結論:ランサムウェア感染の成否は「発覚から 4 時間以内の隔離」と「72 時間以内の対外報告」で決まる。身代金を払うかどうかは最重要論点ではない(警察庁・IPA は原則非推奨)。本記事は中堅企業(従業員 100-500 名)の情シス責任者・CISO 向けに、時系列タイムライン、意思決定フロー、警察/保険/公表の 3 系統判断基準を整理した実務ガイドである。
この記事で得られること
| 項目 | 内容 |
|---|---|
| 対象 | 情シス責任者、CISO、経営層(BCP 決裁者) |
| 読了時間 | 7 分 |
| 収録内容 | 72h タイムライン、通報先別判断表、支払い判断 5 基準、チェックリスト 20 項目 |
| 出典 | 警察庁「令和 6 年サイバー空間の脅威」、IPA「ランサムウェア対策特設」、JPCERT/CC 公式 |
H2 #1:なぜ今この対応フローが必要か
警察庁 2025 年速報では、国内ランサムウェア被害報告は 230 件超、中堅企業(100-1,000 名規模)が全体の 52% を占める。被害額中央値は 2,200 万円、復旧までの平均停止日数は 17 日。特に注目すべきは、感染発覚から「社外公表までの時間」が長引くほど信頼毀損コストが指数関数的に増大する傾向だ。
| 発覚→公表までの日数 | 信頼毀損コスト(IPA 推計) |
|---|---|
| 3 日以内 | 1.0x(ベースライン) |
| 4-7 日 | 2.1x |
| 8-14 日 | 4.3x |
| 15 日以上 | 7.8x |
H2 #2:72 時間タイムライン(全容)
感染発覚から 72 時間を 4 フェーズに分解した。
| フェーズ | 時間帯 | 主要アクション | 責任者 |
|---|---|---|---|
| Phase 0:検知・初動 | 0-4h | 感染端末の LAN 物理切断、権限アカウント停止、CSIRT 招集 | 情シス責任者 |
| Phase 1:被害評価 | 4-24h | 暗号化範囲の特定、バックアップ健全性確認、脅威アクター判定 | CSIRT + 外部 IR ベンダー |
| Phase 2:対外報告 | 24-48h | 警察相談、個情委報告、業界 ISAC 共有、保険会社連絡 | 法務 + 広報 |
| Phase 3:復旧判断 | 48-72h | バックアップ復旧 or 身代金交渉、公表判断、取引先通知 | 経営層決裁 |
Phase 0(0-4h)で絶対にやること
- LAN 物理切断(Wi-Fi OFF では不十分。有線 LAN ケーブル抜去)
- シャットダウン禁止(メモリ上の解析証拠が消える。IPA 推奨は「通電・ネットワーク切断」)
- 特権アカウント(Domain Admin / local Administrator)の全パスワード変更
- 外部 IR ベンダーへの初動連絡(平均駆けつけ 6-12h、夜間休日想定で 24h 連絡先を事前契約)
H2 #3:意思決定フロー(3 系統)
3-1. 身代金支払い判断:5 基準
警察庁・IPA・FBI の公式見解は「原則非推奨」。ただし実務では経営判断が分岐する。以下 5 基準すべてを満たさない限り支払わないを推奨する。
| # | 判断基準 | 判定 |
|---|---|---|
| 1 | バックアップが完全に無効化されている | 必須 |
| 2 | 事業停止による損失が身代金の 10 倍以上 | 必須 |
| 3 | 復号ツールの公開情報が存在しない(No More Ransom 等で確認) | 必須 |
| 4 | OFAC 制裁リスト掲載グループでない(支払い自体が違法) | 必須 |
| 5 | 取締役会 + 顧問弁護士 + 保険会社の 3 者同意 | 必須 |
3-2. 通報先の優先順位と報告内容
| 通報先 | 期限 | 内容 | 法的義務 |
|---|---|---|---|
| 警察(都道府県警サイバー課) | 発覚後 24h 以内推奨 | 被害届、資料提出 | 任意(将来の法的対応に必要) |
| 個人情報保護委員会 | 漏えい確知から 3-5 日 | 速報、30 日以内に確報 | 法令上の義務(個情法 26 条) |
| JPCERT/CC | 任意 | インシデント報告 | 任意(被害情報共有) |
| 業界 ISAC(金融/製造/医療等) | 速やかに | 攻撃手口共有 | 加盟業界は事実上必須 |
| 監督官庁(上場企業・規制業種) | 業種ごとに異なる | 規則に従う | 業法上の義務 |
| サイバー保険会社 | 契約約款通り(多くは 48h 以内) | 事故通知書 | 契約義務(怠ると免責リスク) |
| 取引先・顧客 | 公表と同時 | 影響範囲、復旧見込み、連絡窓口 | 契約・信義則 |
3-3. 公表判断のフレーム
以下のいずれかに該当する場合は公表を原則推奨:
- 個人情報の漏えい確定(個情法により公表は事実上必須)
- 上場企業かつ適時開示基準に該当
- 取引先への影響が広範囲(SaaS/EC/基幹業務停止)
- SNS / メディアで既に情報が流れている(後追いは致命的)
ROI 試算:広報対応費用 300-800 万円 vs 公表遅延による信頼毀損コスト 3,000-1 億円超(中堅企業平均)。公表コストは必ず相対的に安い。
H2 #4:FAQ
Q1. バックアップがあれば身代金は絶対払わなくていい? 条件付き Yes。バックアップの健全性(改ざんされていない、復元テスト済、オフライン保管)が確認できた場合のみ。近年のランサムウェア攻撃はバックアップサーバを先に侵害する「Double Extortion」が主流で、バックアップ存在=安心ではない。
Q2. 警察に相談すると操業停止を命じられるのか? ならない。警察は捜査協力を求めるのみで、操業停止命令の権限はない。「警察に報告したら業務が止まる」は誤解。むしろ証拠保全・脅威アクター特定で復旧が早まるケースが多い。
Q3. サイバー保険で身代金はカバーされるか? 契約により異なる。2026 年現在、国内大手 3 社(東京海上、損保ジャパン、三井住友)のサイバー保険は身代金を免責するトレンド。保険でカバーされるのは主に (1) 復旧費用、(2) 調査費用、(3) 第三者損害賠償、(4) 広報・コンサル費用。契約前に約款を精読すること。
H2 #5:まとめ - 72 時間チェックリスト 20 項目
0-4h:初動(情シス責任者)
- [ ] 感染端末の物理 LAN 切断完了
- [ ] 特権アカウントパスワード変更完了
- [ ] CSIRT 招集連絡完了
- [ ] 外部 IR ベンダー一次連絡完了
- [ ] 経営層への第一報完了
4-24h:被害評価(CSIRT)
- [ ] 暗号化範囲リスト化
- [ ] バックアップ健全性確認(オフライン実機検証)
- [ ] ログ保全(ドメコン、FW、EDR)
- [ ] 脅威アクター判定(ransom note 分析)
- [ ] 個人情報漏えい有無の一次判定
24-48h:対外報告(法務・広報)
- [ ] 都道府県警サイバー課相談
- [ ] 個情委速報提出(個情漏えいの場合)
- [ ] サイバー保険会社事故通知
- [ ] 業界 ISAC 共有
- [ ] 顧問弁護士とのリスク評価ミーティング
48-72h:復旧判断(経営層)
- [ ] バックアップ復旧 vs 身代金支払いの意思決定
- [ ] 公表原稿ドラフト完成
- [ ] 取引先通知リスト完成
- [ ] プレスリリース/記者会見判断
- [ ] BCP 発動と事業継続体制確立
中堅企業にとってランサムウェア対応は「技術課題」ではなく「経営課題」である。72 時間の意思決定フローを平時から訓練しておくことが、最大の予防策となる。
GXO では、ランサムウェア対応の机上訓練、IR プレイブック策定、サイバー保険設計の無料相談を受け付けております。 インシデント対応体制構築の無料相談はこちら