ランサムウェア被害時のフォレンジック調査はどう進む? 費用・期間・対応フローと平時の備えを専門家に聞く

IT・情報セキュリティ

目次

  1. フォレンジック調査とは 目的とスケジュール、報告内容
  2. フォレンジック事業者への依頼時にすべきこと・避けるべきこと
  3. 平時から、ネットワーク構成図・ログ・役割分担の準備を
  4. ランサムウェア被害への対応にまつわる「落とし穴」

もしも自社がランサムウェア被害にあったとしたら、はじめの24時間、48時間、そして復旧に至るまでには、誰に協力をあおぎ、どう対応するべきなのか――。

ランサムウェア被害時の対応と再発防止の成否を左右するのが、フォレンジック調査です。しかし、深刻なサイバー被害を経験したことがない企業では、フォレンジック調査が必要になることは認識していても、有事の具体的な対応方法や事前にとるべき準備等については整理できていないのが実情ではないでしょうか。

本記事では、調査の流れから、依頼時にすべきこと・避けるべきこと、平時にとるべき備えについて、フォレンジック・エンジニアと弁護士との共同チームによるフォレンジックサービスを提供するTMIプライバシー&セキュリティコンサルティング株式会社代表取締役の大井哲也弁護士と、フォレンジック・エンジニアの安島健太氏に聞きました。

この記事のポイント
  • フォレンジック調査によりサイバー攻撃の手口や被害状況、影響範囲を特定することで、当局対応の要否の判断や、再発防止に役立つ
  • ランサムウェア被害が発生した場合は、被害の封じ込めを行ったうえで、フォレンジック事業者への連絡、情シス、法務、被害部門等の担当者による調査のキックオフミーティングの開催を24時間以内に行うことが望ましい
  • ランサムウェア被害時のフォレンジック調査を事業者に依頼する場合、約1か月の調査期間と、数百万円規模の費用を要する
  • 平時から準備できることとして、ネットワーク構成図の作成・更新、システムログの蓄積、複数のフォレンジック事業者との関係づくり、インシデント対応訓練をとおした役割分担の精緻化などがある
  • 「個人情報は外部に送られていないから漏洩していない」という誤った判断から、フォレンジック調査の必要性に気づかないケースが少なくない。その場合、事故原因が究明されないまま対応が後手に回り、被害が再発するリスクがある

フォレンジック調査とは 目的とスケジュール、報告内容

ランサムウェア被害にあった際に、なぜフォレンジック調査が必要なのでしょうか。

大井弁護士:
フォレンジック調査の目的は、サイバー攻撃による被害状況、手口、被害の影響範囲を特定したうえで、再発防止に役立てることにあります

また当局対応の観点では、フォレンジック調査を通じて、サイバー攻撃による情報漏洩のおそれがあるかどうかの事実認定も行います。ここで漏洩のおそれが認められれば、企業は個人情報保護法にのっとって、個人情報保護委員会への速報・確報、被害者への本人通知といったアクションをとる必要が出てきます。

ランサムウェア被害が発生した場合、どのような初動対応を行い、どういったタイミングでフォレンジック事業者に連絡すべきなのでしょうか。

安島氏:
ランサムウェアによる被害を検知したら、まずやってほしいのは被害の封じ込めです。被害端末のLANケーブルを抜く、Wi-Fiとの接続を切るなど、被害が広がらないようにネットワークを遮断することが重要です。

次に、自社での調査が難しい場合には、フォレンジック事業者に連絡するとともに、情報システム部門、法務部門、被害を受けた関連部門の担当者を含めて、調査のキックオフミーティングを開きます。ここまでを24時間以内に行ったほうがいいでしょう

調査を開始するにあたっては、ネットワークやシステムの構成図をフォレンジック事業者に提供したうえで、被害がどこまで広がっているかを把握し、調査範囲を確定します。その後、フォレンジック事業者が被害にあった端末を回収したりシステムログを集めたりして、解析調査を開始するという流れです。このあたりまでは、被害当日から翌日には実施したいところです

また、ビジネスの継続性を担保するために、被害範囲とそうでない範囲を切り分けるための短期調査(ファストフォレンジック)を行うこともあります。被害企業が持つどの端末まで侵害が広がっているかを調査し、たとえば100台中10台は侵害されているが、残り90台はクリーンだとわかれば、前者のみを重点的に調査するといった具合です。

調査が完了するまでには、どれくらいの期間がかかるのでしょうか。

安島氏:
被害範囲や機器の台数など規模にもよりますが、おおむね1か月を要します。ケースによっては、調査が進む中で調査範囲を広げる必要が出てくることもあります。もちろん調査中に判明したことは適宜報告しますので、1か月のあいだ、何もわからないままということではありません。なるべくビジネスを止めずに済むよう、コミュニケーションを取りながら調査を進めます。

調査の完了後には、フォレンジック事業者から依頼企業へどういった報告がなされるのでしょうか。

安島氏:
調査当初の目的に沿った構成の報告書を作成して報告します。まず、侵入経路と被害範囲を時系列でまとめ、「この日に最初の不正アクセスがあり、次にこの機器からあの機器へ横展開があった」といった形で、いつから侵入されていたのか、そのあいだにどのような被害があったのかなどを整理してお伝えします。横展開があった場合はその広がりの規模、暗号化されたファイルの範囲なども記載します。

報告書の末尾には再発防止策を盛り込みます。たとえば「今回の侵入経路はこの機器の脆弱性が悪用されたものであり、パッチ適用を推奨する」といった形で、調査結果にもとづいた具体的な対策を提示します。

ランサムウェア被害時には、サイバー保険の支払い査定を受ける企業もあるかと思います。その観点から、フォレンジック調査の報告書において必須となる記載項目や内容はありますか。

大井弁護士:
サイバー保険の支払いの可否判断について、調査報告書の内容や記載項目が影響することは基本的にはありません。保険会社が重視するのは、事案を公表したかどうかという点です。保険会社、保険商品の設計によりますが、公表した事実があれば、インシデントがあったと認定され、保険が下りる運用になっています。

公表の有無が基準となる背景には、実際にはインシデントが発生していないにもかかわらず被害があったかのように見せかけ、システム費用やセキュリティソリューションの導入費用を保険で回収しようとする不正請求への対策があります。公表してしまえば世間に事案が知られてしまうため、虚偽の事故を装うことは現実的にできないという考え方です。したがって、「報告書の記載が不十分だから保険が下りない」といったケースはほぼないと考えてよいでしょう。

ランサムウェア被害時のフォレンジック調査等の主な流れ

時間軸 主な対応

被害の検知直後

  • 被害の封じ込め(被害端末のネットワーク遮断など)

被害発覚から24時間以内

  • フォレンジック事業者への連絡

  • 情報システム部門・法務部門・関連部門等を集めたキックオフミーティングの開催

被害当日〜翌日

  • ネットワーク/システム構成図をもとに調査範囲を確定

  • 被害端末の回収・システムログ収集を行い、調査に着手

被害発覚から3〜5日以内

  • 個人情報保護委員会への速報(個人情報の漏洩(のおそれ)がある場合)

調査初期(並行実施)

  • ファストフォレンジック(短期調査)の実施

調査期間(約1か月)

  • 調査中に判明した内容を適宜やりとり

  • 必要に応じて調査範囲を拡大

調査完了後

  • フォレンジック事業者から報告書を受領

被害発覚から60日以内

  • 個人情報保護委員会への確報(ランサムウェア被害のように、不正の目的をもって行われたおそれがある個人情報の漏洩(のおそれ)がある場合)

フォレンジック事業者への依頼時にすべきこと・避けるべきこと

ランサムウェア被害の検知後、フォレンジック事業者に調査を依頼するにあたって、企業はどのような点に気を付けるべきでしょうか。

安島氏:
もっとも避けるべきは、何が起きたか知りたいと自分たちでログを確認したり、被害端末を触って調べたりすることです。痕跡が消えたり、被害が広がったりするおそれがあります。また、ビジネスを続けるなどのために被害にあった端末を初期化してしまうと、侵害当時のログや記録が消えてしまうため、フォレンジック調査ができなくなってしまいます。

「バックアップデータをすぐに戻してもいいか」と聞かれることもありますが、バックアップにまで被害が及んでいることもあるため注意が必要です。ネットワークについても同様で、そのままの状態では穴があり、新たな被害が発生する可能性もあります。バックアップについては調査で安全性が確認できてから使用すること、ネットワーク構成はできれば新たにしたうえで復旧していくことが考えられます

ランサムウェアで暗号化された領域についても、フォレンジック調査は可能なのでしょうか。

安島氏:
あるファイルがいつ暗号化されたのかなどは、ログから調査ができます。ただし、攻撃者が暗号化した際のログを消すケースもあり、その場合は、詳細な侵入タイミングまでたどることはできません。ログが残っている期間について調査することとなります。

大井弁護士:
また、暗号化された領域にあった各ファイルの中身については、復号できない限りわかりません。そのため、平時からファイル整理のルールを整え、各サーバにどんなファイルが保管されているかの目次をつくっておくことも重要です。

フォレンジック調査には、どの程度の費用がかかるのでしょうか。

安島氏:
被害のあった端末台数や、利用しているネットワーク機器の構成、台数、調査対象となる範囲などによりますが、数百万円はかかってきます。被害にあったのがネットワークの入り口周辺だけであれば200~300万円程度でしょう。調査範囲が広いと1,000万円ほどになるケースもあります。

ネットワークを遮断するなどの初動対応によって被害範囲を最小限に留めることは、その後の対応費用の面でも重要になりますね。

安島 健太氏(TMIプライバシー&セキュリティコンサルティング株式会社 公認不正検査士 主席フォレンジック・エンジニア)

安島 健太氏(TMIプライバシー&セキュリティコンサルティング株式会社 公認不正検査士 主席フォレンジック・エンジニア)

平時から、ネットワーク構成図・ログ・役割分担の準備を

ランサムウェア被害にあった際のフォレンジック調査を見据えて、平時からどういった準備をしておくべきでしょうか。

安島氏:
調査にはネットワーク構成図が必要になるため、それを準備しておくのはもちろん、常に最新の内容に更新しておくことも重要です。特に、ランサムウェア被害時のフォレンジック調査では、「どこから侵入されたのか」「どのネットワークやデバイスを経由してどこまで広がっているのか」などが調査の主眼になります。ネットワーク構成図がないと、システム構成や現状の業務環境についてヒアリングするところから始めなければならず、対応が遅れてしまいます

仮にネットワーク構成図があったとしても、企業が把握していない私物の端末が接続されていてそれが侵入経路になった場合など、企業の管理外の環境に関する調査は難しくなります。業務にあたって私物端末を使わないよう、平時からアナウンスしておくことが重要です。

また、フォレンジック調査を行うために十分な期間のログが残らないシステム設定になっているケースもあります。ランサムウェア被害の場合、侵入から検知までの期間が短い傾向にあるので、3~6か月分のログがあればおおむね対応できますが、その他のインシデントの調査では、半年から1年分のログが必要になることもあります。ログが上書きされないよう、古いログは別のサーバに移動させて蓄積するなどの仕組みを整えておくべきでしょう。

最新のネットワーク構成を把握・整理し、一定期間のログを取得しておくことが、有事のフォレンジック調査の精度を大きく左右するわけですね。

安島氏:
さらに、複数のフォレンジック事業者と普段からコンタクトを取っておくことも大切です。事業者の状況によっては、「いま依頼を受けても着手は1か月先になる」などと言われてしまうこともあるようです。新規で事業者を探せたとしても、契約などの事務手続に時間がかかる場合があるので、平時からいくつかの事業者と関係をつくっておくのが望ましいといえます。

フォレンジック事業者を選ぶ際には、その事業者の得意分野、対応できる分野を確認しておくことが大切です。一口にフォレンジックと言っても、その種類は様々です。たとえば、ランサムウェア事案と内部不正事案とではそれぞれに調査対象や手法が違っていて、内科医と外科医くらいの差があります。自社が実施したい調査を行う能力を、各事業者が持っているのかを見極めることが重要です。

大井弁護士:
平時の対応としては、インシデントが発生した際の役割を決めておくことも欠かせません。まずは、どこまでを社内で対応するのか、どこから弁護士やフォレンジック事業者に依頼するのかなどを切り分けておいたほうがいいでしょう。対応マニュアルをつくるだけでなく、それにもとづいた訓練を行うと、各自の役割がハッキリします

訓練では被害を想定した対応シナリオをつくり、演劇のように各自のセリフや動きを決めておくと、マニュアルの「穴」が見えてきます。「どの担当者が、誰に、何を報告するのか」「報告を受けた人はどう動くか」などを、部門単位ではなく担当者単位で決めておくのです。そのうえで訓練(シミュレーション)を行ってみると、たとえば「担当者は決まっているが、緊急時の連絡先がわからない」といった具体的な不具合が見つかり、対応マニュアルの精緻化に役立ちます。

大井 哲也弁護士(TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役)

大井 哲也弁護士(TMIプライバシー&セキュリティコンサルティング株式会社 代表取締役)

ランサムウェア被害への対応にまつわる「落とし穴」

十分なセキュリティ対策や体制整備をしている企業でも陥りかねない、ランサムウェア被害時のフォレンジック調査にまつわる「落とし穴」はありますか。

大井弁護士:
そもそもフォレンジック調査をする必要があることに気が付かない、ということも少なくありません。たとえば、攻撃者が個人情報を保存している領域に対して不正にアクセスした時点で、個人情報保護法上の「漏洩のおそれ」に認定され得ます。しかし、「個人情報は外部に送られていないから個人情報は漏洩していない」と誤った判断をしてしまうケースが多々見られます。攻撃者は証拠隠滅のためにログを消すこともありますし、フォレンジック調査によっても外部に個人データを含むファイルが送信された証跡を調査できるとは限らないため、「不正アクセスがあったもののデータが外部送信されてはいない、だから個人情報は漏洩していない」と認定することはできません。

こうした勘違いが起こると、経営層や情報システム部門が何も対処しないまま時間が過ぎ、後々になって法務部門から「個人情報保護法に基づくアクションが必要になるかもしれないので、サイバーセキュリティを専門とする弁護士に相談したほうがいいのでは?」と言われ、ようやくフォレンジック調査が始まることになります。ワーストケースでは、ランサムウェア被害にあったこと自体をもみ消す方向に動いてしまうこともあるようです。

そうした場合、個人情報保護法が要求する法的対応が不十分になるのはもちろんのこと、サイバー攻撃を許してしまった原因が究明されず、再発防止策もとれません。攻撃が止んだように見えても、システム内に潜んでいるマルウェアが作動してデータを抜かれることもあります。被害がふたたび発生することも少なくありませんので、原因究明のためにフォレンジック調査して再発防止策に活かすことは重要です。

さらに、企業として一番怖いのは、データを盗んだ攻撃者が、ダークウェブで「A社のデータを盗んだ」などと公表するケースです。それをマスコミが見つけて「A社でデータ漏洩があった」と報じた場合には、企業側の対応はすべて後手に回らざるを得ません。

不正アクセスの疑いがある場合、企業は「漏洩のおそれがあるかもしれない」という前提に立って対応を検討すべきということですね。

大井弁護士:
企業として適切な対応をとるためにも、被害にあった疑いがある場合は、まずは、フォレンジック事業者とサイバーセキュリティを専門とする弁護士に相談することをおすすめします。

(文:渡邊智則)

※本記事は、IT・セキュリティの専門メディアであり姉妹サイトの「UNITIS」の掲載記事(2026年7月3日)を転載したものです。

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する