KDDIメールシステムに不正アクセス、最大1,422万件漏えいの可能性―企業が見直すべき「共通基盤リスク」とは

Share
「KDDIメールシステムに不正アクセス、最大1,422万件漏えいの可能性」アイキャッチ画像

KDDI株式会社(以降、KDDI)がISP事業者向けに提供するメールシステムで不正アクセスが確認され、BIGLOBEメール、@niftyメール、J:COM NET、コミュファ光、ピカラ光、CPIなど複数のメールサービスにおいて、メールアドレスやパスワードが外部に漏えいした可能性があることが公表されました。漏えいした可能性のある情報は最大1,422万件にのぼり、現在利用中のユーザーだけでなく、解約済みの顧客や一定期間利用のない休眠アカウントも含まれるとされています。

今回の事案で注目すべきなのは、単に「メールアドレスとパスワードが漏えいした可能性がある」という点だけではありません。KDDIが提供するISP向けの共通メール基盤に不正アクセスが発生したことで、複数の事業者・複数のサービスに影響が広がった点が重要です。これは、現代の企業システムにおいて避けて通れない「外部委託先リスク」「サプライチェーンリスク」「共通基盤リスク」を象徴する事案といえます。

本記事では、KDDIの公式発表および関係各社の公表情報をもとに、今回の不正アクセスの概要、影響範囲、利用者が取るべき対応、そして企業が学ぶべきセキュリティ対策について解説します。

KDDIのISP向けメールシステムで何が起きたのか

KDDIは、インターネットサービスプロバイダー、いわゆるISP事業者向けに提供しているメールシステムにおいて、不正アクセスを受けていたことを2026年6月17日に確認しました。KDDIの発表によると、不正アクセスの原因は、同システムで利用していた第三者製ソフトウェアの脆弱性を悪用されたことによるものです。

KDDIは同日、被害拡大を防ぐためにシステムを改修し、不正アクセスの被疑箇所を特定したうえで、技術的な防御措置を実施したとしています。また、個人情報保護委員会や総務省への報告・相談を含む必要な対応も進めていると説明しています。

現時点で公表されている漏えい可能性のある情報は、対象メールサービスで作成されたメールボックスに紐づくメールアドレスとパスワードです。件数は最大1,422万件とされており、この数字には解約済みの顧客や、一定期間利用していない休眠アカウントも含まれています。なお、パスワードの中には、ハッシュ化または暗号化されたものも含まれるとされています。

ここで注意したいのは、最大1,422万件という数字が「実際に漏えいした件数」と確定したものではないという点です。KDDIは調査継続中であるため、現時点では漏えいした可能性のある最大値として公表されています。

影響を受けるメールサービス

今回の不正アクセスで対象とされているのは、KDDIがISP事業者向けに提供していたメールシステムを利用する複数のメールサービスです。KDDIの発表では、STNetのピカラ光サービス、ピカラモバイルサービス、お仕事ピカラサービスに係るメールサービス、KDDIウェブコミュニケーションズのレンタルサーバー「CPI」のメールサービス、JCOMのJ:COM NETおよびケーブルテレビ事業者向けメールサービス、中部テレコミュニケーションのコミュファ光・ビジネスコミュファのメールサービス、ニフティの@niftyメール、ビッグローブのBIGLOBEメールが対象として挙げられています。

各社の発表を見ても、KDDIが提供する基盤システムを利用していたこと、第三者製ソフトウェアの脆弱性悪用によって不正アクセスが発生したこと、メールアドレスやメールパスワードなどが漏えいした可能性があることが説明されています。BIGLOBEでは、BIGLOBEメールアドレス、BIGLOBE IDおよびパスワードが漏えいした可能性があると公表しています。@niftyでは、メールアドレスおよびメールパスワードが第三者に漏えいした可能性があるとして、利用者にメールパスワードの変更を求めています。

このように、ひとつの基盤システムに起きた不正アクセスが、複数ブランドの利用者に影響する形になっています。これは、クラウドサービス、外部委託システム、SaaS、共通認証基盤などを活用する多くの企業にとっても、決して他人事ではありません。

なぜメールアドレスとパスワードの漏えいは危険なのか

メールアドレスとパスワードの漏えいは、単なる連絡先情報の流出にとどまりません。メールアカウントは、多くのWebサービスや業務システムにおいて本人確認やパスワード再設定の起点として使われています。そのため、メールアカウントに不正ログインされると、他サービスへの侵入、なりすまし、フィッシングメールの送信、業務情報の閲覧など、被害が連鎖するおそれがあります。

特に危険なのは、同じパスワードを複数のサービスで使い回しているケースです。攻撃者は、漏えいしたメールアドレスとパスワードの組み合わせを使い、別のWebサービスやクラウドサービスへのログインを試みることがあります。これは一般にパスワードリスト攻撃、またはクレデンシャルスタッフィングと呼ばれる手口です。

今回の件では、対象情報にメールパスワードが含まれる可能性があるため、利用者は対象メールサービスのパスワードを変更するだけでなく、同じ、または似たパスワードを使用している他サービスについても見直す必要があります。メール、ECサイト、SNS、クラウドストレージ、業務用SaaSなどでパスワードを使い回している場合は、早急な変更が望まれます。

利用者が今すぐ取るべき対応

対象サービスを利用している可能性がある場合、まずは各ISP事業者やサービス提供会社の公式案内を確認することが重要です。検索結果やSNS上のリンクからではなく、公式サイト、公式サポートページ、契約時に案内された会員ページなどから確認することで、フィッシングサイトに誘導されるリスクを下げられます。

次に、対象となるメールパスワードを変更します。@niftyのように、一定期限までに変更が確認できない場合、システム側でメールパスワードを順次無効化すると案内している事業者もあります。Outlook、Macメール、スマートフォンのメールアプリなどを利用している場合は、Web上でパスワードを変更した後、メールソフト側に保存されているパスワードも更新する必要があります。

また、メールパスワードとログインパスワードを同じ文字列にしている場合や、他のサービスでも同じパスワードを使っている場合は、それらも変更すべきです。メールアカウントは、他サービスのパスワード再設定メールを受け取る重要な入口です。メールアカウントの安全性が崩れると、他のアカウントにも被害が広がる可能性があります。 加えて、しばらくの間は不審なメールへの警戒が必要です。今回の不正アクセスに便乗し、「パスワード変更が必要です」「アカウントを確認してください」などと称する偽メールが送られる可能性もあります。本文中のURLを安易にクリックせず、ブックマークや公式アプリ、公式サイトから手続きすることが大切です。

「委託先だから安全」ではないという現実

今回の事案は、企業のセキュリティ対策を考えるうえで重要な教訓を含んでいます。多くの企業は、自社の業務効率化やコスト削減、専門性の確保を目的に、メール基盤、クラウドサービス、決済システム、顧客管理システム、認証基盤などを外部サービスに委託しています。これは現代の事業運営では自然な選択です。

しかし、外部サービスを利用しているからといって、リスクが自社から消えるわけではありません。委託先や共通基盤でインシデントが発生すれば、自社の顧客情報、業務データ、ブランド信頼にも影響が及びます。特に、複数の事業者が同じ基盤を利用している場合、一箇所の脆弱性が広範囲のサービスに波及する可能性があります。 企業に求められるのは、外部委託先を「便利なサービス提供者」として見るだけでなく、自社のセキュリティ境界の一部として管理する姿勢です。契約時のセキュリティ要件、脆弱性対応の体制、インシデント発生時の報告フロー、影響範囲の確認方法、利用者への通知方針などを事前に整理しておかなければ、実際に問題が起きた際の初動対応が遅れてしまいます。

第三者製ソフトウェアの脆弱性はなぜ狙われるのか

KDDIは今回の不正アクセスについて、第三者製ソフトウェアの脆弱性が悪用されたと説明しています。現時点でソフトウェア名やCVE番号などの詳細は公表されていませんが、一般論として、第三者製ソフトウェアの脆弱性は攻撃者にとって非常に狙いやすいポイントです。

企業システムは、自社開発のプログラムだけで構成されているわけではありません。OS、ミドルウェア、メールサーバー、認証機能、管理画面、ライブラリ、監視ツールなど、さまざまな外部コンポーネントに支えられています。これらのどこかに脆弱性が存在し、修正が遅れれば、攻撃者に侵入口を与えることになります。 特に、インターネットからアクセス可能なシステムや、多数の顧客情報を扱う共通基盤では、脆弱性管理の遅れが大きなインシデントにつながりかねません。脆弱性情報を収集し、影響有無を確認し、必要なパッチ適用や回避策を迅速に実施する体制が不可欠です。

企業が見直すべきセキュリティ対策

今回のような不正アクセスや情報漏えいリスクに備えるには、単にパスワードを強化するだけでは不十分です。まず重要なのは、自社がどの外部サービスや委託先に、どのような情報を預けているのかを把握することです。顧客情報、メールアドレス、認証情報、業務データ、ログ情報など、預託している情報の種類と影響範囲を整理しておく必要があります。

次に、委託先や利用サービスに対するセキュリティ確認を継続的に行うことが求められます。契約時だけでなく、運用中も脆弱性対応、インシデント報告体制、アクセス制御、ログ管理、バックアップ、暗号化、権限管理などの観点で確認を続けることが重要です。

さらに、自社側でも認証情報の管理を強化する必要があります。多要素認証の導入、パスワード使い回しの禁止、不要アカウントの棚卸し、退職者や休眠アカウントの削除、権限の最小化などは、基本的でありながら効果の高い対策です。今回の件で解約済みや休眠アカウントも最大件数に含まれていることは、使われていないアカウントや古いデータの管理がいかに重要かを示しています。 最後に、インシデント発生時の対応手順を事前に整備しておくことも欠かせません。誰が影響範囲を確認し、誰が顧客へ通知し、どのタイミングで監督官庁へ報告し、どのように再発防止策を公表するのか。こうした手順が曖昧なままでは、被害の拡大だけでなく、顧客からの信頼低下にもつながります。

メール漏えいではなくサプライチェーンリスクの問題

今回のKDDIメールシステム不正アクセスは、メールアドレスとパスワードの漏えい可能性が注目されています。しかし、企業のセキュリティ担当者や経営層が本当に見るべきポイントは、その背後にある構造です。

ひとつの共通基盤に脆弱性があり、そこを攻撃されることで、複数のISP事業者やメールサービスに影響が広がりました。これは、外部委託やクラウド利用が進む現在の企業環境において、どの企業にも起こり得る問題です。自社のシステムが直接攻撃されていなくても、委託先、取引先、共通基盤、利用中のSaaSで起きたインシデントが、自社の顧客対応や事業継続に影響する可能性があります。 セキュリティ対策は、もはや自社ネットワークの内側だけを守ればよい時代ではありません。外部サービスを含めた全体像を把握し、脆弱性管理、委託先管理、認証情報管理、インシデント対応を一体として整備することが求められます。

まとめ

KDDIのISP事業者向けメールシステムに対する不正アクセスでは、メールアドレスやパスワードが最大1,422万件漏えいした可能性があると公表されました。対象にはBIGLOBEメール、@niftyメール、J:COM NET、コミュファ光、ピカラ光、CPIなど複数のメールサービスが含まれており、共通基盤に起きた不正アクセスが広範囲に影響する構図となっています。

利用者は、各事業者の公式案内を確認し、対象となるメールパスワードを速やかに変更することが重要です。同じパスワードを他サービスで使い回している場合は、あわせて変更し、不審なメールや偽のパスワード変更案内にも注意が必要です。

企業にとっては、今回の事案を「大手通信会社の情報漏えい」として見るだけでは不十分です。第三者製ソフトウェアの脆弱性、外部委託先の管理、共通基盤への依存、休眠アカウントの扱い、インシデント発生時の連絡体制など、自社のセキュリティ運用を見直すきっかけにすべきです。 サイバー攻撃は、自社の真正面から来るとは限りません。取引先、委託先、クラウドサービス、共通基盤を経由して影響が及ぶ時代だからこそ、企業にはサプライチェーン全体を見据えたセキュリティ対策が求められています。

【参考情報】

編集責任:木下


BBSecの脆弱性診断・セキュリティ対策支援サービス

BBSec(ブロードバンドセキュリティ)では、Webアプリケーション診断、プラットフォーム診断、クラウド環境診断、脆弱性管理支援など、企業のセキュリティリスクを可視化する各種サービスを提供しています。外部サービスや委託先を含めたセキュリティ体制の見直し、情報漏えいリスクへの備え、インシデント発生前の予防対策を検討している企業は、ぜひご相談ください。


ウェビナー開催のお知らせ

  • 2026年7月1日(水)13:00~14:00「ランサムウェア対策は「侵入前提」で考える―最新事例から学ぶ、企業に求められるリスク把握と対策の考え方―
  • 2026年7月8日(水)13:00~14:00「企業は何から対策すべきか?― OWASP Top 10:2025から読み解く、最新のセキュリティリスクと対策の考え方 ―
  • 2026年7月15日(水)14:00~15:00「AI事業者ガイドライン第1.2版に基づくセキュリティ対策の実践ポイント~生成AIからAIエージェントへ~
  • 2026年7月22日(水)14:00~15:00「そのIT資産、本当に把握できていますか?~見落としがちなセキュリティリスクと対策の第一歩~
  • 最新情報はこちら


    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイント

    Share
    インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイントアイキャッチ画像

    セキュリティインシデント発生時には、被害拡大防止、影響範囲の確認、復旧対応を迅速に進める必要があります。しかし、初動の判断を誤ると、情報漏えいや業務停止などの被害が拡大する可能性があります。本記事では、検知から初動対応、調査、復旧までの基本的な対応フローと判断ポイントを解説します。

    インシデント管理の全体像については、以下の記事をご覧ください。
    セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

    サイバー攻撃や情報漏洩、不正アクセス、ランサムウェア感染などのセキュリティインシデントは、発生してから対応を考えていては間に合いません。インシデント発生時には、限られた時間の中で、被害拡大を防ぎ、影響範囲を確認し、復旧へ進める必要があります。

    しかし実際の現場では、「まず何を止めるべきか」「端末を隔離してよいのか」「証拠保全を優先すべきか」「経営層や顧客へいつ報告するべきか」といった判断に迷うことが少なくありません。初動の判断が遅れれば、感染拡大、情報漏洩、業務停止、信用低下といった被害につながる可能性があります。

    インシデント発生時に最初にやるべきこと

    インシデント発生時に最初にやるべきことは、慌てて復旧作業に入ることではありません。まず必要なのは、発生している事象を正しく把握し、被害が拡大する可能性を見極め、対応体制を立ち上げることです。

    たとえば、従業員の端末で不審な挙動が見つかった場合、すぐに端末を初期化したくなるかもしれません。しかし、初期化してしまうと、感染経路や攻撃者の操作履歴、情報漏洩の有無を確認するための証拠が失われる可能性があります。逆に、調査を優先しすぎてネットワーク接続を維持したままにすると、マルウェア感染や不正アクセスが広がるおそれがあります。そのため、初動対応では、被害拡大防止と証拠保全の両方を意識する必要があります。

    最初に確認すべきなのは、何が起きているのか、どのシステムや端末が影響を受けているのか、情報漏洩や業務停止につながる可能性があるのか、外部への影響があるのかという点です。ここで大切なのは、すべてを完璧に把握してから動くのではなく、現時点で確認できている事実と未確認事項を分けて整理することです。また、インシデント発生時には、情報システム部門だけで判断しきれない場面があります。個人情報漏洩の可能性がある場合は法務や個人情報保護の担当部門、顧客影響がある場合は営業やカスタマーサポート、外部公表が必要な場合は広報、事業停止の判断が必要な場合は経営層との連携が必要になります。

    初動対応の具体的な進め方や判断基準については、以下の記事で詳しく解説しています。
    セキュリティインシデント発生時の対応 ―初動から復旧まで解説―

    初動対応の判断ポイント

    初動対応で最も避けたいのは、根拠のない切り分けや思い込みによって対応を誤ることです。インシデント発生直後は情報が少なく、現場には焦りが生じます。そのため、「この端末だけの問題だろう」「外部には漏れていないはずだ」「再起動すれば直るだろう」といった判断をしてしまいがちです。しかし、こうした安易な切り分けは、被害範囲の見落としにつながります。

    特にランサムウェア感染や不正アクセスでは、最初に異常が見つかった端末やサーバだけが被害対象とは限りません。認証情報が窃取されていた場合、攻撃者が別のシステムへ横展開している可能性があります。VPN機器やリモートデスクトップ、クラウドサービスのアカウントが侵害されている場合も、目に見える被害より広い範囲で調査が必要になることがあります。

    この段階では、安易に原因を決めつけず、まず被害拡大防止を優先します。対象端末のネットワーク隔離、不審なアカウントの一時停止、外部公開システムのアクセス制限、攻撃に悪用された通信経路の遮断など、状況に応じた封じ込め策を検討します。IPA「中小企業のためのセキュリティインシデント対応の手引き」でも、被害が広がる可能性がある場合には、ネットワーク遮断、情報や対象機器の隔離、システム停止などの初動対応が必要になることが示されています。

    ただし、被害拡大防止を急ぐあまり、証拠を失う行動にも注意が必要です。端末の電源を落とす、初期化する、ログを上書きする、関係するファイルを削除する、といった操作は、後の調査を難しくする可能性があります。インシデント対応では、原因究明や情報漏洩の有無を確認するために、ログ、端末情報、通信記録、アカウント操作履歴などを保全することが重要です。

    また、JPCERT/CCが公開しているガイドライン「インシデント対応マニュアルの作成について」でも、インシデント対応フローとして、発見および報告、初動対応、告知、抑制措置と復旧、事後対応といった流れが示されています。標的型攻撃の対応例では、ログとの照合、不審通信の確認、通信遮断、感染端末の隔離、外部組織と協力した分析などが挙げられています。初動対応の判断では、「止める」「調べる」「知らせる」のバランスが重要です。被害拡大を止めるための措置、原因と影響範囲を調べるための証拠保全、社内外の関係者へ知らせるための情報整理を、同時並行で進める必要があります。

    対応フロー(実務)

    インシデント対応は、検知、初動、調査、復旧という流れで進めると整理しやすくなります。実際には事案の内容によって順序が前後したり、同時並行で進んだりしますが、基本となる流れを定めておくことで、対応の抜け漏れを防ぎやすくなります。

    検知

    検知は、インシデント対応の入口です。セキュリティ製品のアラート、EDRやウイルス対策ソフトの検知、ログ監視、外部機関からの通報、顧客からの問い合わせ、従業員からの報告、Webサイトの異常、システム停止など、さまざまな経路で異常が発見されます。検知段階で重要なのは、異常を見つけた人が、どこに、どのような情報を、どの優先度で報告すればよいかを理解していることです。たとえば、不審なメールを受信した従業員が報告先を知らなければ、標的型メールの兆候が放置される可能性があります。外部からWebサイト改ざんの連絡を受けても、窓口部門で止まってしまえば、対応開始が遅れます。検知した時点では、まだインシデントであると確定していない場合もあります。それでも、重要な兆候を見逃さないためには、報告を受け付け、事実確認へ進める体制が必要です。

    初動

    初動では、確認された異常に対して、被害拡大を防ぐための措置を取ります。感染が疑われる端末をネットワークから隔離する、不正利用が疑われるアカウントを停止する、侵害された可能性のある認証情報を変更する、外部公開サーバへのアクセスを一時的に制限するなど、事案に応じた対応が必要です。

    このとき、現場担当者だけで判断できる範囲と、経営層や責任者の判断が必要な範囲を分けておくことが重要です。たとえば、特定端末の隔離は現場判断で行えても、基幹システムの停止や顧客向けサービスの停止は、事業影響が大きいため、あらかじめ定められた責任者の判断が必要になる場合があります。また、初動対応では記録を残すことも欠かせません。いつ、誰が、何を検知し、どのような判断で、どの対応を行ったのかを記録しておくことで、後の調査、報告、公表、再発防止策の検討が進めやすくなります。記録が残っていないと、対応の妥当性を説明できず、関係者への報告にも支障が出ます。

    調査

    調査では、インシデントの原因、影響範囲、攻撃経路、情報漏洩の可能性を確認します。調査対象には、端末、サーバ、ネットワーク機器、クラウドサービス、メール、認証ログ、通信ログ、EDRやSIEMの記録などが含まれます。IPA「中小企業のためのセキュリティインシデント対応の手引き」では、調査・対応において、5W1Hの観点で状況を調査し、情報を整理することが示されています。いつ、どこで、誰が、誰に対して、何を、なぜ、どのように行ったのかを整理することで、被害状況や対応方針を判断しやすくなります。調査では、確定情報と推測を混同しないことが重要です。

    たとえば、「外部送信の可能性がある通信ログを確認した」という事実と、「情報漏洩が発生した」と断定することは異なります。確定していない情報を社内外に伝えると、誤解や混乱を招く可能性があります。一方で、影響がある可能性を過小評価してしまうと、必要な報告や公表が遅れる可能性もあります。そのため、調査結果は、確認済みの事実、可能性がある事項、未確認事項、今後確認すべき事項に分けて整理することが望ましいです。必要に応じて、セキュリティ専門ベンダー、保守ベンダー、クラウド事業者、法律専門家、関係機関と連携することも検討します。

    復旧

    復旧では、影響を受けたシステムや業務を安全な状態に戻します。バックアップからのデータ復元、修正プログラムの適用、設定変更、アカウントの再発行、認証情報のリセット、侵害された端末の再構築、ネットワーク接続の再開などが含まれます。重要なのは、単にシステムを元に戻すことではなく、安全性を確認したうえで復旧することです。原因が残ったまま復旧すれば、再び侵害される可能性があります。たとえば、脆弱性を悪用されたサーバをバックアップから戻しても、脆弱性に対する修正を行っていなければ、同じ攻撃を受けるおそれがあります。認証情報が漏洩していた場合も、パスワード変更や多要素認証の見直しを行わなければ、再度不正アクセスされる可能性があります。復旧後には、関係者への報告も必要です。

    IPA「中小企業のためのセキュリティインシデント対応の手引き」では、被害者や影響を及ぼした取引先・顧客に対して、対応状況や再発防止策を報告すること、個人情報漏洩の場合は個人情報保護委員会、犯罪性がある場合は警察、ウイルス感染や不正アクセスの場合はIPAなど、必要に応じた届出先が示されています。

    よくある失敗

    インシデント対応でよくある失敗の一つは、初動が遅れることです。異常を検知しても、「もう少し様子を見る」「担当者が不在なので待つ」「本当にインシデントか分からない」と判断が先送りされると、被害が拡大する可能性があります。特にランサムウェアや不正アクセスでは、数時間の遅れが被害範囲を大きく広げることがあります。初動遅れの背景には、判断基準の不足があります。どのような場合に端末を隔離するのか、どのレベルで責任者へ報告するのか、どの段階で外部専門家へ相談するのかが決まっていなければ、現場担当者は判断に迷います。結果として、対応が後手に回りやすくなります。

    もう一つの失敗は、情報共有不足です。情報システム部門だけで対応を抱え込み、法務、広報、営業、経営層への共有が遅れると、顧客対応や外部公表の準備が間に合わなくなります。個人情報漏洩の可能性がある場合や、取引先に影響がある場合には、技術的な復旧だけでなく、説明責任を果たすための情報整理が必要です。情報共有不足は、社内だけでなく、委託先や外部サービスとの関係でも起こります。クラウドサービス、保守ベンダー、業務委託先が関係するインシデントでは、ログ取得や調査範囲、責任分界点、連絡窓口が曖昧だと、事実確認が進みません。インシデント発生後に契約内容や連絡先を確認しているようでは、初動のスピードを確保することが難しくなります。

    また、復旧を急ぐあまり、原因調査や証拠保全を十分に行わないことも失敗につながります。システムを復旧できたとしても、侵入経路や情報漏洩の有無が分からなければ、再発防止策を適切に立てることができません。インシデント対応では、業務再開と原因究明のバランスを取りながら進める必要があります。

    さらに、対応終了後の振り返りが行われないことも大きな課題です。インシデントが収束すると、現場は通常業務に戻りがちです。しかし、対応中に発生した課題を放置すれば、次のインシデントでも同じ問題が起きます。連絡体制の不備、ログ不足、判断基準の曖昧さ、委託先との連携不足、訓練不足などは、事後対応の中で改善しなければなりません。

    まとめ

    インシデント対応フローは、検知、初動、調査、復旧という流れで整理できます。ただし、実際の対応では、これらの工程が単純に一方向で進むわけではありません。調査の結果によって初動対応を追加することもあれば、復旧後に新たな影響範囲が判明することもあります。そのため、対応フローを固定的な手順としてではなく、状況に応じて判断するための基本枠組みとして活用することが重要です。

    インシデント発生時に最初に求められるのは、被害拡大を防ぎながら、事実を整理することです。安易な切り分けや思い込みは避け、確認済みの事実、未確認事項、影響範囲、対応状況を分けて管理する必要があります。また、端末の隔離やアカウント停止などの封じ込め策を講じる際には、証拠保全や事業影響にも配慮しなければなりません。

    よくある失敗は、初動遅れと情報共有不足です。これらは、担当者の能力不足というより、事前に判断基準や連絡体制が整っていないことによって起こります。インシデント対応を確実に進めるためには、平時から対応フロー、報告ルート、責任者、外部連携先、証拠保全の方法を決めておくことが欠かせません。

    セキュリティインシデントは、技術的な問題であると同時に、企業の信用や事業継続に関わる経営課題です。発生時に慌てず対応するためには、手順書を作るだけでなく、実際に使える形で体制を整備し、訓練を通じて改善していくことが重要です。

    こうした対応を確実に実行するためには、あらかじめ体制を整備しておくことが重要です。インシデント対応体制については、以下の記事で詳しく解説しています。
    セキュリティインシデントの再発防止策とは?体制強化と継続的改善のポイント

    【参考情報】

    編集責任:木下


    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

    最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【企業のためのランサムウェア対策ガイド】ランサムウェアの攻撃手法とは – 侵入から暗号化までの流れを解説

    Share
    ランサムウェアの攻撃手法とは - 侵入から暗号化までの流れを解説アイキャッチ画像

    ランサムウェア攻撃は、単にファイルを暗号化するだけではありません。近年の攻撃では、侵入後に認証情報の窃取や権限昇格、社内ネットワーク内での横展開、重要データの窃取を経て、最終的に暗号化や二重恐喝へと発展するケースが一般的です。本記事では、ランサムウェア攻撃がどのような段階を経て進行するのか、その流れと企業が警戒すべきポイントを解説します。

    ランサムウェアの基本的な仕組みや全体像については、以下の記事で整理しています。
    ランサムウェアとは何か ―企業が知るべき被害・仕組み・対策の基本―

    ランサムウェア攻撃は、単に「ウイルスに感染してファイルが暗号化される攻撃」ではありません。現在の企業向けランサムウェア攻撃では、攻撃者が社内ネットワークへ侵入し、認証情報を盗み、権限を広げ、重要データを持ち出し、最後にシステムやファイルを暗号化するという複数段階の流れをたどることが一般的です。特に近年は、暗号化だけでなく、事前に窃取したデータを公開すると脅す「二重恐喝」が多く確認されています。警察庁「サイバー空間をめぐる脅威の情勢等」の調査報告によると、近年のランサムウェア被害はデータを窃取したうえで「対価を支払わなければ公開する」と脅す二重恐喝が多くを占めるといいます。

    ランサムウェア攻撃の全体像

    ランサムウェア攻撃は、外部から突然暗号化プログラムが送り込まれて終わるものではありません。実際には、攻撃者が最初に侵入経路を確保し、その後に社内環境を調査し、より強い権限を持つアカウントを探し、重要なサーバやファイル共有へ移動しながら、最終的に暗号化や脅迫へ進む流れを取ります。

    米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公開している「#StopRansomware Guide」でも、ランサムウェアやデータ恐喝型攻撃への対策が初期侵入経路ごとに整理されています。本ガイドでは、インターネットに公開されたシステム、脆弱性、認証情報、リモートアクセス、メールなどが重要な観点として扱われています。つまり、ランサムウェア対策は、暗号化プログラムそのものを止めるだけでなく、攻撃の前段階をどこで検知し、どこで遮断するかが重要になります。攻撃の流れを理解すると、ランサムウェア対策の考え方も変わります。入口対策だけではなく、侵入後の不審な認証、権限昇格、横展開、データ窃取、バックアップ破壊、暗号化準備といった兆候を監視する必要があります。特に企業では、感染を完全に防ぐことだけに注力するのではなく、侵入された場合でも早期に発見し、被害拡大を防ぐ体制が求められます。

    ランサムウェアの仕組みについては、以下の記事でより詳しく解説しています。
    ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説―

    攻撃の流れ(フェーズ別)

    侵入

    ランサムウェア攻撃の最初の段階は、企業ネットワークへの侵入です。侵入経路としては、フィッシングメール、VPN機器の脆弱性、リモートデスクトップ、外部公開サーバ、認証情報の悪用、委託先や外部サービス経由のアクセスなどが挙げられます。

    攻撃者は、必ずしも高度な手法だけを使うわけではありません。公開済みの脆弱性が修正されていないVPN機器や、外部公開されたリモートデスクトップ接続(RDP)、使い回されたパスワード、退職者の残存アカウントなど、基本的な管理不備が入口になることもあります。この段階で重要なのは、自社の外部公開資産を把握し、侵入口になり得る箇所を減らすことです。攻撃者から見えるサーバ、VPN、リモートアクセス環境、クラウド管理画面、ファイル共有サービスを把握できていなければ、侵入の兆候を見つけることも、優先的に対策することも難しくなります。

    独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2026」でも、組織向け脅威として「ランサム攻撃による被害」が1位、「サプライチェーンや委託先を狙った攻撃」が2位に挙げられており、企業にとってランサムウェアと外部経由の侵入は継続的な重要課題とされています。

    権限昇格

    侵入に成功した攻撃者は、次により強い権限を得ようとします。一般ユーザの端末に入っただけでは、重要サーバの停止や大規模な暗号化を実行できない場合があるためです。そのため、攻撃者は端末内に保存された認証情報、ブラウザに残ったパスワード、管理ツールの接続情報、設定ファイル、共有フォルダ内の情報などを探します。

    権限昇格が成功すると、攻撃者は管理者アカウントやドメイン管理者権限を悪用し、より広範囲のシステムへアクセスできるようになります。管理者権限を持つアカウントが日常業務にも使われている場合や、複数のサーバで同じ認証情報が使い回されている場合、攻撃者の行動範囲は一気に広がります。この段階を防ぐためには、管理者権限の最小化、特権アカウントの分離、多要素認証、不要アカウントの削除、認証ログの監視が重要です。ランサムウェア攻撃では、暗号化そのものより前に、認証情報の不正利用や通常とは異なるログインが発生していることがあります。その兆候を早く見つけることが、被害拡大を防ぐ鍵になります。

    横展開(ラテラルムーブメント)

    権限を得た攻撃者は、社内ネットワーク内を移動しながら、重要なサーバやデータの所在を探します。この動きを横展開、またはラテラルムーブメントと呼びます。横展開では、ファイルサーバ、業務システム、Active Directory、バックアップサーバ、仮想基盤、クラウド連携システムなどが調査対象になります。攻撃者は、どのシステムを暗号化すれば業務停止の影響が大きいか、どのデータを盗めば脅迫材料になるか、どのバックアップを破壊すれば復旧を困難にできるかを確認します。この段階では、社内通信の異常、管理者ツールの不審な利用、通常とは異なる時間帯のアクセス、複数端末への連続ログイン、ファイル共有への大量アクセスなどが兆候になります。しかし、正規のアカウントや管理ツールが悪用される場合、単純なウイルス対策ソフトだけでは検知が難しいことがあります。そのため、ランサムウェア対策では、EDRやログ監視、ネットワーク監視、認証基盤の監視を組み合わせ、侵入後の不審な行動を見つける考え方が重要になります。

    データ窃取

    近年のランサムウェア攻撃では、暗号化の前にデータを盗む手口が一般化しています。攻撃者は、顧客情報、従業員情報、契約書、財務情報、設計情報、取引先情報、メールデータなどを持ち出し、身代金交渉の材料にします。この手法が二重恐喝です。従来のランサムウェアは、ファイルを暗号化して「復号したければ身代金を支払え」と要求するものでした。しかし現在は、暗号化に加えて「盗んだデータを公開する」「取引先や顧客へ連絡する」と脅すケースが増えています。この段階で被害が発生すると、たとえバックアップからシステムを復旧できたとしても、情報漏洩対応、顧客説明、取引先対応、法的対応、信用低下への対応が必要になります。つまり、バックアップは重要ですが、バックアップだけでランサムウェア被害を完全に抑え込めるわけではありません。データ窃取を早期に検知するには、重要データへのアクセス監視、大量ダウンロードの検知、外部送信通信の監視、クラウドストレージやファイル共有サービスの利用状況確認が必要です。特に、通常業務では発生しない大量の圧縮ファイル作成や外部アップロードは、ランサムウェア攻撃の前兆として注意すべきです。

    暗号化

    攻撃の最終段階で、ランサムウェアによる暗号化が実行されます。攻撃者は、業務停止の影響が大きいサーバや共有フォルダ、端末、仮想基盤を対象にし、ファイルを暗号化します。同時に、バックアップを削除したり、復旧機能を無効化したり、セキュリティ製品を停止しようとする場合もあります。暗号化が始まると、業務システムが使えない、ファイルサーバにアクセスできない、受発注や出荷が止まる、社内の連絡体制が混乱するなど、事業継続に大きな影響が出ます。NIST(米国立標準技術研究所)が公開しているNIST IR 8374でも、重要業務の復旧優先順位、バックアップの保護、復旧手順のテスト、対応計画の整備が重要であると示されています。暗号化段階まで到達してからでは、被害をゼロに抑えることは難しくなります。そのため、企業のランサムウェア対策では、暗号化を検知する仕組みに加え、暗号化前の侵入、権限昇格、横展開、データ窃取を早期に見つけることが重要です。

    最近の攻撃の特徴

    最近のランサムウェア攻撃の特徴は、暗号化だけに依存しない点にあります。攻撃者は、データを盗み、公開をちらつかせ、企業の信用や取引関係に圧力をかけることで、身代金の支払いを迫ります。この二重恐喝型の攻撃では、システム復旧だけでは問題が終わりません。情報漏洩の有無、漏洩した可能性のある情報の範囲、顧客や取引先への説明、監督官庁への報告など、経営判断を伴う対応が必要になります。

    また、データ公開を前提にした脅迫も深刻です。攻撃者は、盗んだ情報の一部をリークサイトに掲載したり、公開期限を設けたり、顧客や取引先へ連絡すると主張したりすることがあります。これにより、企業は業務停止だけでなく、信用低下、顧客離脱、取引停止、法的責任のリスクにも直面します。

    さらに、攻撃の分業化や自動化も進んでいます。ランサムウェア攻撃では、初期アクセスを売買する攻撃者、侵入後に権限を広げる攻撃者、データを窃取する攻撃者、暗号化と脅迫を行う攻撃者が分かれている場合があります。このような状況では、従来型の「入口で防ぐ」だけの対策では限界があります。攻撃者が社内に入った後の行動をどう検知するか、重要システムへの到達をどう遅らせるか、データ窃取をどう見つけるか、暗号化された場合にどう復旧するかまで含めた対策が必要です。

    なぜ攻撃を止められないのか

    ランサムウェア攻撃を止められない大きな理由は、侵入から暗号化までの途中段階に気づけないことです。攻撃者は、正規のアカウントや管理ツールを悪用することがあります。その場合、単純に「不審なファイルがあるか」「既知のマルウェアが検出されたか」だけを見ていても、攻撃の進行に気づけない可能性があります。

    また、権限管理の不備も被害を拡大させます。管理者権限を持つアカウントが多すぎる、退職者のアカウントが残っている、共有アカウントを使っている、重要サーバへのアクセス制限が甘い、といった状態では、攻撃者が一度侵入しただけで広範囲へ移動できてしまいます。

    検知遅れの背景には、ログが残っていない、ログを見ていない、異常を判断する基準がない、担当者が限られている、休日や夜間の監視ができないといった運用面の課題もあります。セキュリティ製品を導入していても、アラートを確認する体制がなければ、攻撃の兆候を見逃す可能性があります。 そのため、ランサムウェア対策では、技術対策だけでなく、運用体制の整備が欠かせません。誰がアラートを見るのか、どの条件で隔離するのか、どの段階で経営層へ報告するのか、外部専門家へいつ相談するのかを事前に決めておく必要があります。

    企業が理解すべきポイント

    企業がまず理解すべきなのは、ランサムウェア攻撃を完全に防ぐことは難しいという現実です。もちろん、脆弱性管理、メール対策、多要素認証、EDR、バックアップ、ネットワーク分離などの対策は重要です。しかし、攻撃手法は変化し続けており、外部委託先やクラウドサービス、認証情報の悪用など、自社だけでは完全に制御しにくい要素もあります。だからこそ、企業に求められるのは「侵入されないこと」だけを前提にした対策ではなく、「侵入される可能性を前提に、早期に検知し、被害を限定し、復旧できる体制」を整えることです。早期検知の観点では、通常とは異なるログイン、権限昇格、管理者ツールの不審な利用、複数端末への連続アクセス、大量のファイル操作、外部への大容量通信などを監視することが重要です。これらは、暗号化が始まる前に現れる可能性がある兆候です。

    また、経営層はランサムウェアを単なるIT部門の問題としてではなく、事業継続、情報管理、顧客対応、法務、広報、取引先対応を含む経営リスクとして捉える必要があります。ランサムウェア攻撃は、システム停止だけでなく、情報漏洩、信用低下、売上損失、顧客離脱、サプライチェーンへの影響を引き起こす可能性があるためです。

    ランサムウェアによって企業にどのような被害が発生するのかについては、次の記事で詳しく解説します。
    ランサムウェア被害の実態 – 業務停止・損害・企業が直面するリスクとは

    まとめ

    ランサムウェア攻撃は、侵入、権限昇格、横展開、データ窃取、暗号化という複数の段階を経て進行します。暗号化は被害が目に見える最終段階であり、その前には攻撃者による認証情報の悪用、社内探索、重要データの特定、情報持ち出しが行われている可能性があります。近年は、データを暗号化するだけでなく、盗んだ情報を公開すると脅す二重恐喝が多く確認されています。そのため、バックアップを取得しているだけでは十分とはいえません。復旧できる体制に加え、データ窃取を防ぎ、早期に検知し、情報漏洩対応まで想定した準備が必要です。企業が取るべき対策は、入口対策、権限管理、ログ監視、EDR、脆弱性管理、バックアップ、インシデント対応体制を組み合わせた多層防御です。特に重要なのは、攻撃の流れを理解し、暗号化される前の段階で異常に気づくことです。ランサムウェア対策は、特定の製品を導入すれば終わるものではありません。攻撃者がどのように侵入し、どのように社内を移動し、どのようにデータを盗み、どのタイミングで暗号化するのかを理解したうえで、自社の弱点を継続的に見直すことが重要です。

    【参考情報】

    編集責任:木下


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    AIを生み出した”人”はAIを使いこなす”人”になる~上野宣氏と語るAIの現在地とセキュリティの未来~

    Share
    SQATSecurityReport巻頭企画「AIを生み出した"人"はAIを使いこなす"人"になる」表紙画像

    生成AI、AIエージェント、AIガバナンス。

    急速に進化するAIは企業の業務やセキュリティにどのような影響を与えるのか。

    本資料では、日本のセキュリティ業界を牽引してきた上野宣氏を迎え、AI活用の現状から今後の課題までを語った特別対談を収録しています。

    登壇者紹介

    上野 宣氏

    プロフィール
    株式会社トライコーダ代表取締役
    奈良先端科学技術大学院大学で山口英教授のもと情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立。2019年より株式会社Flatt Security、2022年よりグローバルセキュリティエキスパート株式会社、2025年より株式会社ブロードバンドセキュリティの社外取締役を務める。あわせて、OWASP Japan代表、一般社団法人セキュリティ・キャンプ協議会理事、NICT CYDER推進委員などを歴任し、教育・人材育成分野にも尽力。情報経営イノベーション専門職大学(iU)客員教員。

    株式会社ブロードバンドセキュリティ

    • セキュリティサービス本部 神保 冬和子
    • 情報セキュリティプロフェッショナルサービス本部 コンサルティング事業戦略部 コンサルティング事業戦略課 吉原百里可
    • マネジメントサービス本部 セキュリティオペレーション2部 クラウドソリューション課 渡邊 寛昭

    この資料でわかること

    • AIエージェント時代の新たなリスク
    • AI活用における権限管理
    • AIガバナンスの重要性
    • AIリテラシー教育のあり方
    • AI時代のセキュリティ人材像

    AIはこれからどこへ向かうのか

    以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

    神保:最近は「Alのバブル」などといわれていますけれども、今私たちが申し上げた「Al」にはさまざまなものがあって、例えば、自動車関連の画像認識の技術もAlが絡んでいますし、身近なものだとメールのスパム判定などに使われるものも、Alの技術のひとつの応用ですよね。セキュリティ面での注意点や今後Alはどういう方向に進んでいくのかなど、上野様からお伺いしたいです。

    上野:セキュリティ面での注意点については、「OWASP Top 10 for Large Language Model Applications」(以降: Large Language ModelをLLMと表記)などが参考になると思います。プロンプトインジェクションによって機密情報が漏洩する可能性がある、などが例に挙げられます。 今後のAlの動向については、最近(座談会は2026年1月下旬実施)でいうと、クロードボット(Claudebot)というエージェント型のAlの話題が気になったのですが、エージェント型のAlが普及していった時にさまざまなセキュリティの問題が出てくることが予想できます。今後もAlの発展に付随して、問題も尽きることはないのかなと思います。


    AIが変える攻撃と防御の構図については、上野氏の特別寄稿でも詳しく解説されています。
    AI時代のセキュリティ戦略:上野宣氏が語る、攻撃と防御の最前線

    上野氏は、今後のAIの進化において「AIエージェント」が大きな転換点になると指摘します。

    AIエージェントは企業に何をもたらすのか

    以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

    上野:エージェント型のAlについて少々お話しますと、端末にインストールして、自律して動くことを謳っていますけれども、権限管理が非常に難しいですよね。それが特にビジネスシーンで浸透していった場合、自分が使っているAlエージェントが持っている権限であるとか、ある会社のシステムのAlの権限であるとか、人ではないものが権限持って自律して動く、というようなことですので。そこでセキュリティの問題や事件が起きることが予想されます。プロンプトインジェクションなどのLLM特有の問題も大きな問題になるのではないかと、セキュリティエンジニアとしての危惧がありますね。とはいえ、我々はAlによる発展を受け入れるべきです。ただし問題点も認識するべきであるということです。セキュリティ専門家としては、ちゃんと警鐘を鳴らしておいたほうがいいなと思っています。


    AI活用で変わらないセキュリティの原則

    以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

    上野:まだ企業や組織でAlエージェントが広く活用されているという話はそこまでは聞きませんが、今後は企業や組織のAlエージェントの導入は進んでいくのかなと思います。RPA の代わりに広まってくるのではないかなと。まあ、既に一部のRPAには、多分Alが入っていると思いますけどね。

    神保:RPAの中でもAlを許容しやすいというか、制御しやすいものとしづらいものがあるのかなと思うのですよね。限定的な機能のためのAl工ージェントであれば、それに必要最小限の権限を設定するのは難しくないですけれども、汎用性が高くなると権限もいろいろなところに及ぶと思うので、判断がつかなくなって設定するのが困難になりそうかなと。

    上野:おそらく、判断がつかない場合は全権限をつけてしまうのが現状でしょうね。例えばアクセスコントロールとセットになっているようなサービスを各サービス提供ベンダが提供するとわかりやすいかもしれませんね。それを逸脱する時はこういうリスクがありますよ、と提示するとかで、ガイドラインが決まってくるといいのではないかなと思います。


    AI時代に求められる人材とリテラシー

    以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

    神保:最近のAlの動向で、著作権や肖像権の侵害といった課題について、吉原さんはお客様からお問い合わせをいただくことはありますか?

    吉原:アドバイザリーの中には、「自社の作った著作物を、特に生成Alの学習から保護するにはどうしたらよいか?」というようなお問い合わせが出てきています。逆に、「他社の著作物を侵害しないためにはどうしたらよいか?」といったお問い合わせもあります。こういった質問はさまざまな業種のお客様からいただきます。ガイドラインの整備ができていない企業も多いようです。

    神保:こういったところも、Alエージェントが普及していくとさらにややこしくなるかもしれませんね。例えば、Alエージェントが入っている環境で、Alエージェントが許諾をとっていたけれども、(利用者の)著作物を持っていって、別なところでリークしてしまうといった可能性もあるでしょうし、そもそもAlエージェントを利用してよいのか、してはいけないのかが企業や組織の中で明確にできていないことで問題が起こることもあるでしょうし。こういった統制はすごく難しいような気がします。

    上野:結局のところ、その辺りの統制は人間がしないといけませんよね。生成Alにしろ、Alエージェントにしろ、社会人としてAlを使っていく部分では常に著作権侵害をしていないか、といったことに一番配慮すべきなのは、使う本人であると私は思います。私が昨年ぐらいに出した「セキュリティ1年生 図解でわかる!会話でまなべる!」という本の中で著作権のことにも触れていて、Alの生成物についても書いているのですけれども、例えばAlが持ってきた画像の出元であるとかは、特に企業や組織が使う場合、まずAlを使う本人の確認は必須です。さらに社外向けの資料にAlを使いたい社員がいるとしたら、本人の確認はもちろん、その上司も確認および承認が必要、といったフローになると思います。とは言っても、こういった概念はまだ浸透しきってはいないように思いますので、企業や組織向けのリテラシー教育は必要でしょう。将来的には例えば小中学校とかの段階で教育して、Alを使う場合に当たり前のように人がリテラシーを守る時代が来ると良いなと思います。


    続きはSQAT® Seurity Reportでご覧ください

    SQATSeurity Report2026春夏号表紙画像

    本対談では、AIエージェントの普及による新たなリスクや権限管理の課題、AI活用におけるガバナンス、人材育成のあり方などについて議論しています。

    本ページでご紹介した内容のほか、AIセキュリティに関する実践的な知見や用語解説を収録した「SQAT® Security Report 2026年春夏号」を無料公開中です。ぜひ資料をダウンロードのうえ、対談全文をご覧ください。

    ※主な対談内容(参考)
    ・AI利用におけるリテラシー教育
    ・AIセキュリティの課題

    無料ダウンロード

    用語解説

    LLM (Large Language Models:大規模言語モデル)

    自然言語を大量のテキストデータから学習し、ユーザからの自然言語によるリクエストを処理する仕組み。大星のテキストデータからの学習には機械学習モデルが用いられており、機械学習モデルには生物の学習メカニズムを模倣した人工ニューロンと呼ばれる計算ユニットを利用した人工ニューラルネットワークが用いられている。生成AlおよびマルチモーダルAlはユーザからの自然言語によるリクエスト処理のためにLLMを使用しているため、混同されることが多い。

    OWASP Top 10 for LLM Applicationsについては、こちらの記事でも解説しています。
    2025年春のAI最新動向第3回:生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-

    プロンプトインジェクション(PromptInjection)

    LLMの脆弱性のひとつ。悪意のある、もしくは誤解を招くプロンプト(自然言語による指示・リクエスト)を作成してモデルの挙動を操作し、セーフティフィルタを回避して意図しない命令を実行する。これにより、情報漏洩、権限昇格、不適切な出力の発生などが起こりうる。従来のソフトウェアやWebアプリケーションにおけるコマンドインジェクションと同等の影響を、LLMで引き起こすものである。

    AIを狙った攻撃手法や実際の脅威事例については、こちらの記事でも解説しています。
    AIとセキュリティ最前線 -AI搭載マルウェアとは?脅威とセキュリティ対策-

    AIエージェント

    Alエージェントは目標に向かって自律的に行動・判断・ツール使用などができるAlの概念や役割を指す。エージェント型のAl はAl エージェントがどのようにふるまうか(自律性、複数ステップの実行、ツールの呼び出しなど)というAl の性質・特性を指す。

    AIエージェントの仕組みについては、こちらの記事でも解説しています。
    AIコーディング入門 第1回:Vibeコーディングとプロンプトエンジニアリングの基礎

    RPA(Robotic Process Automation)

    コンピュータ上で人間が行う定型作業(入カ・転記・集計・通知など)を、ソフトウェアロボットが代わりに実行する自動化手法。作業時間の削減やミスの低減が見込める。

    関連記事・参考情報

    編集責任:木下


    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

    Share
    セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像アイキャッチ画像

    サイバー攻撃や情報漏洩、不正アクセス、ランサムウェア感染などのセキュリティインシデントは、発生してから対応を考えていては被害を最小限に抑えることができません。重要なのは、発生時の対応だけでなく、平時から対応フローや体制を整備し、組織として継続的に管理することです。

    セキュリティインシデント管理とは、インシデントの検知から初動対応、調査、復旧、再発防止までを組織的に運用するための仕組みを指します。

    本記事では、インシデント管理の基本的な考え方や対応フローの全体像、企業に求められる体制について解説します。

    本記事は「セキュリティインシデント管理・対応ガイド」の一部です。セキュリティ担当者だけでなく、インシデント発生時に判断・承認を求められる経営層・管理職の方にも読んでいただける内容になっています。技術的な詳細よりも「組織として何を決めておくべきか」という視点を中心に解説します。

    【関連記事】

    実際のインシデント対応の具体的な手順については、以下の記事で詳しく解説しています。
    インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイント

    サイバー攻撃や情報漏洩、ランサムウェア感染、不正アクセス、Webサイト改ざんなど、企業を取り巻くセキュリティリスクは年々複雑化しています。これまでのように、インシデントが起きてから担当者が個別に対応するだけでは、被害の拡大を防ぎきれないケースも増えています。特に近年は、クラウドサービス、外部委託先、SaaS、リモートアクセス環境など、企業システムの構成が複雑になっています。そのため、自社の内部だけを見ていれば安全を確保できるという状況ではありません。セキュリティインシデント管理とは、こうしたリスクを前提に、インシデントの検知、初動対応、調査、復旧、再発防止までを組織として継続的に管理する考え方です。

    NIST SP 800-61 r2「Computer Security Incident Handling Guide」でも、インシデント対応は単なる技術対応ではなく、計画、体制、分析、封じ込め、復旧、事後対応を含む組織的な取り組みとして整理されています。インシデント管理は、まさにその全体像を企業活動の中に組み込むための実務です。

    インシデント管理とは何か

    インシデント管理とは、セキュリティ上の問題が発生した際に、被害を最小限に抑え、事業への影響を管理し、再発を防ぐための一連の仕組みを指します。ここでいうインシデントには、マルウェア感染、不正アクセス、情報漏洩、アカウント侵害、ランサムウェア被害、Webサイト改ざん、システム停止、内部不正、委託先を経由した被害などが含まれます。重要なのは、インシデント管理が「発生後の火消し」だけを意味するものではないという点です。もちろん、発生直後の被害拡大防止や復旧作業は重要です。しかし、それだけではインシデント管理とはいえません。管理という言葉が示すように、事前準備、連絡体制、判断基準、証拠保全、外部報告、再発防止策の検討までを含めて、組織として運用できる状態にしておくことが求められます。

    IPAも、インシデント発生時には影響範囲や損害の特定、被害拡大防止、再発防止策の検討を速やかに行うため、CSIRTなどの組織内対応体制を整備することが重要であると示しています。これは、インシデント対応を個人の経験や判断に依存させず、企業として再現性のある対応にするための考え方です。

    「インシデント対応」と「インシデント管理」は混同されがちですが、両者には違いがあります。インシデント対応は、発生した事象に対して具体的に行う対応行動です。たとえば、感染端末の隔離、ログ調査、被害範囲の確認、復旧作業、関係者への報告などが該当します。一方、インシデント管理は、それらの対応を適切に実行するための全体設計です。誰が判断し、誰が作業し、どの基準で経営層へ報告し、いつ外部機関や顧客に連絡するのかをあらかじめ定め、実行できる状態にしておくことが中心になります。つまり、インシデント対応が「現場の行動」だとすれば、インシデント管理は「組織としての仕組み」です。対応力を高めるためには、個別の手順だけでなく、それを支える管理体制が欠かせません。

    なぜインシデント管理が重要なのか

    インシデント管理が重要視される理由は、サイバー攻撃の被害が技術部門だけの問題にとどまらなくなっているためです。情報漏洩が発生すれば、顧客や取引先への説明、監督官庁への報告、法務対応、広報対応、営業活動への影響、事業継続への支障など、企業全体に影響が及びます。システム停止が長期化すれば、売上機会の損失や顧客離れにもつながります。

    IPA「中小企業のためのセキュリティインシデント対応の手引き」でも、インシデントによる被害には、原因調査や復旧の外部委託費、謝罪対応、法的対応費用といった直接的な金銭被害に加え、信用低下や事業停止による機会損失といった間接的被害があると整理されています。インシデント対応の目的は、これらの被害と影響範囲を最小限に抑え、迅速に復旧し、再発を防止することにあります。

    特に情報漏洩リスクは、企業にとって深刻です。個人情報、認証情報、営業秘密、技術情報、取引先情報、顧客データなどが漏洩した場合、企業の信用は大きく損なわれます。たとえ漏洩件数が限定的であっても、初動対応や公表内容に不備があれば、二次的な批判を招くことがあります。反対に、発生直後から事実確認、被害拡大防止、関係者への説明、再発防止策の提示を適切に行えれば、被害の拡大を抑え、信頼回復への道筋を作ることができます。

    また、サプライチェーンの複雑化もインシデント管理の重要性を高めています。企業のシステムや業務は、クラウドサービス、業務委託先、開発会社、保守ベンダー、物流・決済・顧客管理システムなど、多くの外部組織とつながっています。そのため、自社のセキュリティ対策だけではインシデントを完全に防ぐことはできません。委託先の侵害、外部サービスの設定不備、ソフトウェア供給網への攻撃などを起点として、自社に影響が及ぶ可能性があります。

    インシデント管理が機能している企業では、外部委託先やクラウドサービスを含めたリスクを前提に、連絡先、責任範囲、報告基準、ログ取得範囲、復旧手順を整理しています。反対に、インシデント発生後に「誰に確認すればよいかわからない」「契約上どこまで調査できるかわからない」「委託先から情報が上がってこない」という状態になると、初動が遅れ、被害の実態把握も難しくなります。

    インシデント管理の全体フロー

    インシデント管理では、発生した事象を場当たり的に処理するのではなく、一定の流れに沿って対応することが重要です。NIST「Computer Security Incident Handling Guide 」はインシデント対応のライフサイクルとして、準備、検知と分析、封じ込め・根絶・復旧、事後対応という流れを示しています。これは世界的にも広く参照される基本的な考え方です。ここでは、企業実務で理解しやすいように、検知、初動対応、調査・分析、復旧、再発防止という流れで整理します。

    検知(Detection)

    検知は、インシデント管理の出発点です。セキュリティ製品のアラート、ログ監視、外部機関からの通報、顧客からの問い合わせ、従業員からの報告、Webサイトの異常、システム停止など、インシデントの兆候はさまざまな形で現れます。重要なのは、検知した情報を見落とさず、適切な担当者へつなげる仕組みです。アラートが大量に発生しているにもかかわらず確認されていない、従業員が異常に気づいても報告先を知らない、外部からの通報が担当部署で止まってしまうといった状態では、検知していても管理できているとはいえません。

    IPAでもインシデント対応の流れにおいて、Webサイト改ざん、システム停止、標的型メール、ログ監視による不正通信の発見などが検知の例として示されています。検知は技術的な監視だけでなく、社内外からの連絡受付を含めた仕組みとして考える必要があります。

    初動対応(Containment)

    初動対応では、被害の拡大を防ぐことが最優先になります。たとえば、マルウェア感染が疑われる端末をネットワークから隔離する、不正アクセスが疑われるアカウントを一時停止する、攻撃に悪用された通信経路を遮断する、関係システムの利用を制限する、といった対応が考えられます。ただし、初動対応では「とにかく止める」ことだけが正解とは限りません。証拠保全をせずに端末を初期化してしまうと、原因調査に必要なログや痕跡が失われる可能性があります。システムを不用意に停止すると、業務影響が大きくなる場合もあります。そのため、初動対応では、被害拡大防止と証拠保全、事業継続のバランスを考えながら判断する必要があります。

    米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)「Incident Response Plan (IRP) Basics」インシデント対応計画に関する資料でも、インシデント対応計画は、組織がインシデントの前、最中、後に取るべき行動を支援する正式な文書として位置づけられています。初動で迷わないためには、あらかじめ承認された計画と判断基準が必要です。

    調査・分析(Investigation)

    調査・分析では、何が起きたのか、どの範囲に影響があるのか、攻撃者が何を行ったのか、情報漏洩の可能性があるのかを確認します。調査対象には、端末、サーバ、認証ログ、通信ログ、クラウドサービスの操作履歴、メール、EDRやSIEMの検知情報などが含まれます。この段階で重要なのは、事実と推測を分けることです。インシデント発生直後は情報が錯綜しやすく、関係者の不安も高まります。そのため、確定していない情報を断定的に扱うと、誤った判断につながります。調査結果は、時系列、影響範囲、確認済み事実、未確認事項、今後の調査方針に分けて整理することが望ましいです。

    また、調査・分析は技術部門だけで完結しない場合があります。個人情報や機密情報の漏洩可能性がある場合は、法務、広報、経営層、顧客対応部門との連携が必要になります。外部委託先やセキュリティ専門ベンダーに調査を依頼するケースもあります。インシデント管理では、こうした連携をあらかじめ想定しておくことが重要です。

    復旧(Recovery)

    復旧では、影響を受けたシステムや業務を安全な状態に戻します。バックアップからの復元、パッチ適用、設定変更、アカウントの再発行、認証情報のリセット、ネットワーク接続の再開、業務再開判断などが含まれます。復旧時に注意すべきなのは、原因が取り除かれていない状態でシステムを戻さないことです。ランサムウェア感染後にバックアップから復元しても、侵入経路となった脆弱性や認証情報の悪用が残っていれば、再侵害される可能性があります。不正アクセスを受けたシステムを復旧する場合も、攻撃者が作成したアカウント、バックドア、不審な設定変更が残っていないかを確認する必要があります。単に業務を再開するだけでなく、脅威を除去し、安全性を確認したうえで復旧することが重要です。

    再発防止(Lessons Learned)

    再発防止は、インシデント管理の中でも特に重要な工程です。インシデントが収束した後、原因、対応の良かった点、課題、判断が遅れた場面、連絡体制の不備、ログ不足、訓練不足などを振り返り、次に同じ問題が起きないよう改善します。再発防止策には、技術的対策だけでなく、運用改善も含まれます。たとえば、脆弱性管理の見直し、バックアップ運用の改善、EDRやログ監視の強化、アカウント権限の見直し、委託先との連絡ルール整備、初動対応手順の改定、経営層への報告基準の明確化、机上演習の実施などが考えられます。IPAも、インシデント発生に備えた演習を行っていないことや、CSIRT業務が属人化していることを課題として挙げています。再発防止は、報告書を作って終わりではありません。組織の対応力を高めるために、手順、体制、訓練へ反映することが求められます。

    インシデント対応との違いと関係

    インシデント対応とインシデント管理は、密接に関係しています。ただし、同じ意味ではありません。インシデント対応は、実際に起きたインシデントに対する具体的な行動です。検知したアラートを確認する、感染端末を隔離する、ログを調査する、影響範囲を特定する、復旧作業を行うといった実務が該当します。一方、インシデント管理は、それらの対応を組織として適切に動かすための仕組みです。対応手順、報告ルート、責任者、判断基準、外部連携、訓練、記録、改善活動までを含みます。つまり、対応は管理の一部です。管理がなければ、対応は担当者個人の経験や判断に依存しやすくなります。この違いは、平時と有事の関係で考えるとわかりやすくなります。有事に実際に動くのがインシデント対応です。平時から有事に備えて準備し、発生時に迷わず動けるようにし、終息後に改善するのがインシデント管理です。

    たとえば、ランサムウェア感染が疑われる端末を隔離することはインシデント対応です。しかし、どの条件で隔離するのか、誰が判断するのか、隔離後に誰へ報告するのか、業務影響をどう判断するのか、顧客や委託先への連絡が必要か、証拠をどのように保全するのかを定めることはインシデント管理です。

    インシデント管理が目指すのは、個別最適ではなく全体最適です。現場担当者が最善を尽くしていても、経営判断が遅れたり、法務・広報との連携が取れなかったり、委託先との情報共有が進まなかったりすれば、企業全体としての対応は不十分になります。だからこそ、インシデント管理では、技術、業務、法務、広報、経営をつなぐ視点が必要です。

    管理が機能しない企業の特徴

    インシデント管理が機能しない企業には、いくつか共通する特徴があります。

    対応が属人化している

    最も多いのは、対応が属人化している状態です。特定の担当者だけがシステム構成を理解している、ログの見方を知っている、ベンダーとの連絡先を把握している、過去のトラブル対応を覚えているという状態では、その担当者が不在のときに対応が止まります。

    属人化は、平時には問題が見えにくいという特徴があります。日常業務では、詳しい担当者がその場で処理できるため、大きな問題に見えません。しかし、インシデント発生時には状況が一変します。判断すべきことが増え、関係者も増え、時間的な余裕がなくなる中で、特定の個人に情報と判断が集中すると、対応が遅れやすくなります。対策の第一歩は、対応手順・連絡先・ログの見方・ベンダー窓口を「担当者の頭の中」から文書に移すことです。

    IPAも、CSIRT業務の属人化や、証拠保全ルール、外部報告・公表ルール、分析・対応手順の未整備をインシデント対応体制上の課題として挙げています。これは、実務上の弱点がインシデント発生時に表面化しやすいことを示しています。

    判断基準が定められていない

    もう一つの特徴は、判断基準が明確になっていないことです。たとえば、どのレベルのアラートで経営層へ報告するのか、個人情報漏えいの可能性がある場合に誰が判断するのか、システム停止を許容する条件は何か、外部公表の検討を始めるタイミングはいつか、といった基準が曖昧な企業では対応が遅れやすくなります。まず「このレベルのアラートが発生したら経営層へ報告する」という1行の基準を決めるだけでも、判断の遅れを防ぐ効果があります。

    感染端末の隔離判断が遅れて被害が拡大する、不正アクセスの可能性を軽視して調査開始が遅れる、顧客への説明が後手に回るといった事態も起こり得ます。限られた情報の中で迅速に判断するためには、平時から基準を定めておくことが重要です。

    部門間の連携が弱い

    また、部門間連携が弱い企業も、インシデント管理が機能しにくい傾向があります。情報システム部門だけで対応しようとしても、顧客対応、法務判断、広報対応、取引先調整、経営判断が必要になる場面では限界があります。セキュリティインシデントは技術トラブルであると同時に、事業リスクでもあります。

    JPCERT/CCはCSIRTについて、「組織内の情報セキュリティ問題を専門に扱うインシデント対応チーム」と説明し、組織的なインシデント対応体制の構築を支援しています。管理を機能させるためには、技術部門だけでなく、経営層、法務、広報、営業、総務、人事、委託先を含めた連携が欠かせません。

    まとめ

    セキュリティインシデント管理とは、インシデントが発生した後の対応だけでなく、検知、初動対応、調査・分析、復旧、再発防止までを組織として管理するための仕組みです。インシデント対応が現場の具体的な行動であるのに対し、インシデント管理は、その対応を確実に実行するための全体設計といえます。

    サイバー攻撃や情報漏洩の影響は、情報システム部門だけにとどまりません。顧客、取引先、委託先、経営、法務、広報、営業活動、事業継続にまで広がります。そのため、企業には、発生後に慌てて対応するのではなく、平時から判断基準、連絡体制、対応フロー、証拠保全、外部連携、再発防止の仕組みを整えておくことが求められます。特に、属人化した対応や曖昧な判断基準は、インシデント発生時に大きな弱点になります。担当者の経験に頼るのではなく、組織として再現性のある対応を行うことが、被害の最小化と早期復旧につながります。

    インシデント管理は、単なるセキュリティ部門の業務ではありません。企業の信頼、事業継続、情報漏洩対策を支える重要な経営課題です。まずは、自社でインシデントが発生した場合に、誰が検知し、誰が判断し、誰が対応し、誰が経営層や外部関係者へ報告するのかを確認することから始めることが重要です。


    本記事では、セキュリティインシデント管理の全体像について解説しました。より実践的に理解したい方は、まず「セキュリティインシデントとは?」で代表的な事例やリスクを確認し、その後「インシデント対応フロー」「インシデント対応体制」を読むことで、企業に求められる対応を体系的に理解できます。

    また、インシデント発生後の改善活動については、「セキュリティインシデントの再発防止策とは?」もあわせてご覧ください。


    【関連記事】

    【参考情報】

    公開日:2026年6月17日

    編集責任:木下


    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

    最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    セキュリティインシデントの再発防止策とは?体制強化と継続的改善のポイント

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    セキュリティインシデントの再発防止と体制強化_アイキャッチ画像

    セキュリティインシデントへの対応は、システムや業務を復旧して終わりではありません。同じ問題を繰り返さないためには、原因を分析し、対策を講じ、組織全体の対応力を高めることが重要です。

    実際のインシデントでは、技術的な脆弱性だけでなく、運用ルールの不備や情報共有不足、訓練不足などが原因となっているケースも少なくありません。そのため、再発防止には技術対策だけでなく、体制や運用の見直しも欠かせません。

    本記事では、セキュリティインシデント発生後に取り組むべき再発防止策や、継続的な改善のポイントについて解説します。

    インシデント管理や対応フローの全体像については、関連記事もあわせてご覧ください。
    セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

    インシデントは「発生して終わり」ではない

    セキュリティインシデントは発生して終わりではなく、組織にとって重要な学習の機会でもあります。再発防止策の基本は、まず原因を正確に特定し、その根本的な要因を排除することです。技術的な脆弱性の修正だけでなく、運用ルールや業務プロセス、アクセス管理、ログ監視体制の見直しなど、組織全体の改善が求められます。特に、多くのインシデントは単一の要因ではなく、複数の小さな問題が重なって発生するため、広い視野での分析と対応が不可欠です。また、再発防止策は一度実施して終わりではなく、定期的な評価と改善サイクルを回すことで、組織のセキュリティ体制を継続的に強化できます。これにより、同じ種類の被害が繰り返されるリスクを大幅に低減できるのです。

    再発防止こそが最重要課題

    再発防止を確実にするためには、組織全体のセキュリティ体制を明確に整備することが不可欠です。具体的には、インシデント対応チーム(CSIRT)を設置し、平常時から役割分担を明文化しておくことで、発生時の混乱を最小限に抑えられます。例えば、技術担当者は原因調査や封じ込めを、法務担当者は法的リスクの確認や外部報告を、広報担当者は顧客や取引先への情報発信を、それぞれ責任範囲を明確にして迅速に対応します。また、経営層も意思決定や資源配分の役割を担い、全社的な支援体制を構築することが重要です。このような体制を事前に整えておくことで、インシデント発生後の対応スピードが向上し、被害の拡大や二次的な損失を防ぐことができます。

    再発防止のためのアプローチ

    従業員教育と意識向上

    セキュリティインシデントの再発防止には、従業員一人ひとりの意識向上が欠かせません。技術的対策や体制整備だけでは、人的ミスや不注意による情報漏洩、誤操作を完全に防ぐことはできません。そのため、定期的なセキュリティ教育や訓練を通じて、最新の脅威や攻撃手法、社内ルールの理解を深めることが重要です。例えば、フィッシングメールの疑似演習やパスワード管理の強化、情報取り扱いに関するケーススタディを行うことで、従業員の行動が組織全体のセキュリティ強化につながります。さらに、教育や訓練の効果は一度きりではなく、継続的に評価し改善していくことが求められます。このように、人的要因への対応を組み込むことで、組織全体の防御力が大きく向上します。

    セキュリティポリシーの定期的な見直し

    再発防止策を有効に機能させるためには、定期的な監査と評価が不可欠です。導入したセキュリティ対策や運用ルールが実際に遵守されているか、効果があるかを定期的に確認することで、弱点や改善点を早期に発見できます。例えば、アクセス権限やログ管理の運用状況をチェックする内部監査、脆弱性診断やペネトレーションテストなどの技術的評価を組み合わせることで、組織全体の安全性を客観的に評価できます。また、監査や評価の結果をもとに改善策を実行し、PDCAサイクルを回すことで、インシデント再発のリスクを継続的に低減することが可能です。このプロセスをルーチン化することで、組織はインシデントに強い体制を築くことができるようになります。

    セキュリティ対策の継続的強化

    再発防止には、組織全体の運用や体制強化だけでなく、セキュリティ対策の継続的な見直しも重要です。脆弱性の発見やパッチ適用、アクセス制御の見直し、ファイアウォールやIDS/IPSなどのセキュリティ機器の設定確認は、常に最新の脅威に対応するために欠かせません。また、クラウドサービスやモバイル端末など、新たなIT資産を導入する際も、初期設定のセキュリティ強化や監視体制の整備を行う必要があります。さらに、ログ監視やアラート機能の精度向上、異常検知の自動化など、セキュリティ対策を継続的に見直すことで、インシデントの早期発見と被害拡大防止が可能となります。技術面の強化は、組織の防御力を底上げし、再発リスクを大幅に低減する基盤となります。

    インシデント発生後の振り返り(ポストモーテム)

    インシデント対応が一段落した後は、必ず振り返り(ポストモーテム)を行い、再発防止策の精度を高めることが重要です。具体的には、発生原因、対応のスピードや手順の適切さ、情報共有の精度、関係者間の連携状況などを詳細に分析します。この振り返りによって、改善すべき運用上の課題や技術的な弱点が明確になり、次回以降の対応力向上につながります。また、振り返りの結果は、社内マニュアルや教育資料に反映させることで、組織全体の知見として蓄積されます。さらに、経営層への報告を通じて資源や方針の見直しにも活用することで、組織全体のセキュリティ文化を強化し、インシデント再発リスクを大幅に低減できます。

    まとめ

    セキュリティインシデントは発生して終わりではなく、発生後の対応や改善こそが組織の安全性を左右します。本記事では、再発防止策の基本、組織体制の強化、従業員教育、定期的な監査、技術的対策の継続的強化、そしてポストモーテムによる振り返りまで、包括的な対策のポイントを解説しました。これらを継続的に実施することで、インシデントの再発リスクを大幅に低減し、企業の信頼性と業務継続性を確保できます。次回以降も、組織全体でセキュリティ力を高める取り組みが重要です。

    再発防止策を継続的に実行するためには、CSIRTを含むインシデント対応体制の整備が重要です。
    インシデント対応体制とは?CSIRTの役割と企業が整えるべき運用のポイント

    BBSecでは

    セキュリティインシデントの再発防止と体制強化は、組織の安全性を高めるために不可欠です。BBSECでは、インシデント発生時に迅速かつ効果的に対応できる体制構築を支援する「インシデント初動対応準備支援サービス」を提供しています。このサービスでは、実際のインシデント発生時に参照可能な対応フローやチェックリストの作成をサポートし、組織の対応力を強化します。さらに、インシデント対応訓練を通じて、実践的な対応力を養うことも可能です。詳細については、以下のリンクをご覧ください。

    https://www.bbsec.co.jp/service/evaluation_consulting/incident_initial_response.html
    ※外部サイトにリンクします。

    【参考情報】

    公開日:2025年10月22日
    更新日:2026年6月17日

    編集責任:木下


    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

    最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    セキュリティインシデント発生時の対応 ―初動から復旧まで解説―

    Share
    セキュリティインシデント発生時の対応アイキャッチ画像

    セキュリティインシデントが発生した際は、限られた時間の中で被害拡大を防ぎ、原因を調査し、業務復旧を進める必要があります。しかし、実際の現場では「まず何をすべきか」「どこまで影響が広がっているのか」「誰に報告すべきか」と判断に迷うケースも少なくありません。

    初動対応の遅れや判断ミスは、情報漏えいや業務停止などの被害拡大につながる可能性があります。本記事では、セキュリティインシデント発生時に企業が取るべき対応について、初動対応から復旧までの流れを解説します。

    なお、インシデント管理の全体像については、以下の記事で詳しく解説しています。
    セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

    インシデント対応が遅れると被害が拡大する―「初動対応」の重要性

    セキュリティインシデントが発生した際、最初に求められるのは「被害の拡大を防ぐこと」です。具体的には、該当システムのネットワーク接続を遮断する、影響範囲を限定する、ログを確保して証拠を保存するといった行動が挙げられます。ここで重要なのは、焦ってシステムを完全に停止させたり証拠を消去したりしてしまわないことです。例えば、感染が疑われるPCを慌てて初期化すると、攻撃経路やマルウェアの痕跡といった重要な調査情報を失うことになり、後続の対応が困難になります。そのため、インシデント発生時には「まず拡大防止と証拠保全を優先する」という基本原則を徹底する必要があります。初動段階での判断ミスが、被害規模や復旧にかかる時間を大きく左右するのです。

    セキュリティインシデント対応の基本フロー

    社内連携と報告体制

    セキュリティインシデントが発生した際、技術的な対応と同じくらい重要なのが「社内連携と報告体制」です。現場担当者が異常を検知した場合、直属の上司や情報システム部門への迅速な報告はもちろん、経営層へのエスカレーションルートを明確にしておくことが不可欠です。さらに、インシデント対応を一部門だけに任せるのではなく、法務・広報・総務など関連部門との連携が欠かせません。例えば、法務部門は法的リスクの確認や外部機関への届出判断を担い、広報部門は顧客や取引先への適切な情報発信を行います。これらが連携できていないと、組織全体としての対応が後手に回り、混乱や信頼失墜を招く恐れがあります。そのため、平常時から「誰が・どのタイミングで・誰に報告するか」を明文化したインシデント対応計画を整備しておくことが重要です。

    被害範囲の特定

    セキュリティインシデントが発生した際に、初動対応で重要なのが「被害範囲の特定」です。単なる障害や一時的な不具合と、外部からの不正アクセスやマルウェア感染といったインシデントを明確に区別する必要があります。具体的には、ログの解析やネットワーク監視、ユーザ報告などを通じて、侵入経路や影響を受けたシステム、漏洩が疑われる情報を洗い出します。この段階で誤った判断を下すと、被害を過小評価して対応が遅れたり、逆に過大評価して不要な混乱を招いたりするリスクがあります。そのため、迅速かつ客観的に状況を評価できる仕組みを整えておくことが欠かせません。

    被害の封じ込め・拡大防止

    被害範囲を特定した後は、被害の「封じ込め」が必要です。これは、インシデントの拡大を防ぎ、さらなる被害を最小限に抑えるための重要なプロセスです。例えば、侵害を受けたサーバをネットワークから切り離す、攻撃者が利用したアカウントを即座に無効化する、通信を一時的に遮断するなどの対応が考えられます。ただし、封じ込めの方法を誤ると、証拠が失われたり、攻撃者に異変を察知されて活動を隠蔽されたりする恐れもあります。そのため、封じ込めの対応はセキュリティチーム内で役割を明確にし、優先順位を付けて慎重に進めることが求められます。

    原因調査・ログ解析・フォレンジック調査

    封じ込めが完了した後は、インシデントの原因を突き止める「原因調査」が不可欠です。攻撃者がどのように侵入したのか、どの脆弱性を悪用したのか、内部関係者の過失や不正が関与していないかなど、多角的な視点から調査を進める必要があります。ログ解析やフォレンジック調査を通じて、攻撃経路や被害状況を正確に把握することが求められます。この段階で調査が不十分だと、再発防止策が不完全となり、再び同様の被害を招く可能性が高まります。そのため、外部のセキュリティ専門家の協力を得るケースも少なくありません。

    復旧対応

    原因が特定された後は、システムやサービスの復旧作業に移ります。ただ単に停止したサービスを再開させるのではなく、原因を取り除き、安全性を確認したうえで再稼働することが重要です。例えば、脆弱性が悪用されていた場合はセキュリティパッチを適用し、不正アクセスで改竄されたデータがあればバックアップから復旧します。また、復旧の際には「段階的な再開」を意識することが推奨されます。いきなり全システムを戻すのではなく、優先度の高いシステムから順に稼働させ、監視を強化しながら正常性を確認することで、再度の障害発生や攻撃再開のリスクを軽減できます。

    関係者への報告・情報共有

    復旧作業と並行して、関係者への適切な報告や情報共有も欠かせません。セキュリティインシデントは自社だけの問題ではなく、取引先や顧客、さらには規制当局にまで影響が及ぶ可能性があります。そのため、影響範囲を正確に把握したうえで、必要な関係者に迅速かつ誠実に情報を提供することが求められます。特に個人情報漏洩が発生した場合、法令やガイドラインに従った報告が義務付けられているケースも多く、対応を怠れば法的リスクや企業の信頼失墜につながります。また、社内向けの情報共有も重要であり、従業員が不安や誤情報に惑わされないよう、明確なメッセージを発信する体制を整えることが望まれます。

    再発防止策の検討

    インシデント対応の最終段階は、再発を防ぐための改善策を講じることです。単に原因を修正するだけでなく、組織全体のセキュリティ体制を見直す機会として活用することが重要です。例えば、脆弱性管理の仕組みを強化する、アクセス制御のルールを見直す、ログ監視やアラートの精度を高めるなど、技術的な改善が挙げられます。また、従業員へのセキュリティ教育や定期的な訓練を実施し、人為的なミスや不注意を減らす取り組みも効果的です。さらに、インシデント対応の流れを記録し、振り返り(ポストモーテム)を行うことで、今後同様の事態が発生した際に迅速かつ適切に対処できる体制を構築できます。

    BBSecでは

    セキュリティインシデントの再発防止や体制強化を確実に行うには、専門家の支援を受けることも有効です。BBSecでは緊急対応支援サービスも提供しています。突然の大規模攻撃や情報漏洩の懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    まとめ

    本記事では、セキュリティインシデントが発生した際に組織が取るべき対応を、初動から原因調査、復旧、関係者への報告、そして再発防止まで段階的に解説しました。インシデント対応は単なる技術的作業ではなく、社内連携や外部機関との調整、法令遵守、そして企業全体の信頼維持といった広範な要素が関わります。特に初動対応の速さや正確さは被害の拡大を防ぐ鍵となるため、日頃からの対応体制の整備や訓練が欠かせません。次回第3回では、インシデントの発生を未然に防ぐ取り組みや、組織全体でのセキュリティ強化策について詳しく解説し、実践的な予防策のポイントを紹介します。

    インシデント発生時の対応を円滑に進めるためには、平時から対応体制を整備しておくことが重要です。
    インシデント対応体制とは?CSIRTの役割と企業が整えるべき運用のポイント

    【参考情報】

    公開日:2025年10月8日
    更新日:2026年6月17日

    編集責任:木下


    ウェビナー開催のお知らせ

    最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    セキュリティインシデントとは?基礎知識と代表的な事例を解説

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    セキュリティインシデントとは何か?基礎知識と代表的な事例アイキャッチ画像

    サイバー攻撃や情報漏えい、不正アクセス、ランサムウェア感染など、企業を取り巻くセキュリティリスクは年々増加しています。こうした事象は「セキュリティインシデント」と呼ばれ、発生した場合は情報資産の損失だけでなく、事業停止や信用低下につながる可能性があります。

    しかし、「どのような事象がセキュリティインシデントに該当するのか」「企業はどのようなリスクを認識すべきか」を正しく理解できていないケースも少なくありません。

    本記事では、セキュリティインシデントの定義や代表的な事例、企業への影響についてわかりやすく解説します。

    インシデント管理や対応フローの全体像については、関連記事もあわせてご覧ください。
    セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像

    セキュリティインシデントの定義

    セキュリティインシデントとは、情報システムやネットワークにおいて、情報のセキュリティの3要素、「機密性」「完全性」「可用性」を脅かす事象の総称です。具体的には、不正アクセスや情報漏洩、マルウェア感染、サービス運用妨害(DoS)攻撃などが含まれます。近年はクラウドやリモートワークの普及により、攻撃対象や被害の範囲が広がり、セキュリティインシデントの発生リスクは増大しています。国内外で大規模な事件が相次いで報道されるなか、インシデントの発生はもはや大企業に限られた問題ではなく、中小企業や自治体、教育機関に至るまで幅広い組織が直面しています。そのため、経営層から現場担当者に至るまで、セキュリティインシデントへの理解と備えが求められているのです。

    セキュリティインシデントの種類(例)

    一口にセキュリティインシデントといっても、その内容は多岐にわたります。代表的なものとしては、まず「不正アクセス」が挙げられます。攻撃者が外部からシステムに侵入し、機密情報を窃取したり改竄したりするケースです。次に「マルウェア感染」があります。ウイルスやランサムウェアなどの悪意あるソフトウェアにより、データが暗号化され業務が停止する被害が増えています。また、従業員による「内部不正」も見逃せません。権限を持つ社員が意図的に情報を持ち出すケースや、誤操作による情報流出が問題化しています。さらに「情報漏洩」や「サービス停止(DoS/DDoS攻撃など)」も、企業活動を直撃する深刻なインシデントです。このようにセキュリティインシデントは外部攻撃だけでなく、内部要因やシステム障害など多面的に発生し得るため、幅広い視点での備えが不可欠です。

    実際に発生した主なセキュリティインシデント事例

    セキュリティインシデントは国内外で日々多発しています。この表は2025年8月から9月にかけて発生した主要な国内インシデント事例をまとめたものです。ランサムウェア攻撃や不正アクセスによる被害が多く、特に製造業や重要インフラへの影響が深刻化している傾向が見られます。

    被害報告日被害企業概要主な原因影響範囲
    2025年9月国内ガス・電力会社人為的ミスLPガス検針端末の紛失顧客情報6,303件の漏洩等のおそれ*1
    2025年9月国内デジタルサービス運営委託事業者個人情報漏洩受講状況管理ツールへの登録作業ミスリスキリングプログラム受講者1名の個人情報が他の受講者1名に閲覧可能に*2
    2025年9月国内食料品小売業個人情報漏洩サーバへの第三者からの不正アクセス企業情報及び個人情報が流出した可能性*3
    2025年9月委託事業者操作・管理ミスオペレーターの利用者情報取り違い高齢者の見守り・安否確認が行われず*4
    2025年9月国内オフィス機器販売会社個人情報漏洩第三者による不正アクセスカード支払い顧客の情報漏洩の可能性*5
    2025年8月ハウステンボス株式会社システム障害第三者による不正アクセス一部サービスが利用できない状況に*6
    2025年8月国内電力関連会社不正ログインリスト型攻撃(複数IPアドレスから大量ログイン試行)ポイント不正利用444件*7
    2025年8月国内機器メーカー企業不正アクセス海外グループ会社を経由した第三者の不正アクセス一部サービス提供停止(8月16日復旧)*8
    2025年8月医療用メーカー企業マルウェア感染システムのランサムウェア感染2日間出荷停止、その後再開*9
    2025年8月国内建設事業者マルウェア感染システムのランサムウェア感染海外グループ会社の一部サーバが暗号化*10
    2025年8月国内外郭団体乗っ取り第三者による一部メールアドレスの乗っ取り迷惑メール送信元として悪用*11
    2025年8月暗号資産交換事業者クラウド設定ミス顧客データ移転作業中のクラウド設定ミス海外メディアの報道で発覚、アクセス制限不備*12
    2025年8月国内銀行元従業員による情報の不正取得出向職員による電子計算機使用詐欺アコムから出向の元行員が逮捕・懲戒解雇*13
    2025年8月国内病院個人情報不正利用委託職員が診療申込書から電話番号を不正入手LINEで患者に私的メッセージを送付*14
    2024年12月国内総合印刷事業者マルウェア感染VPNからの不正アクセス(パスワード漏洩または脆弱性悪用)複数のサーバが暗号化される被害*15

    これらの事例は「セキュリティインシデントは特定の大企業だけの問題ではない」という現実を示しており、規模や業種にかかわらず備えが不可欠であることを強調しています。

    セキュリティインシデントが企業に与える影響

    セキュリティインシデントが発生すると、企業は多方面に深刻な影響を受けます。最もわかりやすいのは、システム停止や情報漏洩に伴う金銭的損失です。業務が一時的に止まることで売上が減少し、復旧作業や調査にかかる費用も膨大になります。さらに、顧客情報や取引先情報が流出すれば、企業の信頼性が大きく揺らぎ、契約解除や取引停止に直結する可能性があります。また、個人情報保護法や業界ごとのセキュリティ基準に違反すれば、法的責任や行政処分を受けるリスクも高まります。株式市場に上場している企業であれば、セキュリティインシデントの公表によって株価が急落するケースも少なくありません。このように、単なるシステム障害にとどまらず、企業経営全体に打撃を与える点がセキュリティインシデントの恐ろしさといえます。

    セキュリティインシデントを理解したら、次に重要なのは実際に発生した際の対応手順です。初動対応から復旧までの流れについては、以下の記事で詳しく解説しています。
    インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイント

    まとめ

    本記事では、セキュリティインシデントの定義や種類、実際に発生した事例、そして企業に及ぼす影響について解説しました。改めて強調すべきは、セキュリティインシデントは大企業だけでなく、中小企業や自治体、教育機関などあらゆる組織にとって現実的な脅威であるという点です。しかも一度発生すると、金銭的損失だけでなく、顧客や取引先からの信頼低下、法的リスク、社会的信用の失墜といった連鎖的な被害を引き起こします。こうした背景から、セキュリティインシデントを「発生してから考える」姿勢ではなく、「発生する前提で備える」姿勢が求められています。次回は、実際にインシデントが発生した際にどのような対応が必要なのか、初動から復旧までの流れを詳しく解説します。

    【関連記事】

    セキュリティインシデントへの理解を深めたい方は、以下の記事もあわせてご覧ください。

    【参考情報】

    公開日:2025年10月1日
    更新日:2026年6月17日

    編集責任:木下


    サイバーインシデント緊急対応

    サイバーセキュリティ緊急対応電話受付ボタン
    SQAT緊急対応バナー

    ウェビナー開催のお知らせ

    最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    【企業のためのランサムウェア対策ガイド】ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説

    Share
    ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説アイキャッチ画像

    ランサムウェア対策を考えるうえで重要なのが、「どこから侵入されるのか」を理解することです。近年の企業向けランサムウェア攻撃では、メールだけでなく、VPN機器やリモートデスクトップ(RDP)の脆弱性、認証情報の悪用、サプライチェーン経由の侵入など、多様な経路が利用されています。本記事では、企業が見落としがちな代表的な感染経路と、その対策の考え方について解説します。

    ランサムウェアの基本的な仕組みや全体像については、以下の記事で整理しています。
    ランサムウェアとは何か ―企業が知るべき被害・仕組み・対策の基本―

    ランサムウェアは、ある日突然社内のパソコンやサーバ上で実行されるように見えます。しかし実際には、その前段階で攻撃者が企業ネットワークへ侵入しています。メール、VPN機器、リモートデスクトップ、ソフトウェアの脆弱性、外部委託先など、侵入経路はさまざまです。特に近年は、単に添付ファイルを開かせる攻撃だけでなく、インターネットに公開されたVPN機器やリモートアクセス環境の脆弱性、認証情報の悪用、委託先や外部サービスを踏み台にした侵入が問題になっています。警察庁やIPAの資料でも、国内のランサムウェア被害ではVPN機器やリモートデスクトップなど、テレワーク環境に関連する経路が多く確認されています。

    ランサムウェアはどこから侵入するのか

    ランサムウェアの感染経路は、ひとつに限定されません。攻撃者は、企業の外部に開いている入口、従業員が日常的に使うメール、保守やテレワークのためのリモート接続、未修正のソフトウェア、さらには取引先や委託先との接続関係まで、複数の経路を組み合わせて侵入を試みます。従来は、ランサムウェアというと「不審なメールの添付ファイルを開いて感染する」というイメージが強くありました。もちろんメールは現在でも重要な感染経路ですが、企業におけるランサムウェア被害では、VPN機器やリモートデスクトップなど、外部から社内環境へ接続するための仕組みが狙われるケースが目立ちます。

    米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が公開している「#StopRansomware Guide」でも、ランサムウェアやデータ恐喝型攻撃の初期侵入経路として、インターネットに公開された脆弱性や設定ミス、フィッシング、認証情報の悪用、リモートアクセス環境などが重視されています。つまり、ランサムウェア対策は「端末にウイルス対策ソフトを入れる」だけでは不十分であり、外部公開資産、認証、運用設定、委託先管理まで含めて考える必要があります。

    代表的な感染経路

    メールによる感染

    メールは、現在でもランサムウェア感染の代表的な入口です。攻撃者は、請求書、見積書、配送通知、業務連絡、採用関連の連絡などを装い、添付ファイルや本文中のリンクを開かせようとします。従業員が添付ファイルを開いたり、リンク先で認証情報を入力したりすると、マルウェア感染やアカウント窃取につながる可能性があります。ただし、近年のランサムウェア攻撃では、メールから即座に暗号化が始まるとは限りません。メールをきっかけに認証情報を盗み、その後VPNやクラウドサービスへ不正ログインする場合もあります。また、メール経由で侵入したマルウェアが端末内の情報を収集し、攻撃者が次の侵入経路を探す足がかりになることもあります。そのため、メール対策は「怪しいメールを開かないように教育する」だけでは不十分です。迷惑メール対策、添付ファイルの検査、URLフィルタリング、多要素認証、端末の挙動監視を組み合わせ、万が一クリックされても被害が広がりにくい仕組みを整える必要があります。

    VPN機器の脆弱性

    企業のランサムウェア対策で特に注意すべき感染経路が、VPN機器の脆弱性です。VPNは、テレワークや拠点間接続、外部からの保守作業に欠かせない仕組みですが、インターネット側に公開されているため、攻撃者にとっても狙いやすい入口になります。独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2026」でも、ランサムウェア被害の感染経路としてVPN機器経由が大きな割合を占め、VPN機器経由とリモートデスクトップ経由を合わせると毎年高い割合を占めていることが示されています。

    VPN機器に未修正の脆弱性が残っている場合、攻撃者は認証を突破したり、機器上の情報を盗んだり、社内ネットワークへ侵入したりする可能性があります。特に、サポート切れの機器、更新が滞っているファームウェア、初期設定に近いまま運用されている環境、不要なアカウントが残っている環境は危険です。VPN機器は一度導入すると、業務インフラとして長く使われがちです。そのため、導入時には問題がなかったとしても、数年後に深刻な脆弱性が公表され、攻撃対象になることがあります。ランサムウェア対策では、VPN機器のメーカー名、型番、バージョン、サポート期限、適用済みパッチを定期的に確認することが重要です。

    リモートデスクトップ(RDP)の悪用

    リモートデスクトップ(RDP)も、ランサムウェアの代表的な感染経路です。RDPは、離れた場所から社内のPCやサーバを操作できる便利な仕組みですが、外部から直接接続できる状態になっていると、攻撃者にとって格好の侵入口になります。CISAが公開するランサムウェア関連アドバイザリ(#StopRansomware: Akira Ransomware)でも、RDPやVPNなどのリモートアクセスサービスが初期侵入に使われる事例が継続的に示されています。

    攻撃者は、単純なパスワードの総当たり攻撃、過去に漏えいした認証情報の悪用、設定不備の探索などによって、RDP接続を突破しようとします。一度RDP経由で社内端末やサーバへ入られると、攻撃者は管理者権限の取得、他端末への横展開、データの持ち出し、バックアップの削除、ランサムウェアの実行へと進む可能性があります。RDPを業務上どうしても使う場合は、インターネットへ直接公開しないことが基本です。VPNやゼロトラスト型のアクセス制御を経由させ、多要素認証を必須にし、接続元制限、ログ監視、不要アカウントの削除を徹底する必要があります。

    ソフトウェアの脆弱性

    ランサムウェアの感染経路として見落とされやすいのが、OS、ミドルウェア、業務システム、Webアプリケーション、ネットワーク機器などのソフトウェア脆弱性です。Verizon「2025 Data Breach Investigations Report」(DBIR)でも、脆弱性の悪用による初期アクセスが増加していることが示されており、境界デバイスや外部公開システムの管理が企業のセキュリティ課題として重要になっています。

    攻撃者は、公開された脆弱性情報をもとに、未修正のシステムをインターネット上で探索します。特に危険なのは、外部からアクセスできるシステムに深刻な脆弱性が残っている場合です。VPN、ファイアウォール、メールサーバ、ファイル転送システム、Web管理画面、クラウド連携用の管理コンソールなどは、攻撃者から常に探索対象になっていると考えるべきです。脆弱性対策では、単にパッチを適用するだけではなく、自社がどのシステムを外部公開しているかを把握することが出発点になります。資産管理が不十分なままでは、どの機器に脆弱性があるのか、どのシステムを優先して更新すべきかを判断できません。

    サプライチェーン経由の感染

    ランサムウェアの感染経路は、自社のネットワークや端末だけに限られません。委託先、外部サービス、クラウドサービス、保守ベンダー、取引先との接続環境を通じて侵入されることもあります。こうした外部経由の侵入は、サプライチェーン攻撃としても知られています。Verizon「2025 Data Breach Investigations Report」でも、漏えい・侵害に第三者が関与する割合が増加していることが示されており、サプライチェーンリスクは企業規模を問わず無視できない課題になっています。

    たとえば、業務委託先が利用しているアカウントが侵害され、そのアカウントを使って自社環境へ不正アクセスされるケースがあります。また、外部保守用に開放していたリモート接続が攻撃者に悪用される場合や、取引先とのファイル共有環境を通じてマルウェアが持ち込まれる場合もあります。サプライチェーン経由の感染が厄介なのは、自社だけで完全に制御しにくい点です。自社のセキュリティ対策が一定水準に達していても、接続先や委託先の管理が甘ければ、そこが攻撃者にとっての入口になります。

    こうした外部経由の侵入は、サプライチェーン攻撃としても知られています。詳しくは以下の記事で解説しています。
    サプライチェーン攻撃とは ―委託先・外注先リスクから情報漏えいを防ぐ全体像―

    ランサムウェア対策としては、委託先との接続経路、付与している権限、共有している情報、外部アカウントの管理状況を定期的に見直す必要があります。外部委託先に対しても、多要素認証、アクセス権限の最小化、ログ取得、契約上のセキュリティ要件、インシデント発生時の連絡体制を確認しておくことが重要です。

    なぜ気づかず侵入されるのか

    ランサムウェア感染が深刻化する理由のひとつは、攻撃者が侵入してから暗号化を実行するまでに時間差があることです。企業側から見ると、ある日突然ファイルが暗号化されたように見えます。しかし実際には、その前に認証情報の窃取、社内探索、権限昇格、横展開、データ窃取といった活動が行われている場合があります。攻撃者が長く潜伏できる背景には、認証情報の管理不備があります。退職者や異動者のアカウントが残っている、管理者権限が過剰に付与されている、同じパスワードを複数システムで使い回している、多要素認証が導入されていない、といった状態では、攻撃者にとって侵入後の行動が容易になります。また、設定ミスも大きな問題です。RDPがインターネットに公開されている、VPN機器のファームウェアが古い、管理画面に外部からアクセスできる、不要なポートが開いている、ログが保存されていないといった状態は、攻撃者にとって有利に働きます。

    NIST(米国立情報技術研究所)NIST IR 8374 Rev.1「Ransomware Risk Management: A Cybersecurity Framework 2.0 Community Profile」では、ランサムウェアへの備えとして、識別、防御、検知、対応、復旧を含めた包括的なリスク管理の重要性が示されています。これは、ランサムウェア対策が単なるマルウェア対策ではなく、資産管理、アクセス制御、バックアップ、ログ監視、インシデント対応を含む経営課題であることを意味します。

    感染リスクを下げるための考え方

    ランサムウェアの感染リスクを下げるには、すべての対策を一度に完璧に実施しようとするのではなく、侵入されやすい場所から優先順位をつけて対策することが重要です。特に企業では、VPN機器、リモートデスクトップ、外部公開サーバ、メール、認証情報、委託先接続の順に確認すると、自社の弱点を見つけやすくなります。

    最初に行うべきことは、外部から見える資産の棚卸しです。どのVPN機器を使っているのか、RDPが外部公開されていないか、古いサーバや管理画面が残っていないか、クラウドサービスの管理者アカウントが適切に管理されているかを確認します。自社が把握していないシステムは、守ることも更新することもできません。次に、認証情報の保護を強化します。多要素認証の導入、不要アカウントの削除、管理者権限の最小化、パスワードの使い回し防止、ログイン試行の監視は、ランサムウェア対策の基本です。特にVPN、RDP、クラウド管理画面、メールアカウントには優先的に適用すべきです。さらに、脆弱性管理を継続的に行う必要があります。OSやソフトウェアの更新だけでなく、ネットワーク機器、VPN、ファイアウォール、NAS、ファイル転送システムなど、外部公開される可能性のある機器の脆弱性情報を確認し、リスクの高いものから修正します。バックアップも重要ですが、バックアップがあるだけでは十分ではありません。攻撃者にバックアップまで削除・暗号化されないよう、ネットワークから分離したバックアップや、復旧手順の確認が必要です。ランサムウェア対策では、感染を防ぐ対策と、感染した場合でも事業を止めない対策を組み合わせることが求められます。

    まとめ

    ランサムウェアの感染経路は、メールだけではありません。VPN機器の脆弱性、リモートデスクトップの悪用、ソフトウェアの未修正脆弱性、認証情報の窃取、設定ミス、委託先や外部サービスを経由したサプライチェーン攻撃など、企業のさまざまな入口が狙われています。特に近年の企業向けランサムウェア攻撃では、攻撃者が事前に社内ネットワークへ侵入し、権限を広げ、データを盗み、最後に暗号化を実行する流れが一般化しています。そのため、ランサムウェア対策は「感染後にどう復旧するか」だけでなく、「どこから入られる可能性があるか」を把握し、侵入経路を減らすことから始める必要があります。

    企業がまず取り組むべきことは、自社の外部公開資産を把握し、VPNやRDPの設定を見直し、ソフトウェアの脆弱性を管理し、認証情報を守り、委託先との接続経路を確認することです。すべてを一度に完璧にする必要はありませんが、攻撃者にとって狙いやすい入口を放置し続けることは、ランサムウェア被害のリスクを高めます。ランサムウェアの感染経路を理解することは、対策の出発点です。自社のどこが侵入口になり得るのかを確認し、優先順位をつけて改善していくことが、企業のランサムウェア対策において最も現実的で効果的な第一歩になります。

    万が一感染してしまった場合の具体的な対応については、以下の記事で詳しく解説しています。
    セキュリティインシデントの基礎から対応・再発防止まで 第2回:セキュリティインシデント発生時の対応 ─初動から復旧まで

    【参考情報】

    編集責任:木下


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    ランサムウェアに感染したらどうする?―初動対応から復旧まで企業が取るべき対応を解説―

    Share

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る

    「ランサムウェアに感染したら?対策方法とは」アイキャッチ画像(パソコンをウイルスから保護するイメージ)

    この記事では、ランサムウェア攻撃の具体的な被害事例を通じて、被害に遭った場合の影響と対処法について触れながら、最後に、ランサムウェア対策の基本となるポイントを紹介します。この記事を通じて、ランサムウェアの脅威に対する理解を深め、基本的な対策を講じることの重要性を学んでいただければ幸いです。

    ランサムウェア攻撃の被害事例

    2017年に大規模な被害をもたらしたランサムウェア「WannaCry」は、Microsoft Windowsの未修正の脆弱性を悪用することで、世界中のコンピュータに急速に拡散しました。この脆弱性は、アメリカ国家安全保障局(NSA)が開発したとされるハッキングツールから漏洩したもので、WannaCryはこれを利用して無差別にシステムに侵入しました。攻撃の手口は、感染したコンピュータのファイルを暗号化し、被害者に身代金の支払いを要求するものでした。支払いはビットコインで行われることが多く、支払われない場合、ファイルは復号されずに失われると脅迫されました。社会への影響は甚大で、病院、学校、企業、政府機関など、世界中の数十万台のコンピュータが影響を受けました。特に医療機関では、患者の記録へのアクセスが妨げられ、治療に支障を来たす事態も発生しました。WannaCryは、サイバーセキュリティの重要性と、ソフトウェアの更新の必要性を広く認識させる契機となりました。

    2021年10月には、日本国内の医療機関がランサムウェア攻撃によって被害を受けました。VPN機器の脆弱性を悪用して侵入したとみられ、この攻撃により、医療センターのシステムは大幅に影響を受け、患者の電子データが使用できないなどの深刻な被害が発生しました。

    関連リンク:「拡大するランサムウェア攻撃!―ビジネスの停止を防ぐために備えを―

    主に企業・団体に向けたサイバー攻撃の被害として、ランサムウェアでの被害がありますが、令和4年上半期以降、高い水準で推移しています(棒グラフ参照)。

    企業・団体等におけるランサムウェア被害の報告件数の推移

    被害の特徴として、データの暗号化のみならず、データを窃取した上、「対価を支払わなければ当該データを公開する」という二重恐喝(ダブルエクストーション)の割合が多く、手口を確認できたもののうちの約8割を占めている。また、データを暗号化せずに対価を要求する「ノーウェアランサム」による被害も新たに確認されました。感染経路としては、前年と同様、脆弱性を有するVPN機器等や、強度の弱い認証情報等が設定されたリモートデスクトップサービスが原因となる事例が多かった(円グラフ参照)。

    ランサムウェア被害の感染経路

    2023年7月4日、国内物流組織がランサムウェア攻撃を受け、名古屋港の統一ターミナルシステムに障害が発生し、7月6日夕方の作業完全再開までのあいだ業務が一時停止する事態になりました。本件は、サイバー攻撃により港湾施設が操業停止に追い込まれた国内初の事例と報じられています。

    この事件を受け、国土交通省は、安全で安定的な物流サービスの維持・提供に資することを目的として、対策等検討委員会を設置しました。2023年9月に公開された調査資料「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策について」によれば、感染経路はVPN機器からの侵入が有力とされています。そして主な原因として、「保守作業に利用する外部接続部分のセキュリティ対策が見落とされていたこと」「サーバ機器およびネットワーク機器の脆弱性対策が不十分であったこと」などが挙げられています。

    ランサムウェアによる被害の影響

    ランサムウェア攻撃を受けた場合、企業への被害の影響は、以下のようなものがあります。

    身代金による金銭の損失

    ランサムウェア攻撃を受けた場合、身代金を支払うかどうかの選択を迫られます。身代金を支払った場合、その金額は数百万円から数億円に上ることもあります。また、身代金を支払ったとしても、データが復旧できないこともあるため、金銭的な損失は避けられません。

    事業での業務が停止

    ランサムウェア攻撃により、企業のシステムやデータが暗号化され、業務プロセスが停止することがあります。これにより、本来行われる業務が滞るため、生産性が低下します。業務が停止している期間が長引けば、競争力の低下や市場シェアの減少も懸念されます。

    顧客の喪失

    ランサムウェア攻撃により、顧客データが漏洩した場合、顧客の信頼を失い、顧客を喪失する可能性があります。また、攻撃によるシステムの停止や業務の遅延などによって顧客に損害を与えた場合、損害賠償請求を受ける可能性もあります。

    影響範囲

    ランサムウェア攻撃は、企業の規模や業種を問わず、あらゆる企業が標的となる可能性があります。また、攻撃対象は、企業のITインフラや業務システム、顧客データなど、多岐にわたります。そのため、攻撃を受けた場合の影響範囲は、企業によって大きく異なります。

    莫大なコストの発生

    ランサムウェア攻撃による被害コストは、身代金の支払い以外にも、システム復旧や顧客対応など、多岐にわたります。そのため、被害コストは数千万円から数億円に上ることもあります。

    ランサムウェアに感染したら

    マルウェア感染(特にランサムウェア感染)に気づいた場合、以下のステップに従って対処することが重要です。

    コンピューターウイルスに感染してしまった女性のイラスト
    1. ネットワークの切断:インターネットの接続を切断し、感染を広げないようにします。感染がネットワーク内に広がるのを防ぎ、攻撃者の操作を制限します
    2. コンピュータのシャットダウン:感染したコンピュータを即座にシャットダウンし、データへのアクセスをブロックします。これにより、攻撃者がデータの暗号化を続行するのを防ぎます
    3. 被害状況の報告:インシデント対応チームや情報セキュリティの担当者にすぐに報告し、被害の詳細を共有します。早急な対応が感染拡大を防ぎます
    4. バックアップの確認:バックアップからデータを復旧できるよう、バックアップを確認し、感染前のデータのコピーが利用可能であることを確認します
    5. 身代金の支払いはしない:攻撃者に身代金を支払わないようにしましょう。身代金を支払っても、データの復号が保証されないことがあります
    6. ランサムウェアの種類を特定:攻撃されたランサムウェアの種類を特定し、解析情報をセキュリティ専門家に提供します。これにより、未来の攻撃を防ぐための情報が得られます
    7. ノーモアランサム(No More Ransom):ランサムウェアの解除ツールが提供されている場合、それを利用してデータを復号化します。ノーモアランサムは、解除ツールを提供するプロジェクトの一例です

    これらの手順は、マルウェア感染に対処する基本的な対処手順です。セキュリティ対策の実施においては、セキュリティ専門家のアドバイスや組織内のポリシーに従うことも重要です。

    ランサムウェアの対策方法

    ランサムウェアの基本的な対策は、以下のとおりです。

    【システム管理者側での対策】

    • 標的型攻撃メール訓練の実施
    • 定期的なバックアップの実施と安全な保管(別の場所での保管推奨)
    • バックアップ等から復旧可能であることの定期的な確認
    • OS、各種コンポーネントのバージョン管理、パッチ適用
    • 認証機構の強化(14文字以上といった長いパスフレーズの強制や、適切な多要素認証の導入など)
    • 適切なアクセス制御および監視、ログの取得・分析
    • シャドーIT(管理者が許可しない端末やソフトウェア)の有無の確認
    • 攻撃を受けた場合に想定される影響範囲の把握
    • システムのセキュリティ状態、および実装済みセキュリティ対策の有効性の確認
    • CSIRTの整備(全社的なインシデントレスポンス体制の構築と維持)

    【ユーザ側での対策】

    • 不審なメールに注意し、容易にリンクをクリックしたり添付ファイルを開いたりしない
    • 適切な認証情報の設定(多要素認証の有効化・パスワードの設定)
    • OSおよびソフトウェアを最新の状態に保つ
    • データを定期的にバックアップしておく
    • セキュリティソフトを導入し、定義ファイルを常に最新の状態に保つ
    • セキュリティアップデートの通知を設定する
    • 不審なアクティビティを検出した場合には、社内へ報告する

    基本的な対策こそが重要

    ランサムウェアはRaaSの登場などによる犯罪のビジネス化により、攻撃のハードルが下がったことで、高度な技術力を持たなくても攻撃者が参入しやすくなり、攻撃の数は増えるかもしれません。しかし、過去からある基本的なセキュリティ対策を講じていれば、多くの攻撃は未然に防げることに変わりはありません。基本的なセキュリティ対策こそが効果的であるという前提に立って、今一度自組織のセキュリティを見直すことが重要です。

    ランサムウェア攻撃は、特に重要インフラ14分野※においては人命や財産などに深刻な被害をもたらす恐れがあります。
    ※重要インフラ14分野…重要インフラとは、他に代替することが著しく困難なサービスのこと。その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は社会経済活動に多大なる影響を及ぼすおそれが生じるもののことを指す。内閣府サイバーセキュリティ戦略本部「重要インフラの情報セキュリティ対策に係る行動計画」では、「重要インフラ分野」として、「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス(地方公共団体を含む)」、「医療」、「水道」、「物流」、「化学」、「クレジット」および「石油」の14分野を特定している。

    たとえ自社が該当しない業種であっても、同じサプライチェーン上のどこかに重要インフラ事業者がいるのではないでしょうか。つまり、ランサムウェア攻撃というものは常にその被害に遭う可能性があるものと認識する必要があります。ランサムウェア攻撃への備えとして、まずは現状のセキュリティ対策状況を把握するための一つの手段として、セキュリティ診断などを実施することをおすすめします。

    感染後の対応だけでなく、被害を未然に防ぐためには侵入経路や攻撃手法を理解しておくことも重要です。
    ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説


    公開日:2024年3月8日
    更新日:2026年6月17日

    編集責任:木下


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    Security NEWS TOPに戻る
    バックナンバー TOPに戻る