コラム / セキュリティ / インシデント対応 /
ランサムウェア被害の初動72時間 ─ 連絡順序・身代金交渉の現実・復旧の優先度
発見から3日間で何をどの順番でやるか。中小企業の現場で実際に効いた行動順序を、警察・保険・取引先・社内の4経路に分けて整理する
📖 約12分 / 公開日: 2026/05/21
## 「全PCの画面が真っ黒で、英語のメッセージが出ている」
相談電話で最も多いランサムウェアの第一報がこのフレーズです。社員が朝出社して、業務PCを起動した瞬間に、ファイル名がすべて意味不明な拡張子に変わっており、壁紙が暗号化通告画面に置き換わっている。LockBit、BlackCat(ALPHV)、Royal、Akira、Play ─ 2025年から2026年にかけて国内中小企業を狙ったランサムウェアの主流は、このあたりです。
業界の感覚として、年商10〜100億円規模の中堅企業が一度この被害に遭うと、平均で4,200万円の対応費用、業務復旧までに18日間、決算開示に響くケースで株価7%下落、というのが過去2年の実数値の中央値です。先に書いておくと、この数字は「正しい初動を取れた組織」の数値で、初動を誤った組織は復旧40日超え・対応費用1億円超えに跳ねます。
やってはいけないことから先に言います。被害PCをすぐに再起動するのは厳禁です。揮発性メモリ(RAM)に攻撃の痕跡が残っている可能性があり、再起動でフォレンジック調査の手がかりが消えます。社内に技術が詰まったメッセを送らないこと、被害状況を SNS や自社ブログに早期掲載しないこと ─ これも初動でよくある事故です。
## 最初の1時間 ─ 物理封じ込めとログの保全
最初にやることは、ネットワークケーブルの物理切断です。Wi-Fi 接続のPCならアダプタを無効化、有線なら LANケーブルを抜きます。シャットダウンしてはいけない、休止状態にもしてはいけない。電源は入れたまま、ネットワークから切り離す。これが鉄則です。
同時並行で、被害範囲の特定にかかります。同じセグメントの他のPCも感染している可能性が高く、特にファイルサーバ・NAS・バックアップサーバが感染しているかを最優先で確認します。中小企業のランサムウェア被害事例の8割で、Synology や QNAP、Buffalo TeraStation などの NAS が同時に暗号化されています。理由は、業務PCから書き込み権限のある共有フォルダが NAS にマウントされており、ランサムウェアがそこに横展開するからです。
バックアップは「あるかどうか」だけでなく「アクセス可能だったか」を確認します。ローカルNASのバックアップ、外付けHDDが常時接続のバックアップ、クラウドバックアップでも書き込み権限が常時付与されているものは、ほぼ確実に同時に暗号化されています。「3-2-1 ルール」(3コピー・2媒体・1オフサイト)のうち、最後の1がオフライン保管されていたかが分岐点です。
この段階で、社内連絡網を1本化します。情シス担当・経営層・顧問弁護士・取引先窓口、それぞれの連絡経路を別のチャットツール(被害ネットワーク外の手段)に切り替えます。Slack の社内ワークスペースも、認証連携で侵害されている前提で扱います。携帯のキャリアメール、もしくは別途用意した Signal や WhatsApp グループへ切り替えるのが現実的です。
## 6時間以内 ─ 警察・サイバー保険・JPCERT への通報
最初の6時間で必ず実施するべき外部連絡が3つあります。順番に説明します。
警察庁の都道府県警察サイバー犯罪対策課への通報。これは義務ではないと考える組織が多いですが、サイバー保険を契約している企業は「警察への通報」が補償金支払いの前提条件になっているケースが大半です。被害届を出すかどうかは別途判断ですが、相談記録だけは必ず残してください。連絡先は各都道府県警の公式サイトに掲載されています。
サイバー保険会社への連絡。AIG、東京海上、損保ジャパン、三井住友海上、Chubb ─ 主要保険会社のサイバー保険には、24時間対応のインシデント窓口が紐づいています。保険会社が指定するインシデントレスポンス会社(IRファーム)の派遣手配まで、ここで決まります。保険契約のしおりにある「事故報告」の番号を、社内文書化していない組織が多いため、事前準備が肝心です。
JPCERT/CC への報告。https://www.jpcert.or.jp/form/ から24時間受付。これは情報共有目的の任意報告ですが、攻撃元の TTP(Tactics, Techniques, Procedures)に関する助言が得られる場合があります。ランサムウェアの種類によっては、過去にすでに復号鍵が公開されているケース(No More Ransom プロジェクト、nomoreransom.org)もあり、これを最初に確認するだけで身代金を払わずに復旧できる可能性があります。
顧問弁護士への連絡もこの段階で。個人情報漏えいが疑われる場合、改正個人情報保護法に基づく報告義務が発生し、3〜5日以内(速報)・30日以内(確報)に個人情報保護委員会へ報告する必要があります。同時に、漏えい対象本人への通知義務も発生します。法務判断を後回しにすると、後で行政処分や民事訴訟のリスクが跳ね上がります。
## 24時間以内 ─ 身代金交渉の現実
このフェーズで最も重い判断が、身代金を払うかどうかです。先に結論を言います。原則として身代金は払うべきではない、というのが米国 FBI・JPCERT・各国法執行機関の公式見解で、当センターもこの立場です。
理由は3つ。払っても復号鍵が来ない・来ても動かない事例が3割を超える。攻撃グループへの資金提供は、次の被害を生む直接の原因になる。OFAC(米国財務省外国資産管理局)の制裁対象グループへの支払いは、米国法違反となり日本企業も罰則対象になる可能性がある。
ただし、現場の現実はもう少し複雑です。事業継続が完全に止まり、復旧に60日以上かかる見込みで、そのまま倒産するリスクがあるケースで、経営判断として身代金交渉に入る組織は存在します。この場合、必ず弁護士と保険会社と専門の交渉代行業者を介して行います。攻撃者と直接やり取りをするのは絶対に避けてください。OSINT で公開されている過去の取引履歴から、攻撃グループごとに「払っても復号が機能しない確率」「交渉で何割減額に応じる傾向か」のデータがあり、専門業者はこれを参照します。
身代金の請求額は、企業規模・暗号化範囲・流出データの機微度で大きく変動します。中小企業向けで500万〜3,000万円、中堅で1〜5億円、上場企業クラスで5〜30億円のレンジが2025年の実態です。Bitcoin か Monero での要求が大半で、72時間以内の支払い期限を切られるパターンが標準的です。
二重恐喝(暗号化+データ流出の脅し)が主流のため、復号鍵を入手しても「データを公開しないでほしければ追加で払え」と二段階の請求が来ます。一度払うと延々と払わされる、というケースが2023年以降に頻発しており、これも「払うべきでない」の理由のひとつです。
## 48〜72時間 ─ 復旧着手と再発防止策の同時進行
身代金を払わない方針が固まったら、復旧フェーズに入ります。重要システムから順に、新規環境への再構築です。
復旧の優先度は3段階で決めます。第1優先は売上に直結するシステム(EC、受発注、決済、顧客対応)。第2優先は社内業務システム(会計、給与、勤怠)。第3優先は文書・資料の復元。理由は、第3優先は時間をかければ多くがクラウドサービスやメール添付からサルベージできる一方、第1優先は止まっている時間そのものがダメージだからです。
復旧環境は、感染前のバックアップを完全に隔離されたネットワークで構築します。感染元の特定(フィッシングメール・脆弱なVPN機器・公開RDP・侵入された無線アクセスポイント)が完了するまでは、復旧環境を本番ネットワークへ戻さない。当センターが入った案件では、復旧後3日で再感染した事例が過去に3件ありました。原因は侵入経路の駆除が不完全だったことで、攻撃者はバックドアを複数仕込んでいる前提で動くべきです。
再発防止策は復旧と並行して走らせます。EDR(Endpoint Detection & Response、CrowdStrike Falcon・SentinelOne・Microsoft Defender for Endpoint)の導入、特権アクセスの最小化、MFA の全社必須化、バックアップのオフライン保管とイミュータブル化、フィッシング訓練の定例化、SIEM ログの90日以上保管 ─ 全部を一度にやるのは無理でも、最初の60日で6〜7割の実装まで持っていくのが現実的なゴールです。
## 取引先・顧客への開示タイミング
見落とされがちですが、取引先と顧客への開示が遅れると、信用毀損のリスクが跳ね上がります。被害確認から48〜72時間以内に、被害事実の概要・自社の対応状況・取引先への影響有無を、書面(メールではなく PDF レターを推奨)で通知するのが定石です。
上場企業の場合は、適時開示の要否を顧問弁護士と監査法人に即日相談します。「業績に重大な影響を与える事象」に該当すれば、TDnet 経由での開示が必要です。被害の事実を隠していたことが後で判明した方が、企業価値の毀損ははるかに大きくなる、というのが過去事例から見える教訓です。
## 平時に準備しておくべき最低5項目
最後に、被害に遭う前から準備しておくべき5項目を挙げます。
1点目、インシデント対応プレイブックの文書化。連絡先一覧(携帯番号・私用メール)と判断フローを、紙とオフライン保管された PDF の両方で持つ。社内ネットワークが侵害された前提で、ネットワーク外から取り出せる形にする。
2点目、バックアップのオフライン化とリストア試験。月1回、実データでのリストアを試して、復元時間と整合性を実測する。これは多くの組織で形骸化しており、いざという時に動かない事例が後を絶ちません。
3点目、サイバー保険の補償範囲確認。身代金支払いカバー、フォレンジック費用、業務中断損失、第三者賠償、各補償の上限金額を、保険会社の担当者と年1回見直す。安く加入したつもりが、いざ請求すると補償外、というのが多い領域です。
4点目、EDR とログ集約基盤の導入。最低でも EDR を全PCに入れて、ログを90日以上保管する。CrowdStrike Falcon Go や Microsoft Defender for Business なら、中小企業でも月額数百円から数千円で導入できます。
5点目、有事の意思決定者と権限の明確化。「身代金を払うか払わないか」を誰が決めるのか、社長か、取締役会か、サイバー保険会社の助言に従うのか ─ 平時に決めておかないと、被害発生時に経営層が機能停止します。
ランサムウェア被害の初動対応、フォレンジック、復旧設計、再発防止策の構築まで、当センターでは24時間以内の初動方針提示が可能です。発見直後の問い合わせを最も優先する体制を組んでおり、躊躇する時間がそのまま被害拡大に直結する領域なので、迷ったら連絡してください。
相談電話で最も多いランサムウェアの第一報がこのフレーズです。社員が朝出社して、業務PCを起動した瞬間に、ファイル名がすべて意味不明な拡張子に変わっており、壁紙が暗号化通告画面に置き換わっている。LockBit、BlackCat(ALPHV)、Royal、Akira、Play ─ 2025年から2026年にかけて国内中小企業を狙ったランサムウェアの主流は、このあたりです。
業界の感覚として、年商10〜100億円規模の中堅企業が一度この被害に遭うと、平均で4,200万円の対応費用、業務復旧までに18日間、決算開示に響くケースで株価7%下落、というのが過去2年の実数値の中央値です。先に書いておくと、この数字は「正しい初動を取れた組織」の数値で、初動を誤った組織は復旧40日超え・対応費用1億円超えに跳ねます。
やってはいけないことから先に言います。被害PCをすぐに再起動するのは厳禁です。揮発性メモリ(RAM)に攻撃の痕跡が残っている可能性があり、再起動でフォレンジック調査の手がかりが消えます。社内に技術が詰まったメッセを送らないこと、被害状況を SNS や自社ブログに早期掲載しないこと ─ これも初動でよくある事故です。
## 最初の1時間 ─ 物理封じ込めとログの保全
最初にやることは、ネットワークケーブルの物理切断です。Wi-Fi 接続のPCならアダプタを無効化、有線なら LANケーブルを抜きます。シャットダウンしてはいけない、休止状態にもしてはいけない。電源は入れたまま、ネットワークから切り離す。これが鉄則です。
同時並行で、被害範囲の特定にかかります。同じセグメントの他のPCも感染している可能性が高く、特にファイルサーバ・NAS・バックアップサーバが感染しているかを最優先で確認します。中小企業のランサムウェア被害事例の8割で、Synology や QNAP、Buffalo TeraStation などの NAS が同時に暗号化されています。理由は、業務PCから書き込み権限のある共有フォルダが NAS にマウントされており、ランサムウェアがそこに横展開するからです。
バックアップは「あるかどうか」だけでなく「アクセス可能だったか」を確認します。ローカルNASのバックアップ、外付けHDDが常時接続のバックアップ、クラウドバックアップでも書き込み権限が常時付与されているものは、ほぼ確実に同時に暗号化されています。「3-2-1 ルール」(3コピー・2媒体・1オフサイト)のうち、最後の1がオフライン保管されていたかが分岐点です。
この段階で、社内連絡網を1本化します。情シス担当・経営層・顧問弁護士・取引先窓口、それぞれの連絡経路を別のチャットツール(被害ネットワーク外の手段)に切り替えます。Slack の社内ワークスペースも、認証連携で侵害されている前提で扱います。携帯のキャリアメール、もしくは別途用意した Signal や WhatsApp グループへ切り替えるのが現実的です。
## 6時間以内 ─ 警察・サイバー保険・JPCERT への通報
最初の6時間で必ず実施するべき外部連絡が3つあります。順番に説明します。
警察庁の都道府県警察サイバー犯罪対策課への通報。これは義務ではないと考える組織が多いですが、サイバー保険を契約している企業は「警察への通報」が補償金支払いの前提条件になっているケースが大半です。被害届を出すかどうかは別途判断ですが、相談記録だけは必ず残してください。連絡先は各都道府県警の公式サイトに掲載されています。
サイバー保険会社への連絡。AIG、東京海上、損保ジャパン、三井住友海上、Chubb ─ 主要保険会社のサイバー保険には、24時間対応のインシデント窓口が紐づいています。保険会社が指定するインシデントレスポンス会社(IRファーム)の派遣手配まで、ここで決まります。保険契約のしおりにある「事故報告」の番号を、社内文書化していない組織が多いため、事前準備が肝心です。
JPCERT/CC への報告。https://www.jpcert.or.jp/form/ から24時間受付。これは情報共有目的の任意報告ですが、攻撃元の TTP(Tactics, Techniques, Procedures)に関する助言が得られる場合があります。ランサムウェアの種類によっては、過去にすでに復号鍵が公開されているケース(No More Ransom プロジェクト、nomoreransom.org)もあり、これを最初に確認するだけで身代金を払わずに復旧できる可能性があります。
顧問弁護士への連絡もこの段階で。個人情報漏えいが疑われる場合、改正個人情報保護法に基づく報告義務が発生し、3〜5日以内(速報)・30日以内(確報)に個人情報保護委員会へ報告する必要があります。同時に、漏えい対象本人への通知義務も発生します。法務判断を後回しにすると、後で行政処分や民事訴訟のリスクが跳ね上がります。
## 24時間以内 ─ 身代金交渉の現実
このフェーズで最も重い判断が、身代金を払うかどうかです。先に結論を言います。原則として身代金は払うべきではない、というのが米国 FBI・JPCERT・各国法執行機関の公式見解で、当センターもこの立場です。
理由は3つ。払っても復号鍵が来ない・来ても動かない事例が3割を超える。攻撃グループへの資金提供は、次の被害を生む直接の原因になる。OFAC(米国財務省外国資産管理局)の制裁対象グループへの支払いは、米国法違反となり日本企業も罰則対象になる可能性がある。
ただし、現場の現実はもう少し複雑です。事業継続が完全に止まり、復旧に60日以上かかる見込みで、そのまま倒産するリスクがあるケースで、経営判断として身代金交渉に入る組織は存在します。この場合、必ず弁護士と保険会社と専門の交渉代行業者を介して行います。攻撃者と直接やり取りをするのは絶対に避けてください。OSINT で公開されている過去の取引履歴から、攻撃グループごとに「払っても復号が機能しない確率」「交渉で何割減額に応じる傾向か」のデータがあり、専門業者はこれを参照します。
身代金の請求額は、企業規模・暗号化範囲・流出データの機微度で大きく変動します。中小企業向けで500万〜3,000万円、中堅で1〜5億円、上場企業クラスで5〜30億円のレンジが2025年の実態です。Bitcoin か Monero での要求が大半で、72時間以内の支払い期限を切られるパターンが標準的です。
二重恐喝(暗号化+データ流出の脅し)が主流のため、復号鍵を入手しても「データを公開しないでほしければ追加で払え」と二段階の請求が来ます。一度払うと延々と払わされる、というケースが2023年以降に頻発しており、これも「払うべきでない」の理由のひとつです。
## 48〜72時間 ─ 復旧着手と再発防止策の同時進行
身代金を払わない方針が固まったら、復旧フェーズに入ります。重要システムから順に、新規環境への再構築です。
復旧の優先度は3段階で決めます。第1優先は売上に直結するシステム(EC、受発注、決済、顧客対応)。第2優先は社内業務システム(会計、給与、勤怠)。第3優先は文書・資料の復元。理由は、第3優先は時間をかければ多くがクラウドサービスやメール添付からサルベージできる一方、第1優先は止まっている時間そのものがダメージだからです。
復旧環境は、感染前のバックアップを完全に隔離されたネットワークで構築します。感染元の特定(フィッシングメール・脆弱なVPN機器・公開RDP・侵入された無線アクセスポイント)が完了するまでは、復旧環境を本番ネットワークへ戻さない。当センターが入った案件では、復旧後3日で再感染した事例が過去に3件ありました。原因は侵入経路の駆除が不完全だったことで、攻撃者はバックドアを複数仕込んでいる前提で動くべきです。
再発防止策は復旧と並行して走らせます。EDR(Endpoint Detection & Response、CrowdStrike Falcon・SentinelOne・Microsoft Defender for Endpoint)の導入、特権アクセスの最小化、MFA の全社必須化、バックアップのオフライン保管とイミュータブル化、フィッシング訓練の定例化、SIEM ログの90日以上保管 ─ 全部を一度にやるのは無理でも、最初の60日で6〜7割の実装まで持っていくのが現実的なゴールです。
## 取引先・顧客への開示タイミング
見落とされがちですが、取引先と顧客への開示が遅れると、信用毀損のリスクが跳ね上がります。被害確認から48〜72時間以内に、被害事実の概要・自社の対応状況・取引先への影響有無を、書面(メールではなく PDF レターを推奨)で通知するのが定石です。
上場企業の場合は、適時開示の要否を顧問弁護士と監査法人に即日相談します。「業績に重大な影響を与える事象」に該当すれば、TDnet 経由での開示が必要です。被害の事実を隠していたことが後で判明した方が、企業価値の毀損ははるかに大きくなる、というのが過去事例から見える教訓です。
## 平時に準備しておくべき最低5項目
最後に、被害に遭う前から準備しておくべき5項目を挙げます。
1点目、インシデント対応プレイブックの文書化。連絡先一覧(携帯番号・私用メール)と判断フローを、紙とオフライン保管された PDF の両方で持つ。社内ネットワークが侵害された前提で、ネットワーク外から取り出せる形にする。
2点目、バックアップのオフライン化とリストア試験。月1回、実データでのリストアを試して、復元時間と整合性を実測する。これは多くの組織で形骸化しており、いざという時に動かない事例が後を絶ちません。
3点目、サイバー保険の補償範囲確認。身代金支払いカバー、フォレンジック費用、業務中断損失、第三者賠償、各補償の上限金額を、保険会社の担当者と年1回見直す。安く加入したつもりが、いざ請求すると補償外、というのが多い領域です。
4点目、EDR とログ集約基盤の導入。最低でも EDR を全PCに入れて、ログを90日以上保管する。CrowdStrike Falcon Go や Microsoft Defender for Business なら、中小企業でも月額数百円から数千円で導入できます。
5点目、有事の意思決定者と権限の明確化。「身代金を払うか払わないか」を誰が決めるのか、社長か、取締役会か、サイバー保険会社の助言に従うのか ─ 平時に決めておかないと、被害発生時に経営層が機能停止します。
ランサムウェア被害の初動対応、フォレンジック、復旧設計、再発防止策の構築まで、当センターでは24時間以内の初動方針提示が可能です。発見直後の問い合わせを最も優先する体制を組んでおり、躊躇する時間がそのまま被害拡大に直結する領域なので、迷ったら連絡してください。