攻撃を受けたとき最初の72時間でやるべきこと ― インシデント初動対応ガイド 2026年版|会社のデータを守る ― 社員が知るべき情報管理の基本 第4回
サイバーレジリエンス
2026年5月
4回シリーズ 最終回
会社のデータを守る ― 社員が知るべき情報管理の基本
- 第1回 5/7 継続的モニタリングと運用 ― 攻撃を「検知・遮断・回復」するゼロトラスト運用術 配信済
- 第2回 5/13 テレワーク・クラウド時代の安全な働き方 ― リモートアクセスとデータ管理の基本 配信済
- 第3回 5/20 サプライチェーン攻撃から組織を守る ― 取引先・委託先リスク管理の実践 配信済
- 第4回 5/27 インシデント初動対応 ― 攻撃を受けたとき最初の72時間でやるべきこと 今回
「ランサムウェアに感染した――でも、何から手を付ければいい?」
被害を受けた組織の担当者が最初に直面するのは、まさにこのパニックです。初動の遅れや誤った判断が、被害を何倍にも拡大させます。一方、最初の72時間に正しく動けた組織は、復旧コストと業務停止期間を大幅に抑えられることがデータで示されています。
このガイドでは、JPCERT/CCが示す3つの基本方針と、フェーズごとに分けた72時間の具体的な行動計画を、2026年最新データとともに解説します。
📊 脅威の実態 ― 数字で見るランサムウェアの深刻さ
45.8%
ランサムウェア感染率
約2社に1社が感染経験
JIPDEC
企業IT利活用動向調査2026
JIPDEC
企業IT利活用動向調査2026
32日
平均復旧期間
中央値は21日
BTNコンサルティング
150事例分析(2022〜2026年)
BTNコンサルティング
150事例分析(2022〜2026年)
1.2億円
復旧コスト中央値(中堅企業)
身代金以外の調査・復旧費用
BTNコンサルティング
150事例分析(2022〜2026年)
BTNコンサルティング
150事例分析(2022〜2026年)
72分
最速データ流出時間
上位25%の侵害で達成
Palo Alto Networks
Unit 42 IR Report 2026
Palo Alto Networks
Unit 42 IR Report 2026
⚠️ 注意:身代金支払いは解決策にならない
- 身代金支払い率は43.8%(JIPDEC 2026)。前年(57.0%)より低下しており、支払わない判断が増えています。
- Unit 42の調査では、攻撃者がバックアップを破壊したケースが26%あり、支払っても復旧できないリスクがあります。
- 一方、41%の被害組織はバックアップから身代金を払わずに復旧(Unit 42 IR Report 2026)。
- 身代金の要求額中央値は150万ドル、実際の支払額中央値は50万ドルまで交渉されています(Unit 42 2026)。
出典:JIPDEC「企業IT利活用動向調査2026」/Palo Alto Networks「Unit 42 IR Report 2026」
🗾 2026年 直近の国内被害事例
2026年4月
コタ株式会社 ― ランサムウェアによる決算開示遅延(上場企業)
ランサムウェア攻撃を受け、2026年3月期第3四半期決算の開示が50日以上遅延。上場企業が財務報告義務を果たせない重大事態に。被害の影響範囲の特定と業務システム復旧に長期間を要した典型事例。
出典:rocket-boys.co.jp「2026年4月 ランサムウェア被害事例まとめ」(2026年4月)
出典:rocket-boys.co.jp「2026年4月 ランサムウェア被害事例まとめ」(2026年4月)
2026年4月
AGSコンサルティング ― 再委託先経由の不正アクセス・情報漏えいの可能性
再委託先企業へのサイバー攻撃を起点に、個人情報が漏えいした可能性。サプライチェーン攻撃とインシデント対応が連動した複合事例。
出典:rocket-boys.co.jp「2026年4月 ランサムウェア被害事例まとめ」(2026年4月)
出典:rocket-boys.co.jp「2026年4月 ランサムウェア被害事例まとめ」(2026年4月)
2025年10月
アスクル株式会社 ― ランサムウェア感染・業務停止
オフィス用品通販大手がランサムウェア攻撃を受け、一時的に業務システムが停止。国内大手企業でも初動対応の重要性が改めて浮き彫りになった事例。
出典:cybersecurity-jp.com「2025年国内ランサムウェア被害レポート」(2025年)
出典:cybersecurity-jp.com「2025年国内ランサムウェア被害レポート」(2025年)
📋 国内被害統計(2025年)
2025年の国内ランサムウェア報告件数は226件(うち中小企業143件)で、前年比57.5%増(cybersecurity-jp.com調査)。Trend Micro集計では2025年1〜11月で501件(約1日1.5件)に上ります。IPA「情報セキュリティ10大脅威2026」ではランサムウェア攻撃が11年連続1位。
2025年の国内ランサムウェア報告件数は226件(うち中小企業143件)で、前年比57.5%増(cybersecurity-jp.com調査)。Trend Micro集計では2025年1〜11月で501件(約1日1.5件)に上ります。IPA「情報セキュリティ10大脅威2026」ではランサムウェア攻撃が11年連続1位。
🛡️ JPCERT/CC が示す3つの基本方針
JPCERT/CCは、ランサムウェア感染が確認された場合の初動として3つの方針を提示しています。この3方針を頭に入れておくことが、パニック状態での正しい判断につながります。
🔒 JPCERT/CC 侵入型ランサムウェア攻撃への初動3方針
-
方針A:被害範囲の把握と最小化
感染端末の特定と、感染が広がっていないかの確認を最優先に行う。感染範囲を確定する前にシステムを復旧しようとすると、感染を再拡大させるリスクがある。 -
方針B:侵入経路の遮断
VPN・RDP・フィッシングメール等の侵入経路を特定し、同様の手口による再侵入を防ぐ。経路を塞がずに復旧しても、再感染が起こる可能性がある。 -
方針C:身代金を払わずバックアップから復旧
身代金の支払いは、復号が保証されない・二重要求のリスク・犯罪助長の問題があるため推奨されない。健全なバックアップからの復旧を原則とする。
出典:JPCERT/CC「ランサムウェア対策FAQ」
https://www.jpcert.or.jp/magazine/security/ransom-faq.html
⏱️ 発覚後72時間の行動計画
感染発覚から72時間を4つのフェーズに分けて動きます。フェーズごとに優先すべきアクションを明確にすることで、パニック状態でも判断できます。
0
Phase 0|0〜4時間:発覚・初期隔離
感染確認 → 即時物理切断 → チーム招集
- 感染が疑われる端末のLANケーブルを抜き、Wi-Fiをオフにする(シャットダウンは後回し)
- 感染端末のアカウント・特権IDのパスワードを即時変更または一時停止
- CSIRTまたはIT担当・経営者へ即時報告し、対応チームを招集
- 感染の状況・発見した経緯・時刻をメモとして記録(後の調査に必須)
1
Phase 1|4〜24時間:被害範囲の特定
感染範囲の確認 → バックアップ健全性チェック → 脅威アクター判定
- 暗号化されたファイルの拡張子や身代金メモから使用されたランサムウェアの種類を特定
- No More Ransomのツールで復号鍵が公開されていないか確認
(https://www.nomoreransom.org/ja/decryption-tools.html) - バックアップの最終取得日時・健全性を確認(攻撃者がバックアップを破壊したケース26%:Unit 42)
- 感染端末以外への横断移動(ラテラルムーブメント)の有無をログで確認
- 外部の専門業者(フォレンジック会社)への調査依頼を検討
2
Phase 2|24〜48時間:報告・通知義務の履行
警察・個情委・業界ISAC・保険会社への連絡
- 警察庁サイバー犯罪相談窓口に相談・被害届の提出を検討
- 個人情報が流出した可能性がある場合は個人情報保護委員会への速報(3〜5日以内)、確定報告は30日以内が義務
- JPCERT/CCのインシデント報告フォームへの報告
- サイバー保険加入企業は保険会社へ速やかに連絡(対応期間の証拠保全が必要)
- 取引先・業界ISAC・主要顧客への情報提供判断(影響範囲による)
3
Phase 3|48〜72時間:復旧方針と対外対応
復旧 or 交渉の判断 → 公表判断 → 取引先通知
- バックアップから復旧できる場合は、侵入経路を完全に塞いでから復旧開始(経路未遮断での復旧は再感染リスク)
- バックアップが使えない場合は、専門業者の助言のもとで身代金交渉の要否を判断
- 事業継続への影響・情報漏えいの有無をもとにプレスリリース・公表の要否を判断
- 取引先・顧客への影響通知と、証拠保全のための調査ログ保管
- 再発防止策の策定を開始(侵入経路の根本対処)
※上記フェーズはGXO.co.jp「インシデント対応マニュアル」およびJPCERT/CC推奨手順をもとに構成。各組織の規模・体制に合わせて適宜調整してください。
✅ やること・やってはいけないこと
✅ 感染直後にやること
- 端末をネットワークから物理切断する
- 証拠保全のためログ・画面を記録する
- 経営者・IT担当・法務に即時報告する
- バックアップの健全性を確認する
- 専門の対応業者・JPCERT/CCに連絡する
- 個情委への速報義務(個人情報漏えい時)を確認する
❌ やってはいけないこと
- 感染端末をすぐに電源オフにする(ログ消失・フォレンジック不可に)
- 感染端末をそのままネットワークに接続し続ける
- 原因不明のまま闇雲にシステムを再起動する
- 身代金をすぐに払おうとする(復旧の保証なし)
- 社内SNSやメールで詳細情報を拡散する(情報管理上のリスク)
- 証拠となるログ・ファイルを削除・上書きする
📋 今日確認すべき事前対策チェックリスト(12項目)
インシデントが発生してからでは遅い対策があります。以下の12項目を今日中に確認してください。
バックアップ体制
- バックアップを定期的に取得し、オフライン(または別環境)に保管している
- バックアップから実際に復旧できることを年1回以上テストしている
- 攻撃者がバックアップにアクセスできないよう、ネットワーク分離している
- インシデント対応計画(IRP)が文書化されており、担当者が内容を把握している
- 「誰が何をするか」の連絡フローと役割分担が明確になっている
- 外部専門業者(フォレンジック・IR会社)の連絡先を事前に確保している
- 個人情報保護委員会への報告フロー(速報3〜5日以内、確定30日以内)を把握している
- 警察庁サイバー犯罪相談窓口の連絡先を把握している
- サイバー保険の加入状況と補償範囲を確認している
- VPN・リモートアクセスに多要素認証(MFA)を導入している
- 重要システムへのアクセスログを取得・保管している(最低90日間)
- 経営者がサイバーリスクを事業リスクとして認識し、対策予算を確保している
📞 インシデント発生時の公的相談先
被害が発生したら、自組織だけで抱え込まず、公的機関や専門家に早期に相談することが重要です。以下の窓口を事前にブックマークしておいてください。
JPCERT/CC ― インシデント報告・相談
国内の重要インフラを含む組織へのサイバー攻撃に対応する専門機関。インシデント報告フォームから24時間受付。
https://www.jpcert.or.jp/form/#report
IPA 情報セキュリティ安心相談窓口
中小企業・個人向けの無料相談窓口。ウイルス感染・不正アクセス等の相談を受け付け。届出窓口とは別に設置。
https://www.ipa.go.jp/security/anshin/index.html
IPA 情報セキュリティ届出窓口
ウイルス感染・不正アクセス等の被害を届け出る公的窓口。届出情報は分析され、注意喚起として広く公開される。
https://www.ipa.go.jp/security/outline/todokede-j.html
警察庁 サイバー犯罪相談窓口
都道府県警察のサイバー犯罪相談窓口。被害届の提出や捜査の開始。ランサムウェア被害は刑事事件として扱われる場合がある。
https://www.npa.go.jp/bureau/cyber/soudan.html
JNSA ― インシデント緊急対応企業一覧
日本ネットワークセキュリティ協会が公開する、インシデント緊急対応を行う専門企業の一覧。初動から調査まで対応できる業者を探せる。
https://www.jnsa.org/emergency_response/
JC3 ― ランサムウェア対策情報
一般財団法人日本サイバー犯罪対策センターによる最新のランサムウェア脅威情報・対策情報の提供。
https://www.jc3.or.jp/threats/topics/article-375.html
No More Ransom ― 無料復号ツール
Europol等が運営する国際連携サイト。ランサムウェアの種類によっては無料で復号できるツールを提供。まず確認すべき窓口。
https://www.nomoreransom.org/ja/decryption-tools.html
📌 今回のポイントまとめ
✅ 72時間初動対応 7つのポイント
- 発見直後に物理切断:シャットダウンよりも先にLANケーブルを抜く
- 記録を残す:発見時刻・状況・画面をメモ・写真に残す(フォレンジックの証拠)
- JPCERT/CC 3方針を守る:被害範囲把握→侵入経路遮断→バックアップ復旧
- 身代金は払わない:復旧の保証なし、41%はバックアップから復旧(Unit 42)
- 報告義務を忘れない:個情委への速報(3〜5日以内)、確定報告(30日以内)
- 専門家を早期投入:自社だけで抱え込まず、JPCERT/CC・JNSA・警察に相談
- 今日から準備する:12項目チェックリストをもとにIRPとバックアップ体制を整備
📚 参考文献
- ① JIPDEC「企業IT利活用動向調査2026」(感染率45.8%、支払い率43.8%)
https://www.jipdec.or.jp/library/it-resarch/it-resarch2026-03.html - ② Palo Alto Networks「Unit 42 Incident Response Report 2026」(身代金要求中央値150万ドル、最速流出72分、バックアップ復旧41%)
https://www.paloaltonetworks.com/resources/research/unit-42-incident-response-report - ③ BTNコンサルティング「国内ランサムウェア被害150事例分析」(平均復旧32日・中央値21日、復旧コスト中央値1.2億円)
https://www.btncon.com/blog/ransomware-incidents-150-cases-2026 - ④ IPA「情報セキュリティ10大脅威 2026」(組織編1位:ランサムウェア 11年連続)
https://www.ipa.go.jp/security/10threats/10threats2026.html - ⑤ JPCERT/CC「ランサムウェア対策FAQ」(JPCERT/CC 3方針・相談先)
https://www.jpcert.or.jp/magazine/security/ransom-faq.html - ⑥ cybersecurity-jp.com「2025年国内ランサムウェア被害レポート」(2025年226件、前年比57.5%増)
https://cybersecurity-jp.com/contents/data-security/1612/ - ⑦ rocket-boys.co.jp「2026年4月 ランサムウェア被害事例まとめ」(コタ・AGS事例)
https://rocket-boys.co.jp/security-measures-lab/2026-04-ransomware-cases-summary/ - ⑧ No More Ransom 無料復号ツール(Europol運営)
https://www.nomoreransom.org/ja/decryption-tools.html - ⑨ JNSA 緊急対応企業一覧
https://www.jnsa.org/emergency_response/ - ⑩ 警察庁 サイバー犯罪相談窓口
https://www.npa.go.jp/bureau/cyber/soudan.html - ⑪ JC3 ランサムウェア対策情報
https://www.jc3.or.jp/threats/topics/article-375.html - ⑫ IPA 情報セキュリティ10大脅威 2026 解説書PDF
https://www.ipa.go.jp/security/10threats/omgdg50000008fi8-att/kaisetsu_2026_soshiki.pdf
※本記事の内容は2026年5月27日時点の情報に基づいています。最新情報は各一次ソースをご確認ください。 ※本記事はAIが作成したものを筆者が監修しています。
投稿者プロフィール
最新の投稿
情報2026年5月27日攻撃を受けたとき最初の72時間でやるべきこと ― インシデント初動対応ガイド 2026年版|会社のデータを守る ― 社員が知るべき情報管理の基本 第4回- 情報2026年5月25日AI「ミュトス(Claude Mythos)」が変えるサイバー脅威の構図― 金融庁も動いた、一般企業が今知るべきこと
- 情報2026年5月20日サプライチェーン攻撃から組織を守る ― 取引先・委託先リスク管理の実践|会社のデータを守る ― 社員が知るべき情報管理の基本 第3回
- 情報2026年5月13日クラウド時代の安全な働き方 ― リモートアクセスとデータ管理の基本|会社のデータを守る ― 社員が知るべき情報管理の基本 第2回
