社内の PC・サーバでマルウェア感染が疑われた場合の即時対応〜復旧〜事後対応 までを定型化した手順書です。発見の早さと封じ込めの正確さが被害規模を決定します。
| 項目 | 想定 |
|---|---|
| エンドポイント | Windows 11 + Microsoft Defender for Endpoint(または企業 EDR) |
| 認証基盤 | Active Directory + Microsoft 365 |
| 想定読者 | ヘルプデスク/社内SE/IT管理者・セキュリティ担当 |
| 前提 | 重大インシデント対応プレイブック と併用 |
⚠️ 本書は一次対応者向けの判断ガイドです。深刻な事案(ランサムウェア・標的型攻撃疑い)は CSIRT・外部セキュリティベンダーへ即時エスカレーションしてください。
複数同時に出現すると感染の可能性が高まります。
| カテゴリ | 兆候 |
|---|---|
| ファイル | 拡張子が .encrypted, .locked 等に変わっている / 拡張子変更通知が異常多発 |
| 動作 | PC が異常に重い、CPU 使用率が常時 100% / 不明なプロセスが常駐 |
| 画面 | 身代金要求メッセージ・脅迫文 / 不審なポップアップ |
| ネットワーク | 不明な国の IP 宛通信 / 大量データ送信検知 |
| アカウント | 知らないアカウントが作成されている / 管理者権限の昇格 |
| ログ | Defender / EDR の高深刻度アラート / イベント ID 4625(ログオン失敗)の多発 |
| メール | 送信した覚えのないメールが大量送信されている |
💡 電源切断 vs シャットダウンの判断: ランサムウェア進行中なら電源切断(暗号化の進行を止める)。それ以外は電源 ON のまま隔離(ライブメモリ・ログを保全)。
被害拡大を防ぐため、感染端末のローカル/ドメインアカウントを無効化します。
# AD アカウント無効化
Disable-ADAccount -Identity yamada.taro
# Azure AD のサインインブロック
Update-MgUser -UserId yamada.taro@corp.com -AccountEnabled:$false
# 既存のセッションを失効
Revoke-MgUserSignInSession -UserId yamada.taro@corp.com
# ユーザーがサインインした最近の端末を Azure AD サインインログから取得
Get-MgAuditLogSignIn -Filter "userPrincipalName eq 'yamada.taro@corp.com'" -Top 100 |
Select-Object CreatedDateTime, AppDisplayName, IpAddress,
@{N='Device';E={$_.DeviceDetail.DisplayName}} |
Sort-Object CreatedDateTime -Descending
# ユーザーのアクセスがある共有フォルダ一覧
$user = "CORP\yamada.taro"
$shares = Get-ChildItem "\\fileserver\corp\" -Directory
$shares | Where-Object {
(Get-Acl $_.FullName).Access |
Where-Object { $_.IdentityReference -eq $user -or
(Get-ADPrincipalGroupMembership $user.Split('\')[1]).SamAccountName -contains $_.IdentityReference.Value.Split('\')[1] }
}
⚠️ 法的対応・保険適用・事後分析の証跡として 検体保全は必須。証拠保全前に駆除(クリーンナップ)してはいけない。
# イベントログを CSV エクスポート(保全用)
$logs = "System", "Application", "Security", "Microsoft-Windows-Windows Defender/Operational"
foreach ($log in $logs) {
Get-WinEvent -LogName $log -MaxEvents 5000 -ErrorAction SilentlyContinue |
Export-Csv "C:\incident\$($log -replace '[\\/]','_').csv" -NoTypeInformation -Encoding UTF8
}
ランサムウェア・root kit 疑いの場合は 必ず初期化します。
【マルウェア感染対応 終息報告】
発生時刻 : 2026-05-XX 14:23
検知経路 : Defender for Endpoint アラート(高深刻度)
影響範囲 : 1 端末(営業部 yamada)/ 横展開なし確認済み
封じ込め : 14:28 ネットワーク切断・アカウント無効化
復旧時刻 : 2026-05-XX 18:00(端末再構築完了)
業務影響 : yamada さんの 4 時間業務停止、他ユーザーへの影響なし
データ漏洩: 確認されず(プロキシログ・EDR で送信なしを確認)
再発防止策:
1. 全端末の Defender 定義ファイル更新状態を週次確認
2. yamada さんを含め、感染源とみられる Web カテゴリへのアクセス制限を強化
3. CSIRT による事後分析を 5 月 XX 日に実施予定
| 検知パターン | 即時対応 | エスカレーション | 復旧アプローチ |
|---|---|---|---|
| ランサムウェア(暗号化進行中) | 電源切断 + 隔離 | CSIRT 即時 | 端末再構築・バックアップ復元 |
| 既知マルウェア(Defender 検知) | ネットワーク切断 + 隔離 | 通常エスカレーション | Defender スキャン + 駆除 → 検証 |
| 不審なプロセス常駐 | ネットワーク切断 + 隔離 | EDR ベンダー分析依頼 | 端末再構築(疑いある場合) |
| アカウント不正アクセス疑い | アカウント無効化 + セッション失効 | CSIRT | パスワード変更 + MFA 再登録 + サインイン履歴監査 |
| 大量メール送信 | 送信者アカウント無効化 + 送信規則確認 | Comms から全社注意喚起 | パスワード変更 + Outlook ルール確認 + ファイル感染確認 |
| 症状 | 原因 | 対策 |
|---|---|---|
| 駆除後に再感染 | 起動領域・他ユーザーアカウントに残存 | 疑わしければ再構築、半端な駆除で済ませない |
| バックアップから復元したファイルにマルウェアが残る | バックアップ自体が感染世代 | 復元前にスキャン、感染前世代を確認 |
| 横展開を見逃す | 同一サブネット・共有資格情報の確認漏れ | 影響範囲特定の標準手順を必ず実施 |
| 報告で過小評価 | 業務影響の過小評価 / 経営層へ「軽微」と伝達 | 数値(影響時間 × 人数)と原因不確定要素を率直に伝える |
Test-SecurityBaseline.ps1 — 平常時のセキュリティ確認注意: 本書は学習用サンプルです。実運用では自社のセキュリティポリシー、CSIRT 規程、契約セキュリティベンダーの推奨手順に従ってください。深刻な事案では迷わず外部専門家を活用しましょう。