対応テンプレート

ランサムウェア初動テンプレート

感染端末だけでなく、共有フォルダ、バックアップ、認証基盤、横展開の痕跡を同時に確認する。

重要度
想定読者
CSIRT・SOC・情シス
所要時間
約13分

何を確認するか

ランサムウェア感染が疑われるとき、端末隔離、共有領域の保護、証跡保全、復旧判断、社内報告を進めるためのテンプレート。

なぜ重要か

ランサムウェアは暗号化の見た目が目立つが、侵入経路、権限奪取、データ持ち出しの有無まで確認しないと再発しやすい。

見落とすと何が起きるか

隔離前に電源断や証跡削除を行うと調査が難しくなり、バックアップまで暗号化されると復旧選択肢が狭まる。

初動

  • 感染疑い端末をネットワークから隔離する
  • 電源断は証跡保全方針に従い、勝手に初期化しない
  • 暗号化ファイル、身代金メモ、検知アラートを記録する

封じ込め

  • 共有フォルダ、VPN、RDP、管理者アカウントの利用状況を確認する
  • 同一セグメントや同一ユーザーの端末を優先確認する
  • バックアップの接続状態と改ざん有無を確認する

調査

  • 初期侵入経路、横展開、権限昇格、データ持ち出しを分けて調査する
  • EDR、認証ログ、ファイルサーバーログ、プロキシログを保全する
  • 外部通信先や不審プロセスを確認する

復旧

  • クリーンなバックアップから復旧できるか検証する
  • 認証情報、管理者パスワード、APIキーをローテーションする
  • 復旧前に侵入経路が閉じていることを確認する

再発防止

  • MFA、パッチ管理、EDR、バックアップ分離、最小権限を見直す
  • 訓練と復旧手順を更新する
  • 経営向けに停止時間、影響範囲、残リスクを報告する

報告文テンプレート

件名: ランサムウェア疑い 初動報告
検知日時 / 検知方法:
対象端末 / サーバー:
隔離状況:
暗号化・身代金メモの有無:
共有領域・バックアップへの影響:
次の封じ込め・調査予定:

次に読むページ

ESC
↑↓ で選択 Enter で開く ⌘K で開閉 Powered by Pagefind