFAQで、身代金を支払っても復号に必要な鍵が渡される保証がないこと、侵害原因や他の被害が未解消のままであること、支払い後に別の攻撃や追加要求を受けるおそれがあることなどを理由に、身代金の支払いを選択するべきではないとの考えを示しています。
したがって、身代金要求への対応は、事前に社内方針を決めておくべきです。
| 決めておく事項 | 内容 |
|---|---|
| 攻撃者へ連絡できる人 | 原則として現場担当者は連絡しない |
| 支払い判断者 | 代表者、役員、法務、弁護士等で判断 |
| 相談先 | 警察、弁護士、セキュリティ専門会社、保険会社 |
| 証拠保全 | 脅迫文、チャット、メール、ウォレット情報を保存 |
| 公表方針 | 支払い有無を含め、社外説明の範囲を検討 |
| 復旧方針 | バックアップ復元、再構築、専門調査を優先 |
支払いの有無以前に、攻撃者との不用意な接触は情報漏えいや追加要求につながる可能性があります。
攻撃者からのメッセージは削除せず、証拠として保存し、警察や専門家に相談しましょう。
連絡網サンプル
以下は、中小企業向けのランサムウェア対応連絡網のサンプルです。
| 区分 | 役割 | 主担当 | 予備担当 | 連絡方法 | 備考 |
|---|---|---|---|---|---|
| 社内 | 第一報受付 | 総務責任者 | 営業責任者 | 電話・チャット | 従業員からの報告窓口 |
| 社内 | 対応責任者 | 代表者 | 役員 | 電話 | 業務停止・公表判断 |
| 社内 | 記録担当 | 総務 | 経理 | 共有シート | 時系列、判断、連絡内容を記録 |
| 技術 | PC保守会社 | 担当SE | 会社代表窓口 | 電話 | 感染端末、ログ、隔離 |
| 技術 | ネットワーク保守 | 担当者 | 会社窓口 | 電話 | VPN、UTM、ルータ確認 |
| 技術 | クラウド事業者 | 管理者 | 予備管理者 | 管理画面・サポート | ログ取得、アカウント停止 |
| 技術 | バックアップ担当 | システム担当 | 保守会社 | 電話 | 復元可否、最終バックアップ |
| 業務 | 顧客対応 | 営業責任者 | 代表者 | メール・電話 | 受注、納期、問い合わせ |
| 業務 | 取引先対応 | 購買・営業 | 代表者 | メール・電話 | 納品、発注、委託業務 |
| 業務 | 委託元対応 | 案件責任者 | 代表者 | 契約上の指定方法 | 事故報告義務の確認 |
| 外部 | 警察 | 対応責任者 | 総務 | 窓口確認 | 被害通報・相談 |
| 外部 | IPA | 技術担当 | 対応責任者 | 窓口確認 | 技術相談、届出 |
| 外部 | JPCERT/CC | 技術担当 | 専門会社 | 窓口確認 | インシデント対応依頼、情報共有 |
| 外部 | PPC | 個人情報責任者 | 総務 | 報告フォーム | 個人データ漏えい等の報告 |
| 外部 | 顧問弁護士 | 代表者 | 総務 | 電話・メール | 通知文、公表文、契約対応 |
| 外部 | 保険会社 | 総務 | 代表者 | 事故受付窓口 | サイバー保険の事故受付 |
この表は、社内共有フォルダだけに置いてはいけません。
ランサムウェア被害時には共有フォルダが開けなくなる可能性があります。紙、別系統のクラウド、スマートフォンで確認できる形など、複数の方法で保管しておきましょう。
第一報テンプレート
ランサムウェア発生時の第一報は、簡潔で構いません。
ただし、必要な情報を落とさないことが重要です。
社内向けの第一報例です。
〇月〇日〇時〇分頃、〇〇部署のPCでファイルが開けず、身代金要求と思われる画面が表示されました。
現在、当該PCをネットワークから切り離し、利用を停止しています。
影響範囲は調査中です。
メール、ファイル、ログの削除やPCの再起動は行わないでください。
関係者は、〇〇責任者の指示があるまで、対象システムへ接続しないでください。
取引先向けの第一報例です。
現在、弊社一部システムに障害が発生しており、原因および影響範囲を調査しております。
これに伴い、〇〇業務に遅延が生じる可能性があります。
現時点で確認できている範囲および今後の対応について、判明次第、順次ご連絡いたします。
お急ぎのご用件は、下記窓口までご連絡ください。
個人情報に関する本人通知や公表文は、事案ごとに内容が変わります。
不確かな段階で断定せず、PPC報告の要否、本人通知の要否、法務確認を行ったうえで作成します。
時系列記録を残す
ランサムウェア対応では、時系列記録が非常に重要です。
PPC報告、警察相談、保険会社への事故報告、顧客説明、社内報告、再発防止策の検討で、すべて時系列が必要になります。
| 日時 | 事実・対応 | 担当者 | 証跡 |
|---|---|---|---|
| 5/15 08:40 | 経理PCで身代金要求画面を確認 | 経理担当 | 画面写真 |
| 5/15 08:45 | 経理PCをネットワークから隔離 | 総務 | 作業メモ |
| 5/15 09:00 | 代表者、保守会社へ連絡 | 総務 | 通話メモ |
| 5/15 09:30 | 共有フォルダの一部で暗号化ファイルを確認 | 保守会社 | ファイル一覧 |
| 5/15 10:00 | 受注システム利用停止を決定 | 代表者 | 会議メモ |
| 5/15 11:00 | 顧客対応窓口を設置 | 営業責任者 | 告知文 |
| 5/15 13:00 | 個人情報の有無を確認開始 | 総務 | 台帳 |
| 5/15 15:00 | 警察相談の準備資料を作成 | 対応責任者 | ログ、画面 |
| 5/16 10:00 | PPC報告対象事態の該当性を検討 | 個人情報責任者 | 検討メモ |
時系列は、後から思い出して書くと抜け漏れが起こります。
発覚直後から、記録担当を決めて残しましょう。
復旧時に注意すること
ランサムウェア対応では、「バックアップがあるからすぐ戻す」と考えるのは危険です。
感染原因が残ったまま復元すると、再感染する可能性があります。
また、侵入経路がVPN、リモートデスクトップ、管理者アカウント、脆弱性、盗まれた認証情報だった場合、単にデータを戻すだけでは再発防止になりません。
警察庁は、被害拡大防止・再発防止のため、ランサムウェアの感染原因等を調査すること、感染が確認されていないパソコンやサーバも含めて調査すること、ログをバックアップデータと同様に適切に保管することを推奨しています。また、調査結果をもとにVPN機器等の脆弱性を塞ぎ、アクセスされた可能性がある機器等のパスワードを変更することも案内しています。
復旧時には、次の順番を意識します。
| 順番 | 内容 |
|---|---|
| 1 | 感染範囲を確認する |
| 2 | 侵入経路を調査する |
| 3 | ログ、端末、証拠を保全する |
| 4 | 脆弱性、認証情報、公開ポート、VPN等を確認する |
| 5 | クリーンなバックアップを選定する |
| 6 | 復元先の環境を安全にする |
| 7 | 段階的に復旧する |
| 8 | 復旧後の監視を強化する |
| 9 | 顧客・取引先へ続報を出す |
| 10 | 再発防止策を記録する |
復旧の目的は、単にシステムを動かすことではありません。
安全に業務を再開し、同じ侵入経路で再び被害を受けない状態にすることです。
平時に準備しておくべきもの
ランサムウェア対応は、発生してから準備しても間に合いません。
平時に、次の資料を用意しておくことをおすすめします。
| 資料 | 内容 |
|---|---|
| 緊急連絡網 | 社内、保守会社、クラウド、警察、IPA、JPCERT/CC、PPC、弁護士、保険会社 |
| システム台帳 | サーバ、PC、SaaS、クラウド、VPN、Webサイト、バックアップ |
| 情報資産台帳 | 顧客情報、従業員情報、取引先情報、会計情報、契約情報 |
| バックアップ記録 | 対象、頻度、保存先、世代、復元テスト結果 |
| 初動チェックリスト | 隔離、連絡、記録、証拠保全、業務影響確認 |
| 時系列記録シート | 発覚、対応、判断、連絡、復旧の記録 |
| 顧客向け第一報ひな形 | 業務影響、調査中、問い合わせ窓口 |
| 委託元向け報告ひな形 | 契約上の報告事項、影響範囲、対応状況 |
| PPC報告検討メモ | 個人データ、件数、要配慮、財産被害、不正目的、1,000人超 |
| 復旧優先順位表 | どの業務・システムから復旧するか |
特に連絡網は、社内システムに保存するだけではなく、印刷したものを保管しておくべきです。
ランサムウェアで共有フォルダやグループウェアが利用できない状況でも、連絡できるようにしておきましょう。
よくある失敗
連絡先が社内システムの中にしかない
ランサムウェアで社内システムが止まると、連絡先そのものが見られなくなることがあります。
緊急連絡網は、紙、スマートフォン、別系統のクラウドなど複数の方法で確認できるようにしておきましょう。
顧客へ未確定情報を断定してしまう
「漏えいはありません」「すぐ復旧します」と断定した後に、調査結果が変わると信頼を損ないます。
初動では、確認済みの事実と調査中の事項を分けて説明します。
保守会社に任せきりにする
保守会社は技術対応の重要な支援者ですが、顧客連絡、PPC報告、警察相談、契約対応、業務継続判断は会社側の責任です。
技術対応と経営判断を分けて考える必要があります。
個人情報の確認が遅れる
ランサムウェアでは、個人情報が外部に出たかどうかだけでなく、暗号化により復元できなくなったかどうかも確認が必要です。
個人データの漏えい等報告の期限管理を誤らないよう、発覚日時と対象情報を早めに整理します。
バックアップをすぐ復元してしまう
感染原因を確認しないまま復元すると、再感染する可能性があります。
復元前に、感染範囲、侵入経路、バックアップの健全性を確認しましょう。
まとめ
ランサムウェアで業務が止まったとき、重要なのは「誰に、どの順番で、何を連絡するか」です。
初動では、感染が疑われる端末やサーバをネットワークから隔離し、ログや証拠を消さず、社内の責任者へ連絡します。
そのうえで、保守会社、クラウド事業者、セキュリティ専門会社、顧客、取引先、警察、IPA、JPCERT/CC、個人情報保護委員会への連絡を切り分けます。
実務では、次の準備が重要です。
- 社内の第一報受付者と対応責任者を決める
- 保守会社、クラウド事業者、バックアップ担当の連絡先を一覧化する
- 顧客・取引先・委託元への第一報ひな形を用意する
- 警察、IPA、JPCERT/CC、PPCの相談・報告先を整理する
- 個人データの有無、件数、漏えい等報告の要否を確認する
- 時系列記録を残す
- 復旧前に感染範囲と侵入経路を確認する
- 復旧後に再発防止策を記録する
ランサムウェア対応は、技術担当者だけで完結するものではありません。
経営、総務、営業、法務、保守会社、外部機関が連携して初めて、業務再開と説明責任を果たせます。
ライトハウスコンサルタントでは、情報処理安全確保支援士による情報セキュリティに関するコンサルティング、SECURITY ACTION取得サポート、CIOアウトソースサービスなどを行っています。ランサムウェア対応連絡網、初動チェックリスト、バックアップ復元確認、SaaS・クラウド台帳、インシデント対応体制の整備に不安がある場合は、早めに専門家へ相談することをおすすめします。
