お問い合わせ
0120-855-995
LINEで相談
お問い合わせフォーム
ランサムウェア感染後の復旧手順|初動封じ込め・バックアップ復元・再感染防止を解説
2026年06月24日
ランサムウェア感染後の「法的対応」(身代金支払いの可否・報告義務・刑事告訴・損害賠償)については、別記事「ランサムウェア被害の法的対応|弁護士が解説」をご参照ください。本記事は復旧・事業継続の実務手順に特化して解説します。法的措置と復旧作業は並行して進めるものであり、弁護士への相談と合わせて本記事の手順を活用してください。
この記事を監修したのは
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
感染発覚直後:最初の15分間の判断と行動
ランサムウェアは感染後、急速にファイルを暗号化しながらネットワーク内を横移動(ラテラルムーブメント)します。発覚から15分以内の行動が被害範囲を大きく左右します。パニックを避け、以下の手順を順番に実行してください。
感染端末の即時隔離手順
①ネットワークから切断(最優先)
感染が疑われる端末のLANケーブルを即時抜線し、Wi-Fiも無効化(機内モードON)します。ただしシャットダウンはしないこと。揮発性メモリ(RAM)上に復号キーが残っている可能性があります。
②周辺機器のスキャン
感染端末に接続されていたUSB・外付けHDD・プリンターを全て取り外します。これらにも暗号化が及んでいる可能性があります。
③同一ネットワーク内の他端末の確認
感染端末と同一LAN内の他のPCやサーバーで異常なファイル(拡張子変更・身代金要求テキスト)がないか確認します。怪しい端末も同様に隔離します。
④バックアップサーバーの保護
バックアップサーバーがオンラインの場合、即時切断します。ランサムウェアはバックアップを狙って暗号化・削除することが多く、バックアップが生きているかどうかで復旧難易度が大きく変わります。
⑤業務の緊急停止判断
感染がサーバーに及んでいる場合、関連業務システムを一時停止します。「業務が止まることへの恐れ」で対応を遅らせると被害が拡大します。経営判断を迅速に行うこと。
やってはいけないこと
感染端末の再起動・シャットダウン(証拠の消滅)、感染したままネットワーク接続継続、身代金支払いの即断(法的問題あり・支払っても復号されない事例多数)、自己流の復号ツール実行(上書きによる永久データ消失リスク)
被害範囲の特定:感染後1〜6時間の調査
隔離が完了したら、被害の全容把握に移ります。この段階での正確な情報収集が、その後の復旧判断(復元 vs. 再構築)・報告義務の判断・法的証拠の保全に直結します。
被害範囲特定のチェックリスト
確認事項 | 調査方法と目的 |
感染端末・サーバーの特定 | ネットワーク機器のログ・管理ツールで「暗号化が起きている端末」を全て特定する。EDR(Endpoint Detection and Response)ツールがあればアラート一覧を確認 |
ランサムウェアの種類の特定 | 身代金要求ノート(README.txt等)の文面・暗号化後の拡張子・攻撃者の連絡先から種類を特定する。種類が分かれば復号ツールの存在確認や公開鍵の特徴が分かる |
感染経路の暫定推定 | 直近のメール開封履歴・VPN/RDP接続ログ・ファイルダウンロード履歴を確認。感染経路の封鎖なしに復旧しても再感染する |
暗号化されたデータの範囲 | どのドライブ・どのフォルダが暗号化されたか確認。共有フォルダ・クラウド同期フォルダへの影響も確認 |
バックアップの無事確認 | オフラインバックアップ・クラウドバックアップが暗号化されていないかを確認。最も重要な情報の一つ |
個人情報の漏洩可能性の確認 | 「二重脅迫型」ランサムウェアは暗号化前にデータを外部に持ち出す。ダークウェブ・攻撃者サイトへの投稿がないか確認(専門家に依頼) |
ランサムウェアの主要種類と復旧難易度
ランサムウェア名 | 特徴 | 復旧難易度 | 復号ツール |
LockBit 3.0 | 世界最多感染。二重脅迫型。法人・病院を標的 | 非常に高い | なし(2024年時点) |
ALPHV/BlackCat | RaaSモデル。Rustで実装。Windows/Linux両対応 | 非常に高い | なし |
Akira | 中小企業標的。ESXiサーバーへの攻撃も | 高い | なし |
Phobos | 中小企業標的。RDPの脆弱性を悪用 | 高い | 一部バージョンに復号ツールあり |
STOP/Djvu | 個人・SOHO向け。無料ソフト装い配布 | 中程度 | Emsisoft提供の復号ツールあり(一部) |
MedusaLocker | 医療機関標的。ネットワーク経由拡散 | 高い | なし |
復号ツールの確認:No More Ransomの活用
身代金を支払う前に必ず「無料の復号ツール」が存在しないか確認します。Europol・FBI・民間セキュリティ会社が連携する「No More Ransom(NMR)プロジェクト」では、多数のランサムウェアに対応した無料復号ツールを提供しています。
No More Ransomの使い方
Step 1:暗号化されたファイルをアップロード
NMRのウェブサイト(nomoreransom.org/ja)の「Crypto Sheriff(暗号解読者)」ツールに暗号化されたファイルと身代金要求ノートをアップロードします。
Step 2:ランサムウェアの自動判定
アップロードしたファイルの特徴から感染したランサムウェアの種類が自動で判定されます。
Step 3:対応ツールの確認
対応する復号ツールがある場合はダウンロードリンクが表示されます。現在200種類以上に対応しています。
Step 4:テスト復号の実施
本番ファイルに適用する前に、必ずコピーしたファイルでテストします。操作を誤るとファイルが永久に復元不能になる可能性があります。
補足
No More Ransomのツールがない場合、身代金を支払っても復号される保証はありません。統計的には支払い後も30〜50%のケースでデータが完全には戻らないとされています。支払い前に必ず弁護士・専門家に相談してください(法的問題については別記事をご参照ください)。
バックアップからの復旧:手順と注意点
無事なバックアップが存在する場合、これが最も確実な復旧手段です。ただし、バックアップから復元する前に「感染経路の封鎖」と「クリーンな環境の準備」が必要です。感染したままの環境にバックアップを戻すと再暗号化されます。
バックアップからの復旧フロー
①感染経路の特定と封鎖
バックアップを戻す前に、感染の入口(フィッシングメール・VPN脆弱性・RDP設定)を特定して塞ぎます。この作業なしに復旧すると再感染します。セキュリティ専門家の支援を得ることが推奨されます。
②クリーンな復元先環境の準備
感染が確認されたサーバー・PCは原則として初期化(フォーマット・OS再インストール)します。感染したシステム上に「マルウェアが潜伏している可能性」があるため、ウイルス対策ソフトのスキャンだけで安全とは言えません。
③バックアップの完全性確認
バックアップ自体が感染していないことを確認します。ランサムウェアは感染前から潜伏し、バックアップにも含まれている場合があります。可能であればバックアップ取得時点のウイルススキャンを実施します。
④段階的な復元(重要度順)
全データを一度に戻すのではなく、業務継続に必要なシステムから優先的に復元します。ERP・会計システム・顧客情報→社内ファイルサーバー→PCの順が一般的です。
⑤動作確認とセキュリティ検証
復元後、全システムが正常に動作することを確認します。特に認証情報(パスワード・証明書・APIキー)は全て変更します。攻撃者がバックドアを仕掛けていないかの確認も必要です。
バックアップの種類別・復旧可能性の評価
バックアップの種類 | 復旧可能性と注意点 |
オフライン・エアギャップバックアップ | 最も安全。ネットワーク切断・物理的に分離した媒体(テープ・オフサイトHDD)。ランサムウェアが到達できない |
クラウドバックアップ(バージョン管理あり) | 安全。感染前のバージョンに戻せる。ただし最新世代が暗号化されている場合、古いバージョンへの巻き戻しが必要 |
オンラインバックアップ(同期型) | 危険。感染と同時にバックアップも暗号化される。Dropbox・OneDriveの「同期フォルダ」はこれに該当することが多い |
NASバックアップ(常時接続) | 危険。ネットワーク経由で暗号化される最も多い被害パターン。NASのSnapshotが有効ならその時点への巻き戻しが可能 |
バックアップなし | 復号ツールの有無に賭けるか、身代金支払いの検討(法的確認必須)か、データ断念になる |
バックアップなし・復旧困難な場合の選択肢
バックアップがない・暗号化されている・復号ツールも存在しないという最悪のシナリオでも、諦める前にいくつかの手段があります。
検討できる手段
手段 | 内容・注意点 |
デジタルフォレンジックによる一部復旧 | 削除されたファイルのサルベージ・暗号化前に一部がメモリやキャッシュに残存しているケースの復元。完全復元は困難だが部分的なデータ復旧の可能性 |
シャドウコピー・VSS(ボリュームシャドウコピー)の確認 | Windowsの自動バックアップ機能。ランサムウェアが削除しているケースも多いが、削除に失敗している場合は復元できることも |
クラウドサービスのゴミ箱・バージョン履歴 | Microsoft 365・Google Workspace等には自動バージョン履歴機能あり。管理者コンソールで確認。30〜180日以内なら復元できる場合あり |
攻撃者との交渉(法的確認後) | 身代金支払いには法的リスク(OFAC規制)があるため、必ず弁護士に確認。交渉したとしても支払い後にデータが戻らない事例も多い。交渉は専門業者に依頼 |
データ復元業者への依頼 | HDDの物理障害と組み合わさった場合は専門の復元業者が有効。ただしランサムウェアの暗号化は通常の物理復旧では対応不可 |
感染経路の特定と封鎖:再感染防止の核心
復旧作業と並行して、「なぜ感染したか」の根本原因分析(Root Cause Analysis)が必要です。感染経路を封鎖しないまま復旧すると、数日以内に再感染するリスクがあります。IPAの調査では、ランサムウェア被害企業の10〜20%が再感染を経験しています。
主要感染経路と封鎖方法
感染経路 | 調査ポイント | 封鎖方法 | 確認すべきログ |
フィッシングメール・添付ファイル | 直近のメール開封履歴・添付ファイル実行記録 | メールフィルタリング強化・マクロ実行禁止・社員教育 | メールサーバーログ・EDRログ |
VPN・RDPの脆弱性 | VPN製品の脆弱性情報との照合・RDPポート(3389)の外部公開 | VPNアップデート・RDPを内部のみに制限・多要素認証(MFA)導入 | VPNアクセスログ・Windowsイベントログ |
ソフトウェアの未パッチ脆弱性 | 感染時点でのOSパッチ適用状況・EOL(サポート終了)製品の有無 | 緊急パッチ適用・EOL製品の更新・脆弱性スキャンの実施 | Windows Updateログ・脆弱性スキャン結果 |
サプライチェーン・委託先経由 | 感染直前の委託先・取引先からのファイル受信・接続 | 委託先のセキュリティ確認・接続権限の見直し | 外部接続ログ・ファイル受信記録 |
内部犯行・不正な内部アクセス | 感染端末の操作者・異常な権限操作の記録 | 最小権限の原則の徹底・行動監視ツールの導入 | Active Directoryログ・操作ログ |
事業継続計画(BCP)との連携:業務を止めないための対応
ランサムウェア感染後の復旧には数日〜数週間かかることがあります。この間の「業務継続」をどう維持するかが企業経営における重大な課題です。平時から策定しているBCP(事業継続計画)をこの局面で発動します。
システム停止中の業務継続手段
業務カテゴリ | 代替手段・一時的な対応 |
受注・顧客対応 | 電話・FAXへの切り替え。顧客への「システム障害」の通知。ウェブフォームが使えない場合のメール受付設定 |
社内コミュニケーション | 感染していない端末でのGmail・Google Chat等クラウドツールの活用。社内ネットワーク外でのMicrosoft Teams利用 |
会計・経理処理 | 紙・Excelでの一時記録。会計システム復旧後に入力(記録の保存が重要) |
生産・製造管理 | 手書きの作業指示書への切り替え。製造設備のネットワーク切断後のスタンドアロン運転 |
物流・在庫管理 | 手動カウント・FAXでの発注。物流会社への手動指示 |
BCPに記載すべきランサムウェア対策項目
BCPが策定済みの企業は、ランサムウェアシナリオが想定されているか確認し、なければ追記します。未策定の企業は復旧後に必ずBCPを策定することを推奨します。
- RTO(目標復旧時間)・RPO(目標復旧時点)の設定:どのシステムを何時間以内に・いつの時点のデータで復旧するか
- 代替手段の事前確認:クラウドの代替システム・紙ベース業務への切り替え手順
- 連絡体制の整備:インシデント発覚時の第一報先・経営幹部・法務・IT担当の連絡網
- 外部専門家のリスト:インシデントレスポンス会社・弁護士・フォレンジック会社の緊急連絡先
- バックアップの復元手順書:IT担当者以外でも実施できる詳細手順書の整備
フォレンジック調査:証拠保全と法的対応への橋渡し
復旧作業と法的対応(刑事告訴・保険請求・委託先への責任追及)を有効に行うためには、適切な「デジタルフォレンジック調査」が不可欠です。復旧を急ぐあまりフォレンジック調査なしにシステムを初期化すると、法的手続きで使える証拠が消滅します。
フォレンジック調査と復旧作業の両立
項目 | 対応方針 |
感染端末の扱い | 初期化前に必ずフォレンジックイメージを取得。イメージを保存した上で復旧作業を進める。イメージ取得には専門業者への依頼が推奨 |
ログの保全 | ファイアウォール・サーバー・Active Directoryの全ログをバックアップ。証拠として保全するため改ざん不可能な形で保存 |
攻撃者との通信記録 | 身代金要求ノート・ダークウェブの連絡先・やりとりのスクリーンショットを全て保存 |
調査報告書の取得 | フォレンジック会社から「調査報告書」を発行してもらう。保険請求・刑事告訴・裁判の証拠として機能 |
調査と復旧の並行実施 | フォレンジック完了を待たずに復旧を始めることも可能。ただしイメージ取得後に限る |
復旧後の再感染防止:セキュリティ強化の実施
システムが復旧した後、同じ脆弱性を放置すれば再感染するリスクがあります。復旧後30日以内に以下の対策を実施することを強く推奨します。
優先度別・再感染防止対策
優先度 | 対策内容 |
最優先(復旧直後) | ・全アカウントのパスワード強制変更・管理者アカウントへのMFA(多要素認証)導入・感染経路となった脆弱性のパッチ適用・不要なRDPポート・外部公開ポートの閉鎖・バックアップの見直し(オフラインバックアップの確保) |
高優先(1週間以内) | ・EDR(Endpoint Detection and Response)ツールの導入・ネットワークのセグメンテーション(感染拡大の防止)・特権アカウントの最小化(管理者権限を持つ端末の削減)・ウイルス対策ソフトの更新・設定見直し |
中優先(30日以内) | ・第三者によるペネトレーションテストの実施・社員向けセキュリティ教育の実施(フィッシングメール訓練含む)・インシデント対応手順書(Playbook)の策定・更新・BCPの策定・更新 |
バックアップ体制の見直し:3-2-1-1ルール
再感染防止で最も重要なのが「確実に復旧できるバックアップ体制の構築」です。業界標準の「3-2-1-1ルール」を参考にしてください。
【3】データのコピーを3つ保持 / 【2】異なる2種類の媒体に保存 / 【1】1つはオフサイト(別の場所)に保管 / 【1】1つはオフライン・エアギャップ(ネットワーク非接続)で保管
経営幹部・取締役会への報告:説明責任の果たし方
ランサムウェア被害は経営課題であり、CISOや情報システム部門だけでなく経営幹部・取締役が関与すべき問題です。適切な報告と意思決定プロセスを経ることが、後日の法的責任を問われた際の「経営判断の原則」の適用にも影響します。(取締役の情報漏洩責任については別記事「取締役の情報漏洩責任」をご参照ください。)
経営幹部への報告で含めるべき事項
報告項目 | 内容 |
被害の現状 | 感染端末数・暗号化されたデータの種類・業務への影響範囲(停止中のシステム・業務) |
復旧の見通し | フルシステム復旧までの推定日数・費用(復旧業者費用・フォレンジック費用等) |
法的義務の状況 | 個人情報漏洩の可能性と報告義務の有無・規制当局への報告期限(担当弁護士からの情報) |
対外的な説明方針 | プレスリリースの要否・顧客への通知方法・メディア対応(広報と連携) |
再発防止投資の必要性 | 復旧後のセキュリティ強化への投資計画・BCP策定の必要性 |
保険の活用可能性 | サイバー保険への請求・補償範囲の確認状況 |
よくある質問(FAQ)
Q:ランサムウェアに感染したら、まず何をすればよいですか?
A:最初にすべきことは「感染端末のネットワーク切断」です。LANケーブルを抜き、Wi-Fiを無効化します。この際、端末をシャットダウンしないことが重要です(メモリ上に証拠・復号キーが残っている可能性があります)。次に同一ネットワーク内の他端末を確認し、感染が広がっていればそれらも隔離します。バックアップサーバーが接続中の場合は即時切断してください。その後、セキュリティ専門家・弁護士に連絡します。
Q:身代金を支払えばデータは戻りますか?
A:保証はありません。統計によれば、身代金を支払った企業のうち完全にデータが戻ったのは約65〜70%とされており、支払っても戻らないケースが30〜35%あります。また、支払い後に追加の要求をされるケースや、同じ攻撃者から再度狙われるケースも報告されています。さらに、支払先が経済制裁対象者(OFACリスト掲載)の場合、米国法違反になるリスクがあります。支払いを検討する場合は必ず弁護士に相談してから判断してください。
Q:バックアップがあれば必ず完全復旧できますか?
A:バックアップがあれば復旧できる可能性が大幅に高まりますが、注意点があります。①バックアップ自体が感染していないか(バックアップ取得日時と感染日時の確認)、②バックアップが正常に動作するか(定期的なリストアテストが必要)、③感染経路を封鎖した後に復旧しないと再感染する、の3点に注意が必要です。特に「ネットワーク接続型のバックアップ(NAS・クラウド同期)」はランサムウェアが同時に暗号化していることが多く、安全なのはオフラインで保管しているバックアップです。
Q:復旧にどれくらいの期間と費用がかかりますか?
A:バックアップがある場合は数日〜2週間、バックアップがない場合は数週間〜数ヶ月かかることがあります。費用の目安は、フォレンジック調査が50万〜500万円、システム復旧・再構築が100万〜数千万円、セキュリティ強化費用が数百万〜数千万円です。これに加えて業務停止による損失・顧客への対応費用・弁護士費用が加わります。中小企業の場合、総額で1,000万〜数千万円規模になることが多く、サイバー保険でカバーできる場合があります。
Q:復旧後すぐに通常業務を再開してよいですか?
A:感染経路の完全な封鎖と、全システムのセキュリティ確認(パスワード変更・MFA有効化・バックドアの不在確認)ができた後に再開するのが原則です。「早く業務を再開したい」という焦りで不完全な状態で再開すると、攻撃者が残したバックドアから再感染するリスクがあります。特に管理者権限アカウントのパスワードは全て変更してから再開してください。
Q:感染した端末はセキュリティソフトでスキャンすれば再利用できますか?
A:推奨されません。ランサムウェアはシステム深部(ブートセクター・ドライバ等)に潜伏する場合があり、ウイルス対策ソフトのスキャンで全て検出・除去できる保証はありません。最も確実な方法は、感染端末のハードディスクをフォーマットしてOSをクリーンインストールすることです。フォレンジックイメージを取得した上で初期化・再インストールすることが推奨されます。
Q:攻撃者との交渉は自社でできますか?
A:推奨しません。ランサムウェア攻撃者との交渉は専門的なスキルを要し、①OFAC規制(経済制裁対象者への支払禁止)の確認、②交渉によってむしろ金額が吊り上がるリスク、③交渉の記録が後日の法的手続きで重要な証拠になることから、専門のインシデントレスポンス会社・弁護士を通じて行うことが強く推奨されます。自社で攻撃者に直接連絡すること自体は違法ではありませんが、法的リスクと交渉の失敗リスクが高まります。
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
スポットで一括対応or顧問で伴走も!
お客様に合わせたプランをご用意しています
