「その再起動、絶対NG」金融庁が警鐘、サイバー攻撃を受けた時の“初動の鉄則”とは（ビジネス＋IT）

　省庁間の申し合わせを受けて、金融庁は9月、金融分野におけるサイバー攻撃事案への対応と報告の迅速化・標準化を図るため、大手行・地銀を含む各業界向けの監督指針改正を公表しました。 　この中で、DDoS攻撃やランサムウェア攻撃の事案が発生した場合は、政府が作成した共通様式によって報告することが可能であることを明確化した上で、ランサムウェアに関しては、同じフォーマットで、個人データなどの漏えいに関する報告を兼ねることも可能だと説明する記載を追加しました。 　この新しい監督指針は、2025年10月1日から適用されています。 　原因がサイバー攻撃かどうかに関わらず、個人データが漏えいしたからと言って、必ず各所への報告が必要というわけではありません。どのような場合に報告が必要となるかについては、個人情報保護委員会と金融庁が共同で作成した「金融機関における個人情報保護に関するQ&A」に記載されています。 　この中で、基本的には以下のような状況に当てはまる場合、個人情報保護委員会、金融庁、財務局長などに報告の必要があるとされています。 ・要配慮個人情報が含まれる個人データの漏えい等が発生し、または発生したおそれがある事態 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、または発生したおそれがある事態 不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データの漏えい等が発生し、または発生したおそれがある事態 個人データに係る本人の数が1000人を超える漏えい等が発生し、または発生したおそれがある事態

　金融庁は報告フォーマットの注意書きの中で、実際に攻撃を受けた際、被害拡大を防ぐためにどのようなことをすべきかを整理しています。 　ランサムウェア攻撃については、初期対応を誤って感染経路が分からなくなると、その後の復旧に支障が生じる懸念があります。 　そこで、次のような対応が求められます。 ・感染端末および感染が疑われる端末からLANケーブルを抜くとともに、無線LANを無効にすること。 感染端末等の再起動や電源オフをしないこと。すでに感染端末等の電源がオフの場合はオンにしないこと。 ウイルス対策ソフトによる感染端末等のフルスキャンをしないこと。 ネットワーク機器の再起動や電源オフをしないこと。 ファームウェアやOSのアップデートをしないこと。 感染端末および感染が疑われる端末からLANケーブルを抜き、無線LANを無効にすること 　ランサムウェアはネットワークを通じて他の端末へ拡散する可能性があるため、感染源となった端末を速やかにネットワークから切り離すことが重要です。LANケーブルを抜き、Wi-Fi機能を無効化することで、他のシステムやサーバへの感染拡大を防ぐことができます。物理的な通信遮断が最も確実な防止策です。 感染端末等の再起動や電源オフをしないこと。すでに電源がオフの場合はオンにしないこと 　感染端末を再起動したり電源を切ったりすると、メモリ上に残るログや暗号鍵などの重要な解析情報が失われる可能性があります。また、電源を入れ直すと、攻撃者のプログラムが再実行される恐れもあります。すでに電源が切れている場合は、そのままの状態を維持し、専門家によるフォレンジック調査を待つことが望まれます。 ウイルス対策ソフトによる感染端末等のフルスキャンをしないこと 　フルスキャンを実行すると、ウイルス対策ソフトが自動的に感染ファイルを削除・隔離することがあり、感染経路や攻撃の証拠が破壊されるおそれがあります。フォレンジック調査では、感染の痕跡や暗号鍵、通信ログなどが重要な手掛かりとなるため、証拠を改変しないよう、スキャンは控える必要があります。 ネットワーク機器の再起動や電源オフをしないこと 　ルータやスイッチ、ファイアウォールなどのネットワーク機器には、通信履歴や接続ログが保存されています。これらの情報は攻撃経路や侵入元を特定する上で重要な証拠になります。再起動や電源オフを行うとログが消失する可能性があるため、操作は控え、必要な場合は専門家の指示を仰いでから実施します。 ファームウェアやOSのアップデートをしないこと 　アップデートを行うと、システム内部のログや設定ファイルが上書きされ、証拠が失われる可能性があります。また、攻撃者の痕跡が消えてしまうことで、感染経路や影響範囲の特定が困難になります。感染経路の解析と証拠保全が完了するまでは、システムの変更や更新は避けるべきです。