top of page
検索

ランサムウエア対策の生々しい実務解説

  • 山崎行政書士事務所
  • 6 日前
  • 読了時間: 7分

ree

(※一般的情報であり、個別の法的助言ではありません。支払い・交渉・届出等は所管官庁・制裁法令・保険契約の制約を必ず確認してください)

0. まず押さえる現実(記事の示唆を実務に翻訳)

  • 二重恐喝(暗号化+漏えい公開の脅迫)が主流:暗号化“だけ”では終わらない。先に窃取→後から暗号化が定番。

  • 誰でも狙われる:報道露出は大手でも、実数は中堅・中小が多数週末・深夜などオフアワーに仕掛けられやすい。

  • 交渉は“是非”ではなく“戦術”:支払う・支払わないにかかわらず、時間を稼ぎ・被害範囲を引き出す目的でプロの交渉を活用するのが実務。

  • 正常性バイアスが最大の敵: “うちは大丈夫”という思考停止が初動遅延と被害拡大を招く。

1. 初動60分ランブック(SE×法務を同一フレームで)

T+0〜10分:封じ込め・入口遮断(SE主導/法務が同席把握)

SE

  1. 端末・サーバ隔離:EDRの“ネットワーク隔離”、非常時VLANへ移送。

  2. アカウント強制失効:該当ユーザーと関連特権のサインアウト・トークン失効、パスワード/キー即ローテ

  3. Egress最小化:対象セグメントの外向き通信をホワイトリスト化(C2/外部ストレージ遮断)。

  4. 重要データの一時“読み取り専用”化:ファイルサーバ/オブジェクトに削除・上書き不可を暫定適用(可能な範囲)。

法務

  • 事実の一次把握:検知時刻/兆候/対象資産/初動の妨げにならない範囲の記録開始。

  • 保険・契約の確認サイバー保険の通知義務の時限、再学習禁止・越境制限など委託契約の条項を即時参照。

  • 警察・所管庁・PPC報告の要否:個人情報関与の可能性と暫定スケジュールを押さえる(暫定→確報の二段ロジック)。

T+10〜30分:証拠保全と“横展開”の有無確定(両輪)

SE

  • 揮発証拠の確保:実行中プロセス/接続/ハンドル/メモリ(可能な範囲)を取得。

  • 横展開チェック(優先順):

    • DC/ファイルサーバ/バックアップ管理の新規サービス(Win 7045)不審プロセス

    • rclone/7z/SFTP等の外向き転送痕跡、VSS削除コマンドの実行

    • 特権IDの異常使用、大量認証失敗、MFAプッシュ爆撃

法務

  • エビデンスの保全命令:担当に改ざん防止保管取得者・日時・手順の記録(チェーン・オブ・カストディ)。

  • 秘密情報/NDA影響の仮判定:委託先・顧客データの含有可能性をフラグ付け。

T+30〜60分:経営・交渉・BCPの同時起動

SE

  • 代替動線の切替:在庫・受注・配送など読み取り専用臨時帳票最低限の継続を確保。

  • バックアップ健全性の即時確認不可変/オフライン層の到達可否・影響有無。

法務

  • 交渉の方針

    • 自社で直接はNG。**プロ(交渉専門家+IRハンドラー)**を起用。

    • 目的は時間の獲得窃取範囲の把握支払う/払わないの判断材料を得る。

  • 広報・顧客コミュニケーション雛形:事実のみで時系列・影響・対策・次報時刻を素案化。

  • 当局・PPC対応の見通し暫定報の目安(日内〜数日)と確報(多くは30〜60日目安)のタイムラインを設定。

2. 24〜72時間の“やること表”(技術と法務を束ねる)

フェーズ

SE(技術)

法務・広報(組織対応)

0–24h

侵入経路特定、横展開阻止、バックアップ健全性確認、機微データの仮スコープ

保険通知、当局/監督機関への相談線を開く、交渉窓口の指名、顧客/取引先への初動連絡準備

24–48h

優先業務の段階復旧計画(RTO)、暗号化範囲と漏えい推定の更新、監査ログ保全

暫定報の提出判断、FAQ/想定問答の整備、制裁・資金洗浄リスクの事前スクリーニング

48–72h

復旧“ドライラン”、攻撃TTPに応じた恒久対策の素案

交渉の続行/打切りの材料整理、必要な顧客通知の範囲・内容案、契約違反影響の洗い出し

3. 交渉(ネゴ)をどう位置づけるか(意思決定のフレーム

交渉=支払い前提ではない。情報収集と時間稼ぎの手段。ただし、違法送金・制裁法令保険条項社内統制を満たせなければ実施不可。

Do

  • 交渉専門家を起用(冷静なメンタル・既知グループの評判/行動原理の知識・“約束を守る/守らない”の見極め)。

  • 窃取サンプルの提示要求(どのシステムの、どの時点の、どの種類のデータか)→技術チームのスコープ確定に活用。

  • 時間延長を合理的理由で要求(内部承認/法令順守のため等)。

  • 交渉人は被害企業の一員として振る舞うが、最終意思決定権は持たない設定で。

Don’t

  • 未経験者が直接対応/感情的応酬。

  • 内部ネットワーク構成や脆弱性の具体情報を与える。

  • 支払いを示唆して引き延ばすだけの虚偽(逆効果の場合)。

  • 法令違反の送金(制裁対象/外為規制違反など)。

支払う/払わないの判断軸(例)

  • 復旧見込み(RTO/RPO、バックアップ健全性、復号鍵の過去実効性)

  • 漏えい内容の重大性(個人情報・営業秘密・取引先機微)と通知/訴訟・行政対応コスト

  • 制裁・AMLリスク、保険約款の支払可否、レピュテーションと説明可能性

  • 将来的な二次被害・再攻撃リスク(“払っても”戻らない前提での体制強化)

支払いの可否は経営判断法令・保険・契約を満たし、説明可能であることが条件。決める前に復号テスト(ごく一部データで鍵実効性検証)が鉄則。

4. “当たり”を出すクエリ断片(現場向け)

M365 Defender(KQL)— Office起点スクリプト連鎖

DeviceProcessEvents
| where Timestamp > ago(24h)
| where InitiatingProcessParentFileName in~ ("winword.exe","excel.exe","outlook.exe")
| where FileName in~ ("powershell.exe","wscript.exe","cscript.exe","mshta.exe","rundll32.exe","cmd.exe")
| project Timestamp, DeviceName, InitiatingProcessParentFileName, FileName, ProcessCommandLine, AccountName

バックアップ破壊の兆候

DeviceProcessEvents
| where Timestamp > ago(48h)
| where ProcessCommandLine has_any ("vssadmin delete shadows","wmic shadowcopy delete","bcdedit","wbadmin delete")
| project Timestamp, DeviceName, FileName, ProcessCommandLine, AccountName

外向き大量転送の“定番”

DeviceProcessEvents
| where Timestamp > ago(24h)
| where FileName in~ ("rclone.exe","7z.exe","pscp.exe","winscp.exe")
| project Timestamp, DeviceName, FileName, ProcessCommandLine, AccountName

Splunk— 新規サービス(7045)の怪しさ

index=win EventCode=7045
| search (ServiceFileName="*\\AppData\\*" OR ServiceFileName="*\\Temp\\*" OR ServiceFileName="*\\\\Users\\*" OR ServiceFileName="*\\rclone*")
| table _time, host, ServiceName, ServiceFileName, user

Sysmon ヒント

  • イベントID 3(ネット接続):SMB/445の突発増加、管理共有C$/ADMIN$アクセス

  • イベントID 11(ファイル作成):ユーザープロファイル直下の未知EXE/DLL

5. “止めない封じ込め”の設計(被害最小化の現実解)

  • 非常時VLANで感染域だけを“落とす”、業務継続系は読み取り専用で運転。

  • 物流/WMS・製造/OT・コールセンターは臨時帳票・代替UIを図面化しておく。

  • 不可変+オフラインバックアップと管理面分離(バックアップ運用者のIDを本番と別ドメイン/別MFA)。

  • 復旧手順は段階復旧Runbook(“最小運転→周辺→全体”)と定期リストア演習で検証。

6. 法務の“即断ポイント”チェック

  • 個人情報保護:漏えいの蓋然性が高い場合、監督機関への暫定報告本人通知の要否・時期。

  • NDA/委託契約:秘密情報の取扱い条項・違反時義務(通知・補償・第三者対応)。

  • 制裁/外為・AML:送金先が制裁対象でないか、通貨・経路の適法性。

  • 保険事前届出・協議義務身代金支払の補償可否交渉費用の扱い。

  • 広報事実→影響→対策→次報のフォーマットとQ&Aを事前テンプレ化。

  • チェーン・オブ・カストディ誰が・いつ・どう採取したか、ハッシュ保管媒体を記録。

7. やってはいけない(赤裸々版)

  • EDRを止めてから調査:まず隔離。止めれば痕跡も止まる。

  • 共有の特権ID:追跡不能。JIT/PIMLAPSへ。

  • ログ欠損:保存先が点在/保持期間不足は監査・届出の致命傷

  • バックアップの“書込可・横同居”:侵入者に消される。WORM/オブジェクトロック必須。

  • 素人交渉:1往復で相手に“レベル感”を見切られる。必ずプロ起用。

8. 最低限の準備物(明日から動かす“具体物”)

  1. 週末即応プレイブック(RACI・連絡網・隔離/保全/交渉/届出フロー)

  2. 検知クエリ・ダッシュボード(本稿の断片を自社スキーマへマッピング)

  3. 代替動線の図面(読み取り専用在庫・臨時帳票・手動発注)

  4. バックアップ設計図(不可変層/オフライン層・権限分離・復旧優先順位)

  5. 透明性パック(時系列・影響・対策・FAQ・次報予定)

  6. 交渉対応キット(交渉専門家の連絡線・取得すべきサンプル項目の雛形)

9. 山崎行政書士事務所の伴走支援(法務×技術の“一体運用”)

  • 初動ワークショップ:侵入→横展開→窃取→暗号化の各局面での技術操作法務判断を、貴社環境に合わせて整備。

  • 検知・隔離リファレンス実装:KQL/Splunk/SIEMルール、SOAR自動化、ダッシュボード。

  • 交渉体制の構築:交渉専門家との連携座組、情報開示の境界制裁・保険チェックを運用に織り込み。

  • 届出・顧客通知・広報:監督機関への報告書式、本人通知テンプレ、FAQ、想定問答の法務監修付き整備。

  • 監査対応キット:証跡スキーマ、ログ保持ポリシー、チェーン・オブ・カストディ手順、段階復旧Runbook

  • 定期ドリル:疑似暗号化→隔離→窃取検知→リストア→初動広報までを四半期演習で回す。

付録:現場に常備する“15分チェック”カード

  1. 端末隔離・トークン失効はできるか

  2. 直近48hのVSS削除外向き大量転送ワンクエリで出せるか

  3. バックアップ不可変層/オフライン層の健全性は誰がどう確認するか

  4. 交渉専門家・保険・当局・法務・広報のホットラインは生きているか

  5. 暫定報/確報の締切目安責任者が決まっているか

 
 
 

最新記事

すべて表示
狙われるのは「弱い壁」ではなく「買える入口」。“トクリュウ化”した攻撃に、山崎行政書士事務所は技術実装で立ち向かう。

https://www.nikkei.com/article/DGXZQOCD21B060R21C25A0000000/?type=my#BAAUAgAAdG9waWNfdHJlbmRfMjEwNzEyMDQ 闇サイトで 認証情報が売買 され、 マニュアル化 された攻撃が 分業 で同時多発――。いまやランサムウェアは“高度な一部の犯罪者”ではなく、 協力者ネットワーク が動かす“産業”。 保険契約

 
 
 

コメント

bottom of page