お問い合わせ
ランサムウェアは、ネットワーク上の端末やファイルを暗号化するマルウェアで、復号キーと引き換えに身代金を要求し、支払わなければ情報をWeb上に公開すると脅迫します。
大企業の事例では、数億円の対策費用が発生し、中小企業では倒産の可能性もあることから、ランサムウェア感染時は適切かつ迅速な初動対応が求められます。
もしランサムウェアに感染した場合は、すぐにフォレンジック調査会社に相談しましょう。デジタルデータフォレンジックでは、初動対応からセキュリティ対策まで徹底的にサポートします。
この記事では、企業に求められる被害報告やランサムウェア感染の対処法を解説します。ぜひ参考にしてください。
\法人様は相談から最短30分でWeb打ち合わせを開催/
目次
ランサムウェアはデータを暗号化して身代金を要求する
ランサムウェアとは、「身代金(Ransom)」と「ソフトウェア(Software)」が組み合わさった造語であり、悪意のあるマルウェアの一種です。
ランサムウェアに感染すると、ファイルやデータが暗号化され、暗号化解除と引き換えに身代金を要求されます。感染後すぐにコンピュータを制御するのではなく、1~2週間ほど潜伏し、ネットワークやメールを介して徐々に感染を広げた後、一気に暗号化を開始します。
近年では多額の金銭を得る目的で、企業を対象に攻撃するケースが増加しています。IPAが公開した情報セキュリティ10大脅威 2025
の「組織」向け脅威としては、ランサム攻撃による被害が1位に選出されています。
>>【専門業者が解説】ランサムウェアとは何か?仕組みと感染経路から攻撃手法などを解説
企業がランサムウェアに感染した場合の対応フロー
企業がランサムウェアに感染した場合、適切な対応を迅速に実施することで被害を最小限に抑えることができます。本記事では、2025年現在の最新のセキュリティ知見に基づいた対応フローを詳しく解説します。
ネットワークの遮断による感染拡大の防止
ランサムウェアはネットワークを通じて、企業の他の端末やサーバーへと急速に拡散する可能性があります。
もしネットワークを遮断せず放置した場合、感染は広がり、社内の全てのデータが暗号化されるリスクがあります。
特に、共有フォルダやクラウドストレージを利用している場合、感染したデータが上書きされてしまい、バックアップデータまでもが使用できなくなることも考えられます。
このような二次被害を防ぐため、感染が疑われる端末はすぐにネットワークから切断する必要があります。
- Wi-Fi接続を無効化し、LANケーブルを抜くことでネットワークを遮断する。
- ネットワーク共有フォルダやクラウドサービスへの同期を停止する。
- サーバーへのアクセスを一時的にブロックし、感染の拡大を防ぐ。
被害にあったデータの保全・感染の確認
ネットワークの遮断が完了したら、次に行うべきは、被害状況の把握と適切な保全です。
ランサムウェア感染時には、データの暗号化被害を特定するだけでなく、適切なフォレンジック調査を実施するための準備を行い、専門家に正しく対応を依頼することが極めて重要です。
企業内で証拠保全を誤って行うと、データが上書きされたり、攻撃の痕跡が消えてしまう可能性があります。
そのため、デジタルフォレンジックの専門家に調査を依頼する際には、事前に準備すべきポイントを押さえておく必要があります。
- ランサムウェアの警告メッセージのスクリーンショット(身代金要求の内容や連絡手段)。
- 暗号化されたファイルの拡張子(例:.locked、.crypt など)。
- 感染が発覚した日時、影響を受けた端末・サーバーのリスト。
- 不審なメールや添付ファイルを開いた従業員がいないか(感染経路の特定に役立つ)。
- 社内ネットワーク上の異常な挙動(急激なデータ転送や不審なログイン履歴)。
これらの情報を記録することで、今後の対応計画を立てるための重要な判断材料となります。
>>【拡張子一覧】流行のランサムウェアの種類や対処法を解説
\法人様は相談から最短30分でWeb打ち合わせを開催/
組織内への報告・専門機関との連携を開始
感染状況を把握したら、次に行うべきは社内外への報告です。ランサムウェアの被害は企業全体に影響を与えるため、迅速に関係者と連携し、統一した対応をとることが重要になります。
特に、ランサムウェアによって顧客や従業員の個人情報が流出した可能性がある場合、個人情報保護法(個人情報の保護に関する法律)に基づき、個人情報保護委員会への報告が必要になる場合があります。
この対応を怠ると、企業の信用失墜や法的責任を問われる可能性があるため、慎重な対応が求められます。
社内への報告
まずは、社内の関係者に感染状況を報告し、対応方針を決定します。
経営層には、以下の情報を整理して迅速に報告します。
経営層への共有事項
- ランサムウェア感染の発生日時と検出された端末
- 影響を受けたシステムやデータの範囲
- 感染経路の推定(フィッシングメール、不正アクセスなど)
- 現在の対応状況と今後の対応計画
- 個人情報流出の可能性と法的対応の必要性
経営層が被害状況を把握することで、適切な予算配分やリソースの投入が可能となり、迅速な復旧を進めることができます。
IT部門やセキュリティ担当者には、より詳細な技術的情報を共有し、具体的な対応を決定します。
IT部門やセキュリティ担当者への共有事項
- 感染が広がるリスクがあるネットワークの範囲
- 影響を受けたシステムやサーバーのリスト
- 既に実施した隔離措置やネットワーク遮断の状況
- バックアップの最新状態と復旧の見込み
IT部門の対応ミスが原因で、証拠データが改変・削除されることを防ぐため、フォレンジック調査の必要性も説明しておきましょう。
ランサムウェア感染の拡大を防ぐため、従業員にも適切な指示を出します。
従業員への共有事項
- 感染した端末には絶対に触れず、業務に使用しない
- 社内ネットワークへ接続する際には、許可があるまで慎重に行動する
- 新たなフィッシングメールに警戒し、不審なメールを開かない
従業員への通知は、社内ポータルや一斉メール、緊急会議などを活用し、迅速に行いましょう。
警察との連携
ランサムウェアはサイバー犯罪の一種であり、企業の内部対応だけでは限界があります。そのため、警察や専門企業と連携し、適切な支援を受けることが重要です。
警察への通報は、被害の拡大防止や将来的な法的措置を講じるうえで有効です。通報の際には、以下の情報を整理して提供できるよう準備しましょう。
警察への共有事項
- 感染が発生した日時と端末の情報
- 脅迫メッセージの内容と身代金の要求方法
- 暗号化されたデータのリスト
- 不審な通信ログやアクセス履歴
- 影響を受けた業務の範囲
警察の「サイバー犯罪相談窓口」に連絡し、被害届を提出することで、攻撃者の特定や捜査支援が受けられる可能性があります。
個人情報保護委員会への報告
ランサムウェアによる情報漏えいの可能性がある場合、個人情報保護法に基づき、個人情報保護委員会への報告が義務付けられるケースがあります。
報告は、速報(概ね3~5日以内)と確報(原則30日以内、不正目的の場合は60日以内)の2段階で行う必要があります。
報告の必要性があるかどうかは、以下の点を基準に判断します。
個人情報保護委員会への報告が義務付けられるケース
- 要配慮個人情報の漏えい等
- 財産的被害のおそれがある漏えい等
- 不正の目的によるおそれがある漏えい等
- 1,000人を超える個人データの漏えい等
報告が必要な場合、速やかに個人情報保護委員会の個人データ漏えい等報告受付窓口
に連絡し、指示を仰ぎます。
フォレンジック調査会社との連携
ランサムウェアの被害を受けた際には、フォレンジック調査会社の支援を受けることで、より迅速かつ適切な対応が可能になります。
専門企業に依頼する際には、以下の点を確認しましょう。
- フォレンジック調査を実施し、感染経路や攻撃手法を特定できるか
- 暗号化されたデータの復号ツールの提供や復旧サポートが可能か
- 将来的なセキュリティ対策のアドバイスを提供できるか
\法人様は相談から最短30分でWeb打ち合わせを開催/
フォレンジック調査による感染範囲の確認と情報漏洩の確認
ランサムウェアの影響範囲を正しく調査しなければ、復旧計画を適切に立てることはできません。
そのため、ランサムウェアの感染がどこまで広がっているのか、情報漏洩の可能性があるのかを徹底的に調査する必要があります。
感染範囲を把握できていないまま復旧作業を開始すると、攻撃者が設置したバックドア(隠し通信経路)を見逃し、再び被害を受ける可能性が高まります。
また、企業の機密情報がすでに外部に流出していた場合、その情報が不正利用される危険性もあるため、早急な確認が必要です。
フォレンジック技術を活用したデータの保全
ランサムウェアの感染範囲と情報漏洩の可能性を特定したら、適切なデータの保全を行い、今後の法的対応や再発防止策の策定に活用します。
- 完全(物理)複製またはイメージコピーを行う。
- 書き込み防止機能を持つ機器を使用する
- ハッシュ値の算出等により、複製元と複製先の同一性を検証する。
- 作業ログや監査証跡情報を記録・出力する。
法的に有効なデータにするためには、適切な保全の手順が必要になります。
主なデータ抽出範囲
- 感染端末のディスクイメージ取得
- メモリダンプの取得
- ネットワークトラフィックログの保存
- システムイベントログの取得
具体的には上記のような項目からデータを抽出します。
感染範囲の特定
まず、ランサムウェアが影響を与えた範囲を正確に把握することが重要です。感染が限定的な場合と広範囲に及ぶ場合とでは、対応方針が大きく異なります。
具体的な調査ポイントは以下の通りです。
感染範囲の主な調査項目
- 感染した端末の特定
どのPCやサーバーがランサムウェアに感染したのかを特定し、影響を受けた機器を一覧化します。 - ネットワークの影響範囲を分析
感染した端末がどのネットワークに接続されていたのかを確認し、同じネットワーク上の他の端末に影響が及んでいないかを調査します。 - サーバーやストレージの安全性確認
重要なデータが保存されているサーバーやクラウドストレージがランサムウェアの影響を受けていないかを確認します。特に、共有フォルダが暗号化されていないかを重点的に調査します。 - ランサムウェアの動作ログの解析
感染端末のシステムログやセキュリティログを確認し、ランサムウェアがどのように拡散したのかを分析します。
情報漏洩の可能性の確認
ランサムウェアの中には、単にデータを暗号化するだけでなく、攻撃者のサーバーへ機密情報を送信するものがあります。この場合、企業の機密情報や顧客データが外部に流出している可能性があるため、早急に確認しなければなりません。
情報漏洩が発生しているかどうかを確認するために、以下の調査を実施します。
情報漏洩の主な調査項目
- 不審な通信ログの解析
ランサムウェア感染後に、外部のIPアドレスとの通信履歴があるかを調査します。攻撃者のC2サーバー(コマンド&コントロールサーバー)との通信が確認された場合、データが外部へ送信された可能性が高くなります。 - データ転送履歴のチェック
企業のネットワーク内で異常なデータ転送が発生していないかを確認します。特に、大量のデータが短時間で送信されている場合は注意が必要です。 - 被害端末のファイルアクセスログの確認
感染した端末が、どのデータにアクセスしていたのかを調査し、機密情報の流出リスクを評価します。 - ダークウェブ上での情報流出確認
攻撃者が盗み出したデータをダークウェブ上で販売していないかを専門ツールで確認し、企業の情報が流出していないかを調査します。
調査結果に基づく対応方針の策定
感染範囲と情報漏洩のリスクが明らかになったら、それをもとに対応方針を策定します。
策定する対策方針の例
- 復旧可能なデータと復号の可能性の判断
バックアップがある場合、復旧が可能かを確認し、優先的に復旧作業を進めます。暗号化されたデータについては、復号ツールが利用できるかを専門家と協議します。 - 追加感染の防止策を実施
影響を受けた端末やネットワークの隔離を徹底し、さらなる被害の拡大を防ぎます。 - 情報漏洩が確認された場合の対処
顧客や取引先への通知が必要な場合、適切なタイミングで情報を公開し、信頼回復のための対応を行います。また、個人情報保護委員会への報告が必要かどうかを判断し、法的対応を検討します。
フォレンジック調査を通じて感染範囲と情報漏洩の可能性を正確に特定することで、適切な復旧計画を立て、再発防止策を策定することが可能になります。特に、ランサムウェアは単なるデータ暗号化にとどまらず、情報漏洩を伴うケースも増えているため、感染後の調査を慎重に行うことが重要です。
また、証拠保全を適切に実施することで、将来的な法的措置や攻撃の分析に役立てることができます。ランサムウェア感染時には、フォレンジック調査の専門家と連携し、的確な対応を進めることが企業のリスク管理において不可欠です。
組織のセキュリティ強化と再発防止策の実施
ランサムウェアに感染した企業は、同じ攻撃を受けるリスクが高いため、徹底したセキュリティ対策を実施することが不可欠です。
以下の対策を講じることで、再発を防ぐことができます。
組織のセキュリティ対策例
- 全従業員に対して、ランサムウェア対策のセキュリティ研修を実施する。
- 多層防御システム(EDR、XDRなど)を導入し、異常検知を強化する。
ランサムウェアに感染したらフォレンジック調査会社に相談
適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
