不正アクセス発覚時の初動対応

見出し

1 不正アクセス発覚時の初動対応

不正アクセスは、発覚した瞬間よりも、その後の最初の動きで被害の広がり方が大きく変わります。ログイン通知、身に覚えのない設定変更、送信した覚えのないメール、Webサイトの改ざん、クラウド上の不審な操作など、異変の現れ方はさまざまです。しかし、共通して重要なのは、慌てて自己判断で触りすぎないことと、最初の30分で記録・報告・隔離・共有を進めることです。

この記事では、経営者や責任者層も含めて、不正アクセスが疑われたときに組織として最初に何をすべきかを整理します。ここで扱うのは、個人レベルの直後対応ではなく、組織レベルの初動フローです。

不正アクセス発覚時にまず重要なこと

不正アクセスが疑われる場面では、「まず元に戻そう」としてしまいがちです。しかし、むやみな削除、再起動、設定変更は、被害範囲の把握や証拠保全を難しくします。初動で重要なのは、原因の特定を急ぐことではなく、被害拡大の防止と、後から状況を追えるように記録を残すことです。

IPAの中小企業の情報セキュリティ対策ガイドラインでも、初動対応の規定と周知が重要とされています。つまり、担当者が場当たり的に動くのではなく、何を記録し、どこへ報告し、どの範囲を止めるかを組織として決めておくことが重要です。

よくある発覚パターン

不正アクセスは、明確な警告よりも違和感から発覚することが少なくありません。よくあるパターンには、次のようなものがあります。

ログイン通知や認証コード通知が急に増えた
管理画面やクラウド設定が変わっている
送信した覚えのないメールやメッセージがある
Webサイトが改ざんされている、別ページへ飛ぶ
ECサイトで不審な注文や設定変更が見つかった
決済関連アカウントや顧客情報へのアクセス履歴に異常がある

この段階で「誤作動かもしれない」と片付けてしまうと、対応が遅れます。まずは異常の可能性を前提に、記録と共有を始めるべきです。

最初の30分でやること

ここで扱うのは、組織としての初動です。フィッシング記事で扱う「クリック後に何をするか」とは異なり、このセクションでは記録・報告・隔離・共有の流れを整理します。

症状を記録する

まず、何が起きているかを記録します。時刻、画面キャプチャ、URL、ログイン通知、メールヘッダ、変更された設定、不審アカウントの有無、関連ログなど、後から見返せる情報を残してください。証拠が曖昧だと、被害範囲の特定や委託先への依頼が難しくなります。

被害拡大を防ぐ

次に、影響が広がる可能性がある部分を限定します。該当アカウントのパスワード変更、二段階認証の有効化、送信機能の停止、外部公開の一時停止、ネットワーク切り離しなど、症状に応じた遮断を判断します。ただし、全面停止が必要かどうかは事業影響も踏まえて判断する必要があります。

関係者へ共有する

担当者だけで抱え込まず、上長、情報システム担当、保守ベンダー、委託先、必要に応じて経営層へ第一報を入れます。誰に報告するかが曖昧だと初動が止まりやすいため、事前ルートの有無がそのまま対応速度に影響します。

やってはいけないこと

不審ファイルの安易な削除、サーバーや端末の再起動、証拠を残さない状態での上書き、関係者へ未整理のまま断定情報を流すことは避けるべきです。調査のために残すべき情報が消えると、後の対応が難しくなります。

ケース別の初動

不正アクセスといっても、対象によって初動は少しずつ異なります。

メールアカウント: 送信履歴、転送設定、署名設定、二段階認証、連携アプリを確認する
Webサイト: 改ざん箇所、管理ユーザー、プラグインやCMS更新状況、サーバーログの保全を優先する
ECサイト: 注文、決済設定、会員情報、管理画面アカウント、外部連携先への影響を確認する
クラウド: 管理者権限、監査ログ、APIトークン、共有設定の変更有無を確認する

共通して言えるのは、「何が侵害されたかを早く切り分ける」ことです。対象がメールなのか、Webなのか、ECなのか、クラウドなのかで、止めるべきものと残すべき証拠が変わります。

相談先と届出先

初動で相談先を整理しておくことも重要です。社内では情報システム担当、上長、経営層、委託先ベンダー、保守会社などが主な共有先になります。外部では、状況に応じて IPA の相談窓口、警察、カード会社、決済代行会社、クラウド事業者、顧問弁護士などが候補になります。

ここで重要なのは、特定サービスの案内ではなく、どの種類の窓口へ相談すべきかを整理することです。被害対象に応じて適切な先へつなぐ考え方が中心になります。たとえばカード情報の入力が疑われるならカード会社、個人情報漏えいの恐れがあるなら社内法務や関係部門、サーバー侵害が疑われるなら保守委託先、といった整理が必要です。

公的な相談先や情報提供先としては、IPA 情報セキュリティ安心相談窓口や、必要に応じて警察庁サイバー犯罪対策、所轄警察への相談も候補になります。被害内容や影響範囲に応じて、社内窓口と外部窓口を切り分けて判断することが重要です。

攻撃の種類を整理した記事: サイバー攻撃の種類と対策
発端が不審メールだった場合: フィッシング詐欺の手口と見分け方
今後の対策を見直したい場合: セキュリティチェックリスト

まとめ

不正アクセスが疑われたときに重要なのは、最初から原因を断定することではなく、記録し、報告し、被害拡大を防ぎ、関係者で状況を共有することです。自己判断で触りすぎると、被害把握も復旧も難しくなります。組織としての初動フローを持っていない場合や、自社だけで判断が難しい場合は、外部の専門家への相談も選択肢になります。

この記事の執筆・監修について

本記事は、サイバーセキュリティメディアCCSI編集部が執筆・監修しています。当メディアでは、不正アクセスやWeb改ざん、公表インシデントの継続的な確認を通じて、どのような初動が実際に求められるかを整理してきました。本記事では、組織が最初の30分で判断しやすいよう、一般化した初動フローとしてまとめています。