IT「調査中」でも公表していいの？ランサムウェア被害、初動対応の迷いを消す実践ガイド

Q: ランサムウェア被害が発覚した場合、企業が初動対応で最も重視すべき時間はいつですか？

危機管理広報において、被害発覚からの 最初の24時間 が「ゴールデンタイム」です 。この間に第一報を出せるかどうかが、その後の信頼回復を左右します 。

Q: ランサムウェア感染の調査中や原因不明の段階で、情報を公表するべきですか？

はい、公表する意義があります 。詳細な原因が不明でも、「○○時頃にシステム障害が発生し、現在ランサムウェア感染の疑いで調査中です」という事実と謝罪を出すことで、 憶測や誤情報の拡散を抑える 効果が期待できます 。ガイドラインでは、発覚後 8〜12時間以内 に第一報を出すことが推奨されています 。

Q: ランサムウェア攻撃における「二重恐喝（ダブルエクストーション）」とは何ですか？

データ暗号化に加え、そのデータを窃取（盗み出し）し、「身代金を払わなければデータを公開する」と脅迫する手口です 。企業は「システム復旧」と「情報漏洩への対応」の2つの危機に同時に直面します 。

Q: ランサムウェア被害の際、顧客（ユーザー）や取引先は企業にどのような情報を最も求めていますか？

顧客は「サービスはいつ使えるのか？」「自分の 個人情報は漏れていないか？ 」に関心があります 。取引先は「納品は遅れるのか？」「 自社の情報も漏れていないか？ 」を懸念しています 。ステークホルダーごとに異なる関心事を想像し、きめ細かく情報を届けることが重要です 。

Q: システム復旧後、企業が信頼（レピュテーション）を回復するために必要な行動は何ですか？

復旧して終わりではなく、長期的な取り組みが必要です 。具体的には、原因と被害全容、再発防止策を包み隠さず公表する「 最終報告書の公開 」や、セキュリティ強化の宣言を実際に実行した後に「 導入しました 」と報告する有言実行が求められます 。

2025.12.12

「うちは大企業じゃないから狙われないだろう」「セキュリティソフトを入れているから大丈夫」

もし、社内でこのような空気が流れているとしたら、少し立ち止まって考えてみる必要があるかもしれません。

2024年上半期だけで、国内では114件ものランサムウェア被害が報告されています。被害は大企業だけでなく、中堅・中小企業、自治体、医療機関にまで及んでいます。

特に2025年に入ってからは、この脅威がより一層現実的な経営危機として顕在化しています。例えば、10月に発生したアスクルへの攻撃では、通販サイトや物流システムが停止し、配送遅延や受注キャンセルといった事業根幹に関わる深刻な影響が出ました。

さらに、アサヒグループホールディングスも同時期に大規模な攻撃を受け、約191万件もの個人情報漏洩の可能性が判明しました。11月27日に異例の記者会見を開き、社長自らが「身代金は支払わない」という断固たる方針とともに、被害の経緯と再発防止策を社会に向けて説明する事態となりました。

このように、日本を代表するトップ企業であっても、ひとたび被害に遭えば長期間の事業停止や、トップによる公的な説明責任を余儀なくされます。もはやサイバー攻撃は「対岸の火事」ではなく、いつ自分たちの身に降りかかってもおかしくない、企業の存続を左右する重大な「経営リスク」なのです。

Contents

0.1 ランサムウェアは「二重恐喝」の時代へ
0.2 勝負は「最初の24時間」。初動の遅れが信頼を壊す
- 0.2.1 「ゴールデンタイム」を逃さない
- 0.2.2 「調査中」でも出す意義がある
0.3 ステークホルダーごとに「知りたいこと」は違う
0.4 危機時、人のIQは「13ポイント」下がる？
0.5 記者会見は「稀」？デジタル時代のメディア対応
0.6 復旧して終わりではない。「レピュテーション」の回復
0.7 まとめ

1 ランサムウェア被害、初動対応まとめ（FAQ）

ランサムウェアは「二重恐喝」の時代へ

かつてのランサムウェアといえば、データを暗号化して「元に戻してほしければ金を払え」と要求する手口が一般的でした。しかし、現在は手口がより悪質化しています。

主流となっているのは「二重恐喝（ダブルエクストーション）」と呼ばれる手法です。これは、データを暗号化するだけでなく、そのデータを窃取（盗み出し）し、「身代金を払わなければデータを公開する」と脅迫する手口です。

企業は「システム復旧」と「情報漏洩への対応」という2つの危機に同時に直面することになります。さらに最近では、VPN機器だけでなく、リモートデスクトップ（RDP）の設定不備を突いた侵入や、海外子会社・委託先を経由したサプライチェーン攻撃も増えています。

2024年6月には大手エンターテインメント企業が攻撃を受け、サービスが約2ヶ月停止、売上が約77億円減少する見込みと報じられるなど、経営へのインパクトは甚大です。

勝負は「最初の24時間」。初動の遅れが信頼を壊す

被害が発覚したとき、広報担当者が最も悩むのが「いつ発表するか」ではないでしょうか。

「原因がわかるまで発表は待とう」「確実なことが言えるまで沈黙しよう」

そう考えるのは自然なことですが、実はそれが最大のリスクになることがあります。

「ゴールデンタイム」を逃さない

危機管理広報では、発覚からの24時間を「ゴールデンタイム」と呼びます。この間に第一報を出せるかどうかが、その後の信頼回復を左右すると言われています。

情報の空白期間が長引けば長引くほど、SNSなどで「何か隠しているのではないか」「倒産するのではないか」といった憶測や誤情報が拡散してしまいます。一度広まったデマを後から訂正するのは非常に困難です。

「調査中」でも出す意義がある

ガイドラインでは、発覚後8〜12時間以内に第一報を出すことが推奨されています。もちろん、その段階では詳細な原因や影響範囲はわかっていないことがほとんどです。

それでも構いません。「○○時頃にシステム障害が発生し、現在ランサムウェア感染の疑いで調査中です」という事実と、「ご心配をおかけしています」というお詫びを出すだけで十分なのです。

「会社が事態を認識し、対応している」という姿勢を公式に示すだけで、ステークホルダーの安心感は大きく変わり、憶測の拡散を抑える効果が期待できます。

ステークホルダーごとに「知りたいこと」は違う

広報対応というと、どうしても「メディア対応」や「プレスリリース」に目が向きがちですが、企業を取り巻く関係者はそれだけではありません。

それぞれの相手が「何を心配しているのか」を想像し、きめ細かく情報を届けることが大切です。

顧客（ユーザー）
- 関心事：「サービスはいつ使えるの？」「私の個人情報は漏れていないの？」
- 対応：公式サイトでの告知、メール通知、問い合わせ窓口の設置など。
取引先
- 関心事：「納品は遅れるのか？」「自社の情報も漏れていないか？」
- 対応：営業担当からの直接連絡、影響の有無と対策の報告。
株主・投資家
- 関心事：「業績への影響は？」「経営責任はどうなる？」
- 対応：適時開示（上場企業の場合）、IRサイトでの公表。
従業員
- 関心事：「会社は大丈夫か？」「どう行動すればいい？」
- 対応：社内メールやイントラネットでの迅速な周知、箝口令（かんこうれい）の指示。

特に従業員への対応は重要です。不安になった社員がSNSで内部事情を漏らしてしまう「内部リーク」を防ぐためにも、社員には誠実に状況を説明し、協力を求める姿勢が欠かせません。

危機時、人のIQは「13ポイント」下がる？

ここで少し視点を変えて、「心理」のお話をしましょう。以前のこのマガジンでもご紹介した「危機管理心理学」の視点です。

人は火災やサイバー攻撃といった非常事態に直面すると、強いストレスによって「闘争・逃走反応」が起き、冷静な判断ができなくなると言われています。研究によると、極度のストレス下ではIQが平均13ポイントも低下し、これは一晩徹夜したのと同じくらい判断力が鈍った状態だそうです。

さらに、危機時には以下のような「認知バイアス（思い込み）」に陥りやすくなります。

集団浅慮（グループシンク）： 「みんながそう言うなら」と、反対意見が出にくくなり、誤った決定（例：隠蔽しよう）に突き進んでしまう。
正常性バイアス： 「まさか自分の会社がそこまで酷いことにはならないだろう」と、事態を過小評価してしまう。
思考停止： 「自分は大丈夫」と思い込み、専門家に助けを求めず抱え込んでしまう。

「うちの経営陣は優秀だから大丈夫」と思っていても、人間である以上、こうした反応は避けられません。だからこそ、「人はパニックになるものだ」という前提で準備をしておくことが重要なのです。

具体的には、判断に迷わないための「チェックリスト」や「テンプレート」を平時から用意しておくことが、IQ低下時の命綱となります。

記者会見は「稀」？デジタル時代のメディア対応

一昔前の不祥事対応といえば、テレビカメラの前で社長が深々と頭を下げる「謝罪会見」が定番でした。しかし、ランサムウェア被害においては、その潮流も変わりつつあります。

最近では、ランサムウェア被害で記者会見まで行うケースは多くありません。その代わり重要になっているのが、WebサイトやSNSを通じた情報発信です。

プレスリリースを配信し、自社サイトで情報を更新し続ける。そして、SNS上の反応（エゴサーチ）をモニタリングし、誤情報があれば訂正する。これが現代の基本スタイルです。

もちろん、被害が甚大で社会インフラに影響が出るような場合は会見が必要になることもありますが、その場合でも「準備8割」です。

何を聞かれても答えられる「想定問答集（Q&A）」を作る。
「身代金は払うのか？」「管理体制はどうだったのか？」といった厳しい質問への回答を準備する。
技術的な専門用語（C2サーバー、ペイロードなど）を使わず、一般の人に伝わる言葉で説明する。

こうした準備なしにメディアの前に立つことは、火に油を注ぐようなものです。

復旧して終わりではない。「レピュテーション」の回復

システムが復旧し、業務が再開できれば一安心……ではありません。一度失墜した企業の評判（レピュテーション）を取り戻すには、長い時間がかかります。

最終報告書の公開： 原因と被害全容、再発防止策を包み隠さず公表する。
被害者へのフォロー： 情報漏洩した方への補償やケアを継続する。
有言実行： 「セキュリティを強化します」と宣言したなら、実際に導入した後に「導入しました」と報告する。
第三者評価： セキュリティ認証の取得や、外部専門家の監査を受ける。

地道ですが、こうした「約束を守る姿」を見せ続けることでしか、信頼は回復できません。

まとめ

ランサムウェア被害は、技術的な問題であると同時に、高度な「コミュニケーション」の問題でもあります。

「まさか」が起きたとき、パニックの中でゼロから対応を考えるのは不可能です。しかし、事前に「地図」を持っていれば、迷う時間を減らすことができます。

今回ご紹介した内容は、RCIJが発行した『ランサムウェア被害時の情報開示実践ガイド』の一部です。このガイドには、記事では紹介しきれなかった以下の実務資料がそのまま掲載されています。

「万が一」のときに担当者を助けるお守りとして、また社内の防災訓練の資料として、ぜひお手元に置いて活用してみてください。

正しい知識と準備があれば、危機は必ず乗り越えられます。

📥 完全版ガイドのダウンロード申込はこちら

ランサムウェア被害、初動対応まとめ（FAQ）

ランサムウェア被害が発覚した場合、企業が初動対応で最も重視すべき時間はいつですか？

危機管理広報において、被害発覚からの最初の24時間が「ゴールデンタイム」です。この間に第一報を出せるかどうかが、その後の信頼回復を左右します。

ランサムウェア感染の調査中や原因不明の段階で、情報を公表するべきですか？

はい、公表する意義があります。詳細な原因が不明でも、「○○時頃にシステム障害が発生し、現在ランサムウェア感染の疑いで調査中です」という事実と謝罪を出すことで、憶測や誤情報の拡散を抑える効果が期待できます。ガイドラインでは、発覚後8〜12時間以内に第一報を出すことが推奨されています。

ランサムウェア攻撃における「二重恐喝（ダブルエクストーション）」とは何ですか？

データ暗号化に加え、そのデータを窃取（盗み出し）し、「身代金を払わなければデータを公開する」と脅迫する手口です。企業は「システム復旧」と「情報漏洩への対応」の2つの危機に同時に直面します。

ランサムウェア被害の際、顧客（ユーザー）や取引先は企業にどのような情報を最も求めていますか？

顧客は「サービスはいつ使えるのか？」「自分の個人情報は漏れていないか？」に関心があります。取引先は「納品は遅れるのか？」「自社の情報も漏れていないか？」を懸念しています。ステークホルダーごとに異なる関心事を想像し、きめ細かく情報を届けることが重要です。

システム復旧後、企業が信頼（レピュテーション）を回復するために必要な行動は何ですか？

復旧して終わりではなく、長期的な取り組みが必要です。具体的には、原因と被害全容、再発防止策を包み隠さず公表する「最終報告書の公開」や、セキュリティ強化の宣言を実際に実行した後に「導入しました」と報告する有言実行が求められます。

RCIJマガジン