金融機関を狙ったサイバー攻撃が激化する中、金融庁は2025年10月から新しい監督指針を適用開始しました。この指針では、ランサムウェア攻撃を受けた際の初期対応手順が明確に定められており、企業のセキュリティ担当者にとって必須の知識となっています。
今回の記事では、現役CSIRTメンバーの視点から、金融庁が示したランサムウェア対応の新基準と、感染時に絶対に避けるべき5つのNG行動について詳しく解説します。
金融庁の新監督指針とは?
2025年9月に公表された金融庁の新監督指針は、省庁間の申し合わせを受けて策定されました。この指針の主な目的は以下の通りです:
- サイバー攻撃事案への対応と報告の迅速化・標準化
- DDoS攻撃やランサムウェア攻撃における政府共通様式での報告体制確立
- 個人データ漏洩に関する報告との統一化
特に注目すべきは、ランサムウェア攻撃時の初期対応について具体的な手順が明記されている点です。これまで企業ごとに異なっていた対応が、統一的な基準のもとで実施されることになりました。
報告が必要となる4つの条件
個人情報保護委員会と金融庁が共同作成した「金融機関における個人情報保護に関するQ&A」では、以下の場合に各所への報告が必要とされています:
- 要配慮個人情報が含まれる個人データの漏洩等が発生、または発生したおそれがある事態
- 財産的被害が生じるおそれがある個人データの漏洩等が発生、または発生したおそれがある事態
- 不正の目的をもって行われたおそれがある行為による個人データの漏洩等が発生、または発生したおそれがある事態
- 1000人を超える個人データの漏洩等が発生、または発生したおそれがある事態
実際のフォレンジック調査においても、これらの基準に該当するかどうかの判断が、初期対応の方向性を決定する重要な要素となります。
ランサムウェア感染時の絶対NG行動5選
金融庁の指針で最も重要なのが、ランサムウェア感染時の初期対応です。間違った対応をしてしまうと、フォレンジック調査に必要な証拠が失われ、復旧が困難になる可能性があります。
NG行動1:感染端末をネットワークに接続したままにする
正しい対応:感染端末および感染が疑われる端末からLANケーブルを抜き、無線LANを無効にする
ランサムウェアの多くは、ネットワークを通じて横展開(ラテラルムーブメント)を行います。感染を発見した瞬間に物理的な通信遮断を行うことで、被害の拡大を防ぐことができます。
私が担当した中小企業の事例では、初期対応が遅れたことで社内の全サーバが暗号化され、復旧に3週間を要したケースがありました。一方、迅速にネットワーク遮断を行った企業では、被害を1台のPC に限定できています。
NG行動2:感染端末の再起動や電源オフ
正しい対応:感染端末等の再起動や電源オフをしない。すでに電源がオフの場合はオンにしない
メモリ上には暗号鍵や通信ログなど、フォレンジック調査に不可欠な情報が残っています。電源操作を行うと、これらの貴重な証拠が失われてしまいます。
実際の調査では、メモリダンプから復号キーを発見できるケースも少なくありません。適切な証拠保全により、データ復旧の可能性が大幅に向上します。
NG行動3:アンチウイルスソフト によるフルスキャン実行
正しい対応:アンチウイルスソフト
によるフルスキャンをしない
多くのアンチウイルスソフト
は、マルウェアを発見すると自動的に削除・隔離します。しかし、これらのファイルには感染経路や攻撃者の痕跡が残されており、調査にとって重要な証拠となります。
証拠保全の観点から、専門家による分析が完了するまでは、システムの状態を可能な限り維持することが重要です。
NG行動4:ネットワーク機器の再起動や電源オフ
正しい対応:ネットワーク機器の再起動や電源オフをしない
ルータやスイッチ、ファイアウォールには、攻撃者の侵入経路を特定するための通信ログが保存されています。これらの機器を再起動すると、揮発性メモリに保存されたログが消失する可能性があります。
過去の調査事例では、ネットワーク機器のログから攻撃者のIPアドレスや使用したツールを特定し、被害範囲の確定に成功したケースが多数あります。
NG行動5:ファームウェアやOSのアップデート実行
正しい対応:ファームウェアやOSのアップデートをしない
アップデートにより、システム内部のログファイルや設定ファイルが上書きされ、攻撃者の痕跡が消失する恐れがあります。セキュリティパッチの適用は重要ですが、フォレンジック調査が完了するまでは待つべきです。
企業が取るべき事前対策
ランサムウェア攻撃に備えて、企業は以下の対策を講じておくことが重要です:
1. インシデントレスポンス体制の構築
金融庁の指針に沿った対応手順書を作成し、従業員への周知徹底を図りましょう。特に、初期対応を行う担当者には、今回紹介した5つのNG行動について十分な教育を実施することが必要です。
2. 多層防御の実装
単一のセキュリティ対策では限界があります。アンチウイルスソフト
、ファイアウォール、侵入検知システム(IDS/IPS)を組み合わせた多層防御により、攻撃の早期発見と被害の最小化を図ります。
3. 定期的なバックアップとテスト
ランサムウェア攻撃を受けた場合の最後の砦となるのがバックアップです。ネットワークから切り離された場所に定期的なバックアップを取得し、復旧テストを実施しておきましょう。
4. 従業員教育の強化
多くのランサムウェア攻撃は、フィッシングメールを起点として発生します。従業員のセキュリティ意識向上のため、定期的な教育と模擬フィッシング訓練を実施することが重要です。
個人ユーザーも要注意
ランサムウェア攻撃は企業だけでなく、個人ユーザーも標的となります。個人の場合も、基本的な対応は企業と同様です:
- 感染を発見したらすぐにネットワークから切断
- 電源は切らずにそのままの状態を維持
- 信頼できるアンチウイルスソフト
を使用(ただしフルスキャンは避ける) - 重要なデータは定期的にバックアップ
特に、在宅勤務が増加している現在、個人のデバイスから企業ネットワークへの感染拡大も懸念されます。VPN
を使用して通信を暗号化することで、攻撃者による通信傍受のリスクを軽減できます。
Webサイト運営者への推奨事項
Webサイトを通じた攻撃も増加傾向にあります。SQLインジェクションやクロスサイトスクリプティング(XSS)などの脆弱性を狙った攻撃により、ランサムウェアが仕込まれるケースも報告されています。
Webサイト運営者は、定期的なWebサイト脆弱性診断サービス
の実施により、潜在的な脆弱性を早期に発見・修正することが重要です。
まとめ
金融庁の新監督指針は、ランサムウェア対応における初期対応の重要性を明確に示しています。感染時の間違った対応は、被害の拡大や復旧の困難を招く可能性があります。
企業のセキュリティ担当者は、今回紹介した5つのNG行動を避け、適切な初期対応を行うことで、被害を最小限に抑えることができます。また、事前の準備として、多層防御の実装、定期的なバックアップ、従業員教育の強化が不可欠です。
サイバー攻撃の脅威は日々進化しており、対策も継続的にアップデートしていく必要があります。最新の脅威情報を収集し、組織のセキュリティ体制を強化していきましょう。
