ランサムウェア感染が疑われる最初の1時間に、端末隔離、共有領域保護、証跡保全、バックアップ確認、社内報告をどう進めるかを実務目線で整理する。
最初の1時間で被害の広がりが決まる
ランサムウェア感染が疑われる場面では、最初に目に入るのは暗号化されたファイルや身代金メモだ。しかし、実務で最初に決めるべきことは「復号できるか」ではない。感染が広がっているのか、共有領域やバックアップに触られているのか、証跡を残せているのかを見極めることだ。
この1時間で、慌てて電源を切る、端末を初期化する、暗号化ファイルだけ削除する、バックアップをすぐ本番へ戻す、といった動きをすると、調査と復旧の選択肢を狭める。ランサムウェアは暗号化だけでなく、認証情報の窃取、横展開、データ持ち出し、バックアップ破壊を伴うことがある。
この記事では、ランサムウェア初動テンプレート を実際に使う前提で、最初の1時間に何を確認し、何を避けるべきかを整理する。
- 感染疑い端末は、証跡保全方針を確認したうえでネットワークから隔離する。
- 共有フォルダ、認証基盤、バックアップの状態を同時に確認する。
- 復旧作業は、侵入経路と残存リスクを見ずに始めない。
0〜15分:感染疑いを「点」ではなく「面」で見る
ランサムウェアの初動で最初にやることは、対象端末だけを見ることではない。暗号化が見えた端末は、すでに攻撃の最終段階かもしれない。先に侵入され、認証情報を奪われ、別の端末やファイルサーバーへ横展開された後に、最後に暗号化が起きている可能性がある。
まず、次の情報を同じメモに集める。
| 確認項目 | 見る理由 |
|---|---|
| 発見時刻と発見者 | タイムラインの起点になる |
| 対象端末・ユーザー・部署 | 影響範囲と連絡先を特定する |
| 身代金メモや拡張子の変化 | ランサムウェア疑いの根拠になる |
| EDR・AV・SIEMのアラート | 他端末や横展開の有無を見る |
| 共有フォルダの書き換え状況 | ファイルサーバー被害の広がりを見る |
| 直近のログイン・VPN・RDP利用 | 初期侵入や不正ログインの手がかりになる |
ここで重要なのは、原因を断定しないことだ。「このPCだけ」「社員が変なメールを開いた」「バックアップがあるから大丈夫」と早く結論を出すと、見落としが増える。最初の15分は、断定よりも観測範囲を広げる時間にする。
15〜30分:隔離はするが、証跡を消さない
感染疑い端末は、ネットワークから切り離す必要がある。ただし、証跡保全の方針が決まっていないまま電源を落とすと、メモリ上の情報や一部ログが失われる可能性がある。現場で迷う場合は、社内のCSIRT、SOC、情シス責任者、外部IRベンダーの方針に従う。
実務上は、次の順番で判断する。
| 行動 | 目的 | 注意点 |
|---|---|---|
| ネットワーク隔離 | 横展開と外部通信を止める | 端末の電源断とは別の判断として扱う |
| 証跡メモ | 後の調査で時系列を再現する | 画面、時刻、ユーザー操作、アラート名を残す |
| 関連アカウント確認 | 認証情報悪用を止める | 同一ユーザーのVPN、SaaS、管理者権限を見る |
| 共有領域確認 | 被害範囲の拡大を止める | ファイルサーバーやNASを後回しにしない |
| バックアップ保護 | 復旧手段を守る | 本番への復元前に改ざん・暗号化有無を見る |
「暗号化された端末を一台隔離したので完了」と考えるのは危険だ。ランサムウェア対応では、端末、アカウント、共有ストレージ、バックアップ、管理ツールを同時に見る必要がある。
- 感染疑い端末を自己判断で初期化する。
- 暗号化ファイルや身代金メモを削除する。
- 原因が分からないままバックアップを本番へ戻す。
- 「報告すると怒られる」空気を作り、発見者に沈黙させる。
30〜45分:バックアップは「あるか」ではなく「使えるか」を見る
ランサムウェア対応でよくある誤解は、「バックアップがあるから復旧できる」というものだ。実際には、バックアップがオンライン接続されたまま暗号化されている、復元手順を誰も試していない、バックアップの世代が足りない、復元後に再感染する、という問題が起きる。
最初の1時間では、復旧作業そのものよりも、バックアップを守れるかを確認する。
- バックアップ先が本番環境から書き換え可能な状態か
- バックアップ世代に暗号化済みデータが混ざっていないか
- 重要サービスの復旧優先順位が決まっているか
- 復旧先を本番とは別の隔離環境にできるか
- 復元後に再感染しない条件を確認できるか
CISAの #StopRansomware Guide でも、オフラインまたは分離されたバックアップと、復旧手順の定期的なテストが重視されている。バックアップは「存在」ではなく「復元できること」まで確認して初めて復旧手段になる。
45〜60分:社内報告は短く、事実と未確定を分ける
最初の1時間で、すべての原因を特定する必要はない。むしろ、未確定のことを断定すると、後から説明が崩れる。社内報告では、分かっている事実、現在の封じ込め状況、未確認事項、次の確認予定を分けて書く。
次のような粒度で十分だ。
件名: ランサムウェア疑い 初動報告
検知日時:
検知経路:
影響が疑われる端末・サーバー:
現在の隔離状況:
共有領域・バックアップへの影響:
確認済みの事実:
未確認の事項:
次の30分で行う対応:
判断が必要な事項:この報告の目的は、きれいな文章を書くことではない。復旧チーム、法務、広報、経営、外部ベンダーが同じ状況認識を持つための土台を作ることだ。特に、個人情報や顧客データの漏えい可能性がある場合は、法務・広報・責任者への連携を遅らせない。
より詳細な報告文は ランサムウェア初動テンプレート にまとめている。現場では、この記事を読んでからテンプレートを開くより、テンプレートを先に開き、足りない判断軸をこの記事で確認する方が速い。
復旧判断は「暗号化が止まったか」だけで決めない
ランサムウェア対応で焦るのは、業務停止が目に見えるからだ。復旧を急ぎたい気持ちは自然だが、侵入経路が残ったまま復元すると、同じ被害を繰り返す可能性がある。
復旧前に少なくとも次を確認したい。
| 復旧前の確認 | 理由 |
|---|---|
| 初期侵入経路の仮説 | フィッシング、VPN、RDP、脆弱性、認証情報漏えいのどれかで対策が変わる |
| 管理者権限の悪用有無 | 復元後も攻撃者が戻れる状態を避ける |
| データ持ち出しの兆候 | 暗号化だけでなく二重脅迫リスクを判断する |
| バックアップの健全性 | 暗号化済みデータを戻さないために必要 |
| 監視と検知の準備 | 復旧後の再感染や再侵入を早く検知する |
インシデントレスポンス の基本は、検知、封じ込め、根絶、復旧、事後レビューの順番だ。ランサムウェアでは復旧が強く求められるため、この順番が崩れやすい。復旧を始める前に、封じ込めと根絶の条件を明文化しておく。
平時に決めておくと初動が速くなるもの
ランサムウェア対応は、発生してから整えると遅い。最低限、次のものは平時に決めておくとよい。
- 感染疑い端末を誰が隔離するか
- 電源断、メモリ保全、ディスク保全の判断基準
- 連絡先一覧と休日・夜間のエスカレーションルート
- 重要システムの復旧優先順位
- バックアップの復元テスト頻度
- 外部IRベンダー、保険会社、法務、広報への連絡条件
- 従業員向けの報告テンプレート
この準備は、難しいツールを入れることより先に効く。特に中小規模の組織では、誰が何を止めるか、誰が判断するか、どこまで社内に共有するかが曖昧なままになりやすい。
基礎から見直すなら ランサムウェア防御 と EDRとアンチウイルスの違い を読んでおくと、検知・封じ込め・復旧の役割分担が整理しやすい。
参考情報
ランサムウェア対応は、組織の業務、法務、契約、個人情報の扱いによって判断が変わる。公開情報だけで断定せず、社内規程と専門家の助言に照らして進めたい。
まとめ:最初の1時間は「戻す」より「広げない」
ランサムウェア初動対応の最初の1時間で優先するのは、復旧そのものではない。感染の広がりを止め、証跡を残し、バックアップを守り、事実と未確定を分けて報告することだ。
暗号化されたファイルだけを見ると、対応は「復号」と「復元」に寄ってしまう。しかし実務では、侵入経路、権限悪用、データ持ち出し、バックアップ破壊、再感染のリスクを同時に見なければならない。
次に取るべき行動は明確だ。自社向けの ランサムウェア初動テンプレート を開き、報告先、隔離判断、バックアップ確認、復旧条件を埋めておく。平時にこの準備ができていれば、発生時の1時間はかなり変わる。
