「パソコンの画面に“あなたのファイルは暗号化されました”と出て、何もできなくなった…」
最近、中小企業でも急増しているのが「ランサムウェア」というサイバー攻撃です。ランサムウェアは、パソコンやサーバーのデータを
“人質”に取り、元に戻すための身代金(ランサム)を要求してきます。
「ウチは小さい会社だから大丈夫」と思っていませんか?
実は、大企業よりも中小企業の方が狙われやすい時代です。
この記事では、「もし感染してしまったら?」という“万が一”の時、慌てず被害を最小限に抑えるための3つの手順を、誰でもできるレベルで具体的に解説します。
感染直後にやるべき“細かな初動”ステップ
パニックになりやすいランサムウェア感染直後は、“何から手をつけるか”が被害の分かれ道です。以下のフローで、まず最初にやるべきことを具体的に整理します。
-
ネットワークから切り離す(広げない!が最優先)
感染のサイン(見覚えのない警告画面やファイルが開けない等)を見つけたら、すぐ下記の順で動きましょう。
- LANケーブルを抜(デスクトップなら背面のケーブルを抜く)
- Wi-Fiをオフに(ノートPC・タブレットなら右下のWi-Fiマークからオフ)
- USBメモリ・外付けHDD等も抜く(他のPCに絶対挿さない)
- 複合機やNAS(ネットワークHDD)、共有プリンタなど「ネットワーク機器」も一度LANから外す
- ルーターやWi-Fiアクセスポイントの設定画面を開き、見慣れない端末が接続されていないか確認
- 電源は切らない(証拠保全のため基本はそのまま)
補足“止める・抜く・触らない”が初動三原則です。火事の初期消火と同じイメージで「まずは広げない」行動を最優先してください。
-
証拠を残す(画面写真・メモ)
「いつ・どの画面が出たか」「どんな異変か」などを手書きでもいいのでメモし、スマホなどで
警告画面やエラー画面の写真を撮影します。
画面は慌てて閉じない・消さないことも大事です。例:
- 2025年6月14日 9:23「あなたのファイルは暗号化されました」
- エクセルファイルが全部“読めません”表示に
- 赤い背景で身代金要求文が表示された
-
社内責任者・IT担当者・外部サポートへすぐ連絡
「自分の操作ミスかも…」と黙ってしまいがちですが、
すぐ上司や社内IT担当・外部サポートに報告することが重要です。- まずは直属の上司、IT担当者(いなければ外部ITサポート窓口)に「感染したかもしれない」と連絡
- 「他のパソコンは絶対に使わないように」と社内アナウンス
- 管理会社や専門業者がいれば“初動サポート”を依頼
補足感染は「会社全体の問題」です。気づいた人がすぐ動くことが被害拡大を防ぐ最大のポイントです。
-
【個人情報が関係する場合】個人情報保護委員会(PPC)への報告・本人通知
感染PCやサーバーに
顧客名簿・社員名簿・住所・メールアドレス等、個人情報が含まれている場合は、
「漏えいのおそれがある」段階で報告義務があります。- 個人情報保護委員会公式サイトの報告フォームから速やかに連絡
- 顧客・取引先など被害に遭ったご本人にも速やかに通知(内容・タイミングは専門家に相談を推奨)
補足外部流出したかわからない」「暗号化されたのみ」でも“おそれ”があれば報告対象です。迷った場合も必ず相談しましょう。
-
警察・弁護士・専門家への相談(重大な被害や不安な場合)
- 金銭の要求や脅迫がある場合は、
警察(サイバー犯罪相談窓口)へも相談 - 被害範囲が大きい場合、
弁護士への相談で法的リスク回避や通知文案の確認を - 社内で復旧や調査が難しい場合は
IT専門業者に原因調査・復旧支援を依頼
補足“迷ったら相談”が会社を守る近道です。自己判断・隠ぺいは一番危険です。
- 金銭の要求や脅迫がある場合は、
ネットワーク機器の感染・被害拡大にも要注意!
ランサムウェアは「パソコンやサーバー」だけでなく、「ネットワーク機器」も感染・悪用されることがあります。以下のポイントに注意してください。
- NAS(ネットワークHDD)や共有ストレージは、「社内全員が使える」ため感染拡大リスクが高い
- ルーターやWi-Fiアクセスポイントに不正アクセスされると、全端末にウイルスがばらまかれる可能性
- 複合機やプリンターが感染経路となり、勝手にスパムFAXや印刷が行われる場合も
- 古いファームウェア(機器の内部ソフト)のまま使い続けると、脆弱性(セキュリティの穴)から攻撃されやすい
ネットワーク機器も「感染チェック」「設定見直し」「アップデート(最新化)」を必ず実施しましょう。
IT担当者はどう動く?感染発覚時の“現実的な役割”
ランサムウェア感染時、
IT担当者の動き方ひとつで被害拡大を防げるかが決まります。以下に現場のIT担当がやるべきことを整理します。
-
社内の全端末・サーバー・ネットワーク機器の「現状把握」と隔離対応
感染が疑われる端末だけでなく、
同じネットワークにつながる全パソコン・サーバー・NAS・プリンター・ルーター等を緊急チェック。- LAN/Wi-Fiの通信ログや社内の共有フォルダ・NAS・プリンタで不審な挙動がないか確認
- 怪しい機器や端末は全て物理的にネットワークから外す
- 被害がどこまで広がっているか「一次調査」してリスト化
-
社内・経営層への正確な情報共有と指示出し
状況と取るべき行動を「分かりやすく社内へアナウンス」します。
- 「感染PCやネットワーク機器には触らない」「他のパソコンやネットワークも極力使わない」よう全社に徹底
- 経営層には、被害範囲・初動対応・今後やるべきことの概要を分かりやすく報告
-
証拠保全・記録の徹底
- 警告画面・被害状況をスクリーンショットやカメラで記録
- ウイルスのファイル名、保存場所、動作ログなど可能な範囲で記録
-
バックアップの有無を確認し、安全なデータを確保
- 社内やクラウドのバックアップが最新か、感染していないかを点検
- 「安全な状態のバックアップ」を別媒体に隔離・保管
-
ネットワーク機器・NAS・プリンタの初期化やアップデートも検討
- NAS(ネットワークHDD)は、ウイルス感染が疑われた場合は「初期化」や「ファームウェアのアップデート」を実施
- ルーター、Wi-Fi機器も、設定初期化やパスワード変更、ソフト更新を行い、不正アクセスの痕跡がないかも点検
-
外部専門家・公的機関への連絡サポート
経営者と相談しつつ、
個人情報保護委員会、警察、外部ITサポート会社、弁護士等に必要な情報をまとめて連絡 -
再発防止のための「原因究明」と提案
- 感染経路や原因を特定するための調査(メール、ソフトの脆弱性、USB機器、ネットワーク機器設定など)
- 今後のセキュリティ対策(パスワード強化、社員教育、ソフト・機器の更新ルールなど)の提案を経営層へ
IT担当者ひとりでは限界もあります。外部専門家と早めに連携することで、復旧もスムーズです。普段から「緊急時の連絡先リスト」や「初動マニュアル」を用意しておくと、いざという時に慌てず対応できます。
感染チェックはどうやる?現場でできる現実的な方法
「感染した端末だけで済んでいるのか?他のPCもやられていないか?」
感染範囲のチェックは、復旧や再発防止のために必須です。以下のステップを順番に行うことで、自社でも実践できます。
-
ウイルス対策ソフトで全端末を「完全スキャン」
- 社内の全てのパソコン・サーバーで、
「フルスキャン」や「完全スキャン」を実施 - NASやファイルサーバーも、対応するウイルス対策ソフトがあれば同様に実施
- スキャンの途中で何らかの警告や検出が出た場合は、その端末やNASも感染の可能性が高いです
- 古いウイルス対策ソフトは新種のランサムウェアに対応できない場合があるので、
必ず最新版にアップデートしてから実施
- 社内の全てのパソコン・サーバーで、
-
「感染兆候がないか」目視・操作で点検
次のような異常がないか各端末やNAS、ネットワーク機器で実際に確認しましょう。
- ファイルが開けない/勝手にファイル名が変わっている/異常な拡張子
- 「暗号化された」「身代金要求」などの警告画面が出る
- NASや共有ストレージに「_READ_ME」「HELP_DECRYPT」など不審なファイルが急増
- プリンタや複合機が勝手に大量印刷や不審な動作をする
- ルーター管理画面に見慣れない端末が接続されていないか
-
ネットワークの通信履歴・共有フォルダの状態をチェック
- IT担当者や業者がいる場合は、
社内ネットワークの通信ログを確認(急に大量の通信が発生した形跡がないか) - 共有フォルダやNASで、
見覚えのない暗号化ファイルや異常なファイル名が増えていないかも点検
- IT担当者や業者がいる場合は、
-
ネットワーク機器の管理画面・ファームウェアを確認
- ルーターやWi-Fiアクセスポイントに不審な設定や端末がないかチェック
- ファームウェアが古い場合は最新版へアップデート。管理者パスワードも見直し
-
専門業者の「感染診断サービス」活用も検討
- 「チェック方法が分からない」「自社だけでは不安」な場合は、
IT専門業者の感染診断サービスを利用しましょう - 最近では遠隔診断も可能な会社が増えています
- 「チェック方法が分からない」「自社だけでは不安」な場合は、
「安全」と判断した端末や機器も、念のため数日間は大事な操作(振込・重要データ処理など)を避け、不審な挙動が出ないか様子を見ることをおすすめします。
万が一、感染が再発した場合は、ためらわず全体初期化・専門家への相談を実施しましょう。
ランサムウェア感染後、どうやって復旧する?
結論から言うと、「安全なバックアップ」があればそれを使って復旧しますが、
バックアップがなければ自力復旧はほぼ不可能です。
以下、現場でできる現実的なステップを説明します。
-
安全なバックアップからデータを戻す
- 外付けハードディスクやクラウド等、「感染していないバックアップ」がある場合は、
パソコンやサーバーを初期化(リセット)してから、そのバックアップを復元します。 - NASや共有フォルダも、感染していないバックアップがあれば初期化・リストア
- 感染したPCや機器をそのまま使うのは危険なので、
一度「まっさらな状態」に戻す(=初期化/リカバリー/OS再インストール)が大切です。 - ITが苦手な場合、
必ず専門家やサポート会社の指示を仰ぎながら進めてください。
- 外付けハードディスクやクラウド等、「感染していないバックアップ」がある場合は、
-
バックアップがない場合は「プロに相談」が鉄則
- バックアップがなく、どうしても必要なファイルがある場合は、
専門のデータ復旧業者やITサポート会社に相談しましょう。 - 自力でインターネットから「復号ツール」などを探すと、さらに感染・悪化するケースも多いため、
決して自己判断で操作しないのが鉄則です。 - 「身代金を払えば元に戻る」とは限りません。お金を払ってもデータが返ってこない事例が多発しています。
- バックアップがなく、どうしても必要なファイルがある場合は、
-
感染PC・ネットワーク機器の初期化・再セットアップ
- 復旧前に、
感染したPCやNAS、ルーターなどは必ず初期化(工場出荷状態に戻す)ことでウイルスを消します。 - その上で、業務に必要なソフト・設定を入れ直し、安全なバックアップからデータを戻します。
- 社内で難しい場合は、
IT業者に「セットアップごと依頼」するのも現実的な選択です。
- 復旧前に、
-
個人情報が含まれていた場合の追加対応
- 個人情報が入っていた場合は、
個人情報保護委員会への報告や、被害者への通知を必ず実施します。 - 復旧後も、法令上必要な対応を専門家や顧問弁護士に確認してください。
- 個人情報が入っていた場合は、
普段から「バックアップ」と「初期化手順書」を用意しておくことで、いざという時の復旧がスムーズです。また復旧後は必ずパスワードの再設定・ソフトの最新版化・全社員への再教育・ネットワーク機器の再設定もセットで行いましょう。
初期化は全てのマシン・ネットワーク機器で必要?その判断と注意点
感染が疑われる端末・サーバー・ネットワーク機器のみ「確実に」初期化(リセット)が原則です。ただし「感染が広がったかどうか分からない」「同じネットワーク上で不審な挙動があった」場合は、
他のマシンやNAS、ルーター等も初期化を検討します。
- 感染経路がはっきりしている場合は、その端末・機器だけの初期化で済むことが多い
- 複数のPC・サーバーやネットワーク機器で異常が見られる、ネットワーク全体が怪しい場合は、被害が疑われる範囲は全て初期化が安全
- どこまで感染したか自力で判断できない場合は、IT専門業者にネットワーク全体のウイルスチェックを依頼してから、必要なマシンや機器のみ初期化
初期化は「感染した・感染が疑われる」端末や機器で必須。全台初期化が必要なケースは被害拡大・原因不明時のみ。迷ったらプロに「感染範囲調査」を依頼するのが一番安全です。“とりあえず全部初期化”は業務への影響も大きいので、慎重に判断しましょう。
まとめ|「誰に・何を・どの順番で」動けばよいか
感染直後はパニックになりがちですが、
初動対応の流れを決めておくだけで被害が大きく減らせます。
- ネットワークから切り離す(ネットワーク機器も含めて!)
- 証拠を残す
- 責任者・外部へ相談
- 個人情報が関係するならPPC(個人情報保護委員会)や被害者へ連絡
- 重大被害や脅迫があれば警察・弁護士・専門家へ
- IT担当者は全体管理と再発防止まで主導
株式会社テクノリレーションズでは、中小企業向けのIT緊急サポートも承っています。「不安な時、すぐ相談できる先をつくりたい」方は、ぜひご相談ください。
