「うちのPCが全部ロックされた」「顧客情報が流出したかもしれない」——こんな連絡が突然来たとき、あなたは何をすべきか即答できるだろうか。
警察庁の統計によると、2024年の中小企業ランサムウェア被害は 前年比37%増 。被害企業の約49%が復旧に1ヶ月以上、50%が1,000万円以上の復旧費用を要している。
この記事では「事前対策」ではなく 「攻撃された後にどうするか」 にフォーカスする。ランサムウェア・情報漏洩・DDoS/不正アクセスの3つのインシデント別に、IT専任者がいない中小企業でも実行できる具体的な手順をまとめた。
中小企業のサイバー被害は他人事ではない
「大企業しか狙われない」は完全な誤解だ。
Verizon DBIR 2025によると、中小企業の侵害のうち 88%にランサムウェアが含まれている 。全体平均の39%と比べて2倍以上だ。理由は単純で、中小企業はセキュリティ投資が少なく、攻撃者にとって「簡単な標的」だからだ。
さらに経済産業省の2025年2月の発表では、中小企業へのサイバー攻撃が 取引先にも影響を及ぼしたケースは約7割 に上る。あなたの会社が攻撃されれば、取引先との信頼関係も崩壊する。
侵入経路のトップ2はこうだ(Sophos 2025年調査):
| 順位 | 侵入経路 | 割合 |
|---|---|---|
| 1位 | 脆弱性の悪用(未パッチのソフトウェア) | 32% |
| 2位 | 認証情報の侵害(漏洩パスワード・使い回し) | 23% |
2位の「認証情報の侵害」は、パスワードの使い回しや漏洩済みパスワードの放置が原因だ。NordPass のData Breach Scannerで自社ドメインの漏洩チェックをしておくだけでも、このリスクは大幅に下がる。
攻撃を受けたら最初の1時間でやること
インシデント発生直後の行動がその後の被害規模を決める。IPAの手引きとNIST SP 800-61を参考に、IT専任者がいなくても実行できる初動対応を整理した。
1. ネットワークから切り離す
感染端末のLANケーブルを抜く。Wi-Fiをオフにする。 電源は切らない 。メモリ上の証拠が消えるからだ。
# Windowsの場合、管理者権限のコマンドプロンプトで
netsh interface set interface "Wi-Fi" disable
netsh interface set interface "イーサネット" disable
# Mac/Linuxの場合
sudo ifconfig en0 down # Wi-Fi
sudo ifconfig en1 down # 有線LAN
2. 証拠を保全する
画面のスクリーンショットを撮る。ランサムウェアの脅迫画面、エラーメッセージ、不審なメールなど、見えるものは全て記録する。
スマホで画面を撮影するだけでも証拠になる。以下を記録しておく:
- 日時(発見時刻・発覚の経緯)
- 影響範囲(どの端末・どのシステム)
- 操作履歴(発見前後に何をしたか)
3. 連絡先に報告する
| 連絡先 | 目的 | 連絡先情報 |
|---|---|---|
| 経営者 | 意思決定(身代金対応等) | 社内 |
| JPCERT/CC | 技術的な支援・助言 | https://www.jpcert.or.jp/form/ |
| 警察(サイバー犯罪窓口) | 捜査・被害届 | https://proc.npa.go.jp/portaltop/SP0200/07/02.html |
| 個人情報保護委員会 | 漏洩報告義務(後述) | https://www.ppc.go.jp/personalinfo/legal/leakAction/ |
| 取引先・顧客 | 二次被害防止 | 影響範囲の確定後 |
ランサムウェアに感染した場合の対応手順
画面に「ファイルを暗号化した。ビットコインで支払え」と表示されたら、以下の手順で対応する。
やってはいけないこと
- 身代金を支払わない 。Veeamの2025年調査では、被害組織の 36%が支払いを拒否 し、支払わずにデータを復旧できた組織も25%に上る。支払っても復号できる保証はない
- 感染端末を再起動しない 。メモリ上の復号キーが消える場合がある
- 感染後にバックアップを取らない 。バックアップ先にも感染が広がる
Step 1: 感染範囲を特定する
暗号化されたファイルの拡張子(.locked, .crypt 等)を確認する。ID Ransomware(https://id-ransomware.malwarehunterteam.com/)にサンプルをアップロードすると、ランサムウェアの種類を特定できる。
Step 2: 復号ツールを探す
No More Ransom(https://www.nomoreransom.org/)で復号ツールが公開されていないか確認する。Europol・各国警察・セキュリティ企業の共同プロジェクトで、200種類以上のランサムウェアに対応している。
Step 3: バックアップから復旧する
オフラインバックアップ(感染ネットワークに接続されていないもの)がある場合:
- 感染端末をクリーンインストール(OSの再インストール)
- バックアップからデータを復元
- 全アカウントのパスワードを変更
バックアップがない場合は、専門のフォレンジック業者に相談する。費用は高いが、データの完全喪失よりは安い。
Step 4: 全社パスワードリセット
侵入経路が認証情報の侵害だった場合(そうでなくても念のため)、全アカウントのパスワードを即時変更する。パスワードマネージャーを使えば、強力でユニークなパスワードを全社員に展開できる。
情報漏洩が発覚した場合の対応手順
顧客の個人情報、社員の個人情報、取引先の機密情報——何が漏れたかで対応が変わる。
法的報告義務(2022年改正個人情報保護法)
以下のいずれかに該当する場合、個人情報保護委員会への報告が 義務 だ:
| 報告義務の発生条件 | 例 |
|---|---|
| 要配慮個人情報の漏洩 | 病歴、犯罪歴、人種 |
| 財産的被害のおそれ | クレジットカード番号、口座情報 |
| 不正目的による漏洩 | 外部からの不正アクセス |
| 1,000人超の漏洩 | 大規模な顧客DB流出 |
スケジュール:
- 速報: 発覚から概ね 3〜5日以内 に個人情報保護委員会へ
- 確報: 発覚から 30日以内 (不正目的の場合は60日以内)
- 本人通知: 速やかに
2024年度の漏洩報告件数は 19,056件 で前年比57%増、過去最多を更新している(個人情報保護委員会)。
Step 1: 漏洩範囲を特定する
- どのデータベース/ファイルが対象か
- 何件のレコードが影響を受けたか
- いつから漏洩していたか(アクセスログの確認)
Step 2: 被害拡大を防止する
- 漏洩経路の遮断(不正アクセスならアカウント停止、Webアプリの脆弱性なら一時停止)
- 漏洩データが公開されていないかダークウェブ監視
Step 3: 報告と通知
- 個人情報保護委員会に速報
- 本人への通知(メール・書面)
- 必要に応じてプレスリリース
- 取引先への報告
Step 4: 再発防止策の実施
- 漏洩原因の根本対応(パッチ適用、アクセス制御の見直し)
- 全社員のパスワード変更
- NordPass のData Breach Scannerで自社ドメインの漏洩状況を継続監視
DDoS・不正アクセスを受けた場合の対応手順
「サイトが突然重くなった」「知らないアカウントでログインされている」——これらもインシデントだ。
DDoS攻撃の場合
- CDN/WAFの確認 : Cloudflare等を使っているなら「Under Attack Mode」を有効化
- ISPに連絡 : 上流でのフィルタリングを依頼
- アクセスログの保存 : 攻撃元IPの記録(証拠として必要)
- 警察に相談 : DDoSは「電子計算機損壊等業務妨害罪」に該当する可能性がある
不正アクセスの場合
- 該当アカウントを即時無効化
- セッションを全て強制終了
- アクセスログから侵入経路を特定 (SSH? 管理画面? API?)
- 侵入経路を閉鎖 (ポート閉鎖、IP制限、MFA追加)
- 他のシステムへの横展開がないか確認
インシデント収束後にやるべき5つのこと
攻撃が止まっても終わりではない。むしろここからが本番だ。
1. インシデント報告書を作成する
以下を文書化する:
- 発生日時・発見経緯
- 影響範囲(システム・データ・期間)
- 対応のタイムライン
- 根本原因
- 再発防止策
この報告書は取引先への説明、保険請求、法的対応で必要になる。
2. 根本原因を対策する
「ファイアウォールを強化した」だけでは不十分。原因がパスワードの使い回しなら、パスワードマネージャーの全社導入が必要だ。原因が未パッチのソフトウェアなら、パッチ管理体制を構築する。
3. サイバー保険を検討する
復旧費用の50%が1,000万円以上という現実を考えると、サイバー保険は経営判断として合理的だ。保険会社によってはフォレンジック費用や法的対応費用もカバーされる。
4. 社員教育を実施する
インシデントの記憶が鮮明なうちに、全社員向けのセキュリティ研修を行う。IPAの「セキュリティインシデント対応 机上演習教材」が無料で使える。
5. 対応計画を更新する
今回の経験を踏まえて、次のセクションのインシデント対応計画を更新する。「次はもっとうまくやる」ための具体的な改善点を記録しておく。
今すぐ作れるインシデント対応計画テンプレート
「計画を作る余裕がない」という声をよく聞くが、多くの中小企業はインシデント対応計画を持っていない。今作るだけで大多数の企業より備えが上回る。
最低限、以下の項目を1枚の紙にまとめておくだけでいい:
連絡先リスト
| 役割 | 担当者名 | 電話番号 | メール |
|---|---|---|---|
| インシデント責任者 | |||
| IT担当(外部含む) | |||
| 顧問弁護士 | |||
| サイバー保険会社 | |||
| JPCERT/CC | — | — | https://www.jpcert.or.jp/form/ |
| 警察サイバー窓口 | — | — | https://proc.npa.go.jp/ |
初動チェックリスト
- ネットワーク遮断(LANケーブル抜く / Wi-Fiオフ)
- 画面のスクリーンショット撮影
- インシデント責任者に報告
- 影響範囲の初期把握(どの端末・どのデータ)
- 証拠の保全(ログ・メール・画面キャプチャ)
- JPCERT/CC・警察への通報判断
- 個人情報漏洩の可能性がある場合 → 速報準備
事前準備チェックリスト
- オフラインバックアップの定期取得(週1回以上)
- パスワードマネージャーの全社導入
- VPNによるリモートアクセスの暗号化
- OSとソフトウェアの自動アップデート有効化
- MFA(多要素認証)の全アカウント有効化
中小企業向けパスワード管理。14日間無料トライアル
- xChaCha20暗号化・ゼロ知識アーキテクチャ
- ISO 27001 / SOC 2 Type 2認証取得
- 管理コンソールで全社員を一括管理
まとめ
サイバー攻撃は「起きるかどうか」ではなく「いつ起きるか」の問題だ。中小企業の被害は増え続けており、2025年上半期だけでランサムウェア被害は116件が報告されている。
最も重要なのは 最初の1時間の行動 だ。ネットワーク遮断、証拠保全、関係先への連絡——この3つを即座に実行できるかどうかで、被害規模が桁違いに変わる。
この記事のチェックリストを印刷して、オフィスの壁に貼っておくことを強くおすすめする。その1枚の紙が、いつかあなたの会社を救うかもしれない。
関連記事: