ランサムウェア感染時の初動対応マニュアル【2025年版】被害を最小化する初動対応の手順を時系列で徹底解説

ランサムウェア感染が発覚したら、最初の数時間が明暗を分ける

ランサムウェアに感染した場合、最初の数時間の対応が被害規模を大きく左右します。本記事では、感染発覚時にやるべきことを時系列で解説し、被害を最小限に食い止めるための具体的な初動対応手順をお伝えします。ネットワーク遮断の判断基準、証拠保全の方法、関係機関への報告手順、そして復旧に向けた意思決定のポイントまで、実務で使える内容を網羅しています。

ランサムウェアの脅威は年々深刻さを増しています。警察庁の報告によると、2024年の国内におけるランサムウェア被害報告件数は222件にのぼり、高水準で推移しています。さらに、2025年上半期だけで116件の被害が報告されており、攻撃の勢いは衰えていません。被害の64％は中小企業が占めており、「自社は狙われない」という認識はもはや通用しません。

被害にあった企業の実態はさらに深刻です。警察庁の調査では、復旧に1か月以上を要した企業が49％、復旧費用が1,000万円以上かかった企業が50％に達しています。こうした被害の拡大を防ぐためには、感染発覚時の「初動対応」が極めて重要です。しかし、JPCERT/CCが指摘するように、初動対応で適切な対応が取られていないケースが散見されるのが現状です。

そもそもランサムウェアとは何か

ランサムウェアとは、企業のコンピュータやサーバー内のファイルを暗号化し、その復旧と引き換えに身代金を要求する悪意のあるプログラムです。「ランサム（Ransom）」は英語で「身代金」を意味します。

近年はさらに手口が巧妙化しており、「二重恐喝」と呼ばれる攻撃が主流になっています。これは、データを暗号化するだけでなく、事前に機密情報を盗み出し、「身代金を支払わなければ盗んだ情報を公開する」と脅す手口です。警察庁の調査では、被害企業の8割以上がこの二重恐喝型の攻撃を受けたと報告しています。

感染経路についても把握しておく必要があります。警察庁の調査によると、VPN機器経由とリモートデスクトップ経由の2つが全体の83％を占めています。不審メール経由はわずか1件にとどまっており、テレワーク環境のセキュリティ対策が不十分な企業ほど狙われやすい構図が浮かび上がります。

【発覚直後〜30分】最優先でやるべき3つのこと

ランサムウェアの感染が疑われる兆候には、身代金を要求するメッセージ（ランサムノート）の表示、ファイル拡張子が見慣れないものに変わっている、ファイルが開けなくなっているなどがあります。こうした兆候を発見したら、慌てず、しかし迅速に以下の対応を進めてください。

最初にやるべきことは、感染が疑われる端末をネットワークから物理的に切り離すことです。LANケーブルを抜く、Wi-Fiを無効にするなどの方法で、ほかのサーバーやPCへの感染拡大を防ぎます。ランサムウェアはネットワークを通じて急速に広がる特性があり、数分の遅れが被害範囲を何倍にも拡大させる可能性があります。ただし、端末の電源は切らないでください。電源を落とすと、メモリ上に残っている攻撃の痕跡が消えてしまい、後の原因調査に支障をきたします。

次に、社内の対応体制を立ち上げます。情報システム部門の責任者、経営層、法務担当、広報担当など、インシデント対応に必要なメンバーを招集します。もしCSIRT（セキュリティインシデント対応チーム）を設置している場合は、CSIRTを中心に対応を進めます。対応の指揮系統を明確にし、情報の一元管理体制をこの段階で確立しておくことが、以降の混乱を防ぐ鍵になります。

そして、被害状況の初期把握を行います。どの端末やサーバーが影響を受けているのか、業務への影響範囲はどの程度か、顧客情報や機密データへのアクセスが可能だったかなど、現時点で把握できる範囲の情報を整理します。この情報は、このあとの関係機関への報告や、復旧方針の決定に不可欠です。

【30分〜数時間】証拠保全と関係機関への報告

初動の封じ込めが完了したら、次に取り組むべきは証拠の保全です。ランサムウェアの種別や侵入経路を特定するためには、ログやシステムの状態を正確に記録しておく必要があります。具体的には、ファイアウォールやVPN機器のアクセスログ、Active Directoryのイベントログ、感染端末のシステムログなどを保全します。JPCERT/CCも、これらのログが初動対応と原因特定の両面で極めて重要であると指摘しています。

証拠保全と並行して、外部の関係機関への報告・相談を進めます。報告先としてまず挙げられるのが、都道府県の警察本部のサイバー犯罪相談窓口です。被害届の提出は、捜査機関との連携による犯人検挙だけでなく、自社が適切な対応を行った記録にもなります。

また、専門的な技術支援を受けたい場合は、JPCERT/CCのインシデント対応相談窓口への連絡が有効です。JPCERT/CCは「侵入型ランサムウェア攻撃を受けたら読むFAQ」を公開しており、初動対応から復旧まで実践的なアドバイスを提供しています。さらに、IPA（情報処理推進機構）の情報セキュリティ安心相談窓口も、一般的な相談先として活用できます。

個人情報の漏えいの可能性がある場合は、2022年4月に施行された改正個人情報保護法に基づき、個人情報保護委員会への報告と本人への通知が義務づけられています。速報は事態の発覚から概ね3〜5日以内に行う必要があるため、早い段階から情報漏えいの有無を調査し始めることが重要です。

【数時間〜1日目】被害範囲の特定と復旧方針の決定

体制と証拠保全が整ったら、被害の全体像を正確に把握するフェーズに移ります。感染がどのサーバーやPCにまで及んでいるか、暗号化されたデータの範囲はどこまでか、情報の外部流出はあったかなど、調査を進めます。

この段階では、外部のセキュリティ専門企業にフォレンジック調査を依頼することを強くお勧めします。フォレンジック調査とは、攻撃者の侵入経路や行動を、デジタル証拠をもとに詳細に分析する専門的な調査です。自社だけで原因を特定しようとすると、重要な証拠を見落としたり、誤った判断をしてしまうリスクがあります。JNSA（日本ネットワークセキュリティ協会）のWebサイトでは、緊急対応が可能なセキュリティ専門企業の一覧が公開されています。

被害範囲が明らかになったら、復旧方針を決定します。ここで最も重要なのは、身代金を支払わないという判断です。JPCERT/CCや警察庁、IPAはいずれも身代金の支払いを推奨していません。その理由は明確で、支払っても暗号化されたファイルが復元される保証はなく、攻撃者が再度要求してくる可能性もあるためです。さらに、支払いは犯罪組織の資金源となり、さらなる攻撃を助長してしまいます。

復旧の基本方針は、バックアップからの復元です。ただし、警察庁の調査では、バックアップを取得していた企業のうち実際に復元できたのはわずか約2割という厳しい現実も報告されています。復元できなかった理由の約7割は「バックアップ自体も暗号化されていた」ためです。これは、バックアップの取得方法そのものを見直す必要があることを意味しています。

【2日目以降】復旧作業と再発防止策の実施

復旧方針が決まったら、侵入経路を完全に塞いだうえでシステムの復旧に着手します。侵入経路が未解消のまま復旧を進めると、再び攻撃を受けるリスクがあります。VPN機器のファームウェア更新や認証情報の変更、不要なリモートアクセスポートの閉鎖など、確認された脆弱性への対処を先に行ってください。

復旧作業と並行して、ステークホルダー（関係者）への情報開示も計画的に進める必要があります。取引先、顧客、株主など、影響を受ける可能性のある関係者に対して、適切なタイミングで正確な情報を伝えることが、信頼を維持するうえで不可欠です。情報開示は一度で終わるものではなく、調査の進展に合わせて段階的に行うのが一般的です。

そして、今回のインシデントを教訓とした再発防止策を策定・実行します。技術面の対策としては、VPN機器をはじめとするネットワーク機器の脆弱性管理の強化、多要素認証の導入、EDR（端末の不審な動きを検知・対応するツール）の導入、バックアップのオフライン保管などが挙げられます。組織面では、インシデント対応計画の策定・見直し、全社員を対象としたセキュリティ教育、定期的なインシデント対応訓練の実施が求められます。

今すぐ御社で取り組むべき5つの備え

ランサムウェアの感染は、いつどの企業に起きてもおかしくありません。被害を受けてから慌てるのではなく、平時から備えておくことが被害の最小化に直結します。今すぐ着手できる具体的なアクションとして、以下の5つをお勧めします。

まず、初動対応フローチャートを作成し、社内で共有してください。感染発覚時に「誰が」「何を」「どの順番で」行うかを明文化しておくだけで、初動の遅れを大幅に防ぐことができます。

次に、バックアップの取得方法と保管場所を見直してください。バックアップがネットワークに接続された状態で保管されていると、ランサムウェアによって同時に暗号化される危険があります。オフラインでのバックアップ保管を徹底し、定期的に復元テストも行いましょう。

3つ目として、VPN機器やリモートアクセス環境のセキュリティを再点検してください。ファームウェアが最新の状態か、不要なポートが開いていないか、認証方式は十分に強固かなど、基本的な確認を今一度行うことが重要です。

4つ目に、外部の相談先や専門企業の連絡先リストを事前に整備してください。インシデント発生時に一から調べている余裕はありません。JPCERT/CC、警察のサイバー犯罪相談窓口、フォレンジック調査会社などの連絡先を、すぐに参照できる形で準備しておきましょう。

最後に、全社員向けのセキュリティ教育と、インシデント対応の机上訓練を定期的に実施してください。経済産業省の「サイバーセキュリティ経営ガイドライン」でも、緊急時の対応体制整備と定期的な演習の重要性が強調されています。

まとめ

ランサムウェア感染時の初動対応は、「ネットワーク遮断」「体制構築」「証拠保全」「関係機関への報告」「被害範囲の特定」「復旧方針の決定」という流れで進めることが基本です。最初の数時間の対応品質が、被害額や復旧期間を大きく左右します。

そして何より重要なのは、感染が起きる前に備えておくことです。初動対応マニュアルの整備、バックアップ体制の見直し、セキュリティ対策の強化を、今日から始めてください。

GXOでは、SIEM/SOAR導入支援やSOC運用、インシデント対応体制の構築まで、180社以上の支援実績をもとにセキュリティ対策を一気通貫でサポートしています。「自社の初動対応体制に不安がある」「セキュリティ対策を見直したい」という方は、まずはお気軽にご相談ください。

初動対応フローチャートの整備・セキュリティ対策のご相談はこちら