業務端末の挙動がおかしい、EDRやウイルス対策ソフトで検知が出たといった状況は、マルウェア感染の可能性があります。社内のネットワークは端末同士がつながっているため、1台の問題に見えても短時間で他端末やサーバへ波及することがあります。
一方で、復旧を急いで初期化や強制シャットダウン、ログ削除をしてしまうと、痕跡が消える恐れがあり、侵入経路や影響範囲を正しく判断できなくなることがあります。
そこで本記事では、会社でマルウェア感染が疑われた際の調査対応として、初動対応から、社内での基本調査、調査会社へ依頼する判断軸と依頼の流れまでを具体的に解説します。
目次
会社で行うマルウェア感染調査の前に確認すべきサイン
単なる不具合と見分けにくい場面もあるため、複数のサインをあわせて判断することが大切です。
- 端末の動作が急に重くなり、ファンが回り続ける
- 見覚えのないプロセスや常駐アプリが増えた
- ログイン失敗や権限変更など、認証まわりのログが増えた
- 不審な外部通信(未知ドメイン・海外IP・夜間の定期通信)が増えた
- ファイルが勝手に暗号化された、拡張子が変わった、共有が開けない
- 取引先から「貴社になりすましたメールが届いた」と連絡があった
判断が難しいときは「まず隔離して記録する」方針が安全です
マルウェアは症状が似ていても原因が異なることがあり、見た目だけで断定しないほうが安全です。焦って駆除や初期化を先に進めると、後から事実確認ができなくなる場合があります。
まずは端末とネットワークを適切に切り分け、時刻・端末名・ユーザー・アラート内容を記録しておくと、次の判断が早くなります。
会社のマルウェア感染調査における初動対応
最初の1時間は「被害拡大の抑止」と「証拠となり得るデータを残す」ことが最優先です。復旧作業はその後に回したほうが安全です。
端末隔離とネットワーク遮断
感染が疑われる端末は、他端末への拡散や外部通信を止めるために隔離します。LANケーブルを抜く、Wi-Fiをオフにする、スイッチポートを閉じるなど、業務影響とリスクを天秤にかけて最小限の遮断を行います。サーバや共有が絡む場合は、いきなり全停止せず「どこまで止めるか」を決めてから実施すると混乱が減ります。
- 感染疑い端末とユーザーを特定し、ネットワークから論理的に隔離します。
- 遮断の方法(LAN抜線、Wi-Fiオフ、VLAN隔離など)と実施時刻を記録します。
- 業務影響が大きい場合は、対象範囲を段階的に広げる方針で進めます。
電源を切らず現状を保持する
強制シャットダウン、初期化、不要な再起動は避けます。メモリ上の痕跡や一時ファイル、通信状況など、時間経過や操作で変化しやすい情報が失われる場合があるためです。画面の警告、暗号化メモ、エラー内容が出ている場合は、まずスクリーンショットで残します。
- 可能なら画面の状態を撮影またはスクリーンショットで保存します(時刻も残します)。
- 強制終了・初期化・アンインストールは行わず、現状のまま隔離状態を維持します。
- やむを得ず再起動が必要な場合は、理由と実施者、実施時刻を必ず記録します。
社内連絡と意思決定の一本化
情シス、CSIRT、上長、必要に応じて法務・総務へ共有し、判断を一元化します。現場が独自対応を始めると、復旧の早さよりも混乱と取りこぼしが増えやすくなります。窓口と指揮系統、連絡手段(チャット・電話・メール)を決め、情報が散らばらないようにします。
- 一次連絡先(責任者・技術担当・広報/法務)を決めて周知します。
- 共有すべき情報(時刻、端末名、ユーザー、症状、実施した操作)をテンプレ化します。
- 対外連絡の可否(取引先・顧客・ベンダー)を勝手に行わないルールにします。
初動記録を残す
「いつ・どの端末で・誰が・何を見たか」「すでに行った操作(遮断、スキャン等)」を残します。後の調査では時系列が重要になるため、短いメモでも価値があります。スクリーンショット、アラートメール、EDRの通知などは原本のまま保管します。
- 発見時刻、発見者、端末情報、症状を1枚のメモにまとめます。
- 実施した操作を時系列で追記します(誰が、何を、なぜ)。
- スクリーンショットや通知メールは原本を別媒体に保存します。
初動の目的は「直すこと」ではなく、「被害を広げないこと」と「後から検証できる形で残すこと」です。復旧を急ぐほど、侵入経路や横展開の有無を見誤り、再感染を招くことがあります。判断に迷う場合は、早い段階で専門家を入れて、隔離・保全・範囲特定の順序を崩さずに進めると安全です。
会社で行うマルウェア感染調査と証拠保全の基本
外部フォレンジックに回す前提でも、社内で「上書きしない形」で集めておくと、調査の着手が早くなります。取得が難しい場合は、無理に操作せず“保全できる状態”を作ることを優先します。
ログと環境情報の確保
後から確認できるよう、ログは“取得元”と“取得時刻”が分かる形で保存します。対象は、プロキシ・ファイアウォール・EDR・ウイルス対策ソフトの検知ログ、Windowsイベントログ、認証ログ、VPNログ、メールログなどです。ログは保管期限(ローテーション)で消えることがあるため、必要に応じて保管延長や退避を検討します。
- 対象ログ(EDR/AV、FW/Proxy、AD/認証、VPN、メール)をリスト化します。
- エクスポートできる形式で別媒体へ退避し、取得日時と担当者を記録します。
- ローテーションが近いログは、保管延長や退避を優先します。
端末イメージ・メモリの保全
ディスクのビット単位コピー(イメージ)やメモリダンプは、後から詳細解析を行うための土台になります。ただし、取得手順やツールの選定を誤るとデータが変化する場合があるため、社内で確実に実施できない場合は無理に行わず、隔離状態で保全できるようにします。
- 対象端末の利用を停止し、隔離状態のまま保全作業の可否を判断します。
- 保全する場合は、手順・担当・取得媒体を決めて記録しながら実施します。
- 原本は触らず、解析はコピー側で行う方針にします。
影響範囲と重要度のラフ評価
「何台に影響がありそうか」「サーバやクラウドへ波及していないか」「基幹業務や個人情報・機密情報が関係するか」を整理します。ここでの目的は“暫定の優先順位”を決めることです。正確な確定は、保全と解析の後に行います。
- 影響端末・関連アカウント・関与システムを棚卸しします。
- 重要資産(個人情報、財務、基幹)への接点を洗い出します。
- 暫定の対応優先順位(止める/隔離する/監視する)を決めます。
マルウェアは、感染端末の駆除だけで終わらないことがあります。侵入経路が残っていれば再侵入される可能性があり、横展開の有無が未確定だと復旧の判断を誤りやすくなります。ログや端末の状態を保ったまま、客観的に範囲を確定する動きが重要です。
会社のマルウェア感染調査を外部に依頼すべき判断基準
社内の体制やインシデントの深刻度によって、外部調査へ切り替えるべきタイミングは変わります。迷う場合は「説明責任が発生するか」「侵害の疑いが強いか」を起点に考えると整理しやすいです。
ランサムウェアや情報漏えいが疑われる
身代金要求、暗号化、重要サーバ停止、大量の外部送信などが疑われる場合は、被害が拡大しやすく判断も難しくなります。封じ込めと並行して、侵入経路と影響範囲を早期に確定する必要があります。
法的対応・行政対応・取引先説明が想定される
顧客情報の関与、監督官庁への報告、取引先への説明が必要になりそうな場合は、手順の妥当性と第三者性が重要になります。社内だけの調査だと、説明の前提となる根拠を揃えるのが難しいケースがあります。
社内に解析スキルやマンパワーが不足している
EDRログ解析、タイムライン分析、メモリ解析、横展開調査などが必要になると、経験の差が結果に直結します。対応が長期化すると業務への負担も増えるため、早期に外部支援へ切り替える判断が有効です。
「感染端末を見つけた」ことと、「会社として安全に復旧できる」ことは別問題です。被害の全体像が曖昧なまま復旧を進めると、再発や対外説明のやり直しにつながることがあります。社内での判断が難しい場合は、調査範囲と優先順位を切り分けたうえで、外部の専門家を入れると整理が進みます。
会社のマルウェア感染調査を依頼する際の流れ
依頼時に情報が整理されているほど、初動が早くなり、見積もりの精度も上がります。社内の意思決定と現場の動きが揃うように、最小限の準備をしておくとスムーズです。
事前整理(症状・時系列・既対応)
感染の疑いが出た日時、対象端末、症状、検知元(EDR/AV/通報)、すでに行った操作(遮断、スキャン、アカウント停止)をまとめます。スクリーンショットや通知メール、アラートの原本も一緒に揃えるとよいです。
NDA・調査範囲・費用のすり合わせ
機密保持契約(NDA)の締結、対象端末・期間・目的(原因特定、漏えい有無、再発防止)を確認します。調査対象が増えると費用と期間に影響するため、優先順位と調査ゴールを合わせておくことが重要です。
保全・解析・報告書提出
保全(イメージ取得・ログ確保)を行い、解析で侵入経路・活動内容・影響範囲を特定します。必要に応じて第三者性のある報告書が作成され、社内外説明や再発防止に活用できます。
マルウェア感染の調査は「感染しているか」だけでなく、「いつ侵入したか」「どこまで広がったか」「外部送信はあるか」を事実で固めることが重要です。目的が整理できていれば、調査範囲と優先順位が決まり、復旧の判断も早くなります。
詳しく調べる際はフォレンジック調査会社に相談を
原因や影響範囲を事実ベースで確定するには、端末・サーバ・クラウド・各種ログを横断して確認する必要があります。復旧作業を先に進めるほど、後から検証できる情報が減ってしまう場合があるため、調査と復旧の順序を崩さないことが重要です。
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
会社のマルウェア感染調査で整備すべき社内マニュアル
インシデント対応は、担当者の経験差で品質がぶれやすいため、最低限の“迷わない型”を持っておくことが有効です。マニュアルは詳細手順よりも、判断と連絡の流れが分かる形にすると運用しやすくなります。
- 検知・通報:誰が、どこへ、どの手段で報告するか
- 初動(0〜60分):隔離、連絡、記録、現状保持のチェック
- 技術調査:ログの退避、アラート原本の保管、保管期限の管理
- 外部依頼:依頼判断の基準、提供情報テンプレ、NDA手順
- 復旧と再発防止:復旧条件、段階復旧、教育・訓練と改善点の反映
マルウェア感染調査を進めるうえで、専門業者の支援が有効な場面があります
社内マニュアルを整備していても、実際のインシデントでは例外が発生しやすく、判断に迷うことがあります。特に、感染範囲が読めない状況や、対外説明が視野に入る状況では、客観的に事実を固める支援が有効です。社内の負荷を増やさずに進めるためにも、必要な場面で外部支援を入れる選択肢をマニュアルに組み込むと運用しやすくなります。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
