不正アクセスを検知後の初動手順

被害の極小化と汚染の封じ込め

• 不正アクセスを検知した直後、まず行うべきは「通信の遮断」である。サーバーであればサービスの一時停止、PCであればLANケーブルの抜去やWi-Fiのオフを即座に行う。
• 攻撃者が現在進行形で操作している可能性を考慮し、セッションを強制終了させるとともに、管理画面等へのアクセス経路を物理的・論理的に断つ。
• 二次被害を防ぐため、同一ネットワーク内にある他のデバイスや共有ストレージとの接続も切り離し、感染や被害の拡大を「封じ込める」。
• むやみに再起動やファイルの削除を行わず、現状のメモリ状態やログを保護することで、後の調査に必要な証拠が消えるのを防ぐ。

被害範囲の特定と事実関係の把握

• どの「アカウント」が乗っ取られたのか、あるいはどの「システム」の脆弱性が突かれたのかを、ログイン履歴やアクセスログから特定する。
• 不正なファイル作成、管理者権限の奪取、データの外部送信、設定の書き換えなど、攻撃者が「何をしたか」の形跡を詳細に洗い出す。
• 漏洩した可能性のある情報の種類（個人情報、機密書類、パスワード等）と、その影響を受ける対象（顧客、取引先、自社社員など）をリストアップする。
• 関連する他のサービス（SNS、銀行、クラウドストレージ等）で、同じパスワードを使い回していないか、不審な挙動がないかを並行して確認する。

パスワードの刷新と認証の再構築

• 乗っ取りが確認されたアカウントだけでなく、関連する全ての管理アカウントのパスワードを、以前とは全く関連のない強固なものへ一斉に変更する。
• 二段階認証（2FA/MFA）が有効でない場合は即座に導入し、既に設定されていた場合は「リカバリコード」が盗まれていないか確認し、再発行を行う。
• APIキーや接続トークンなど、パスワード以外の認証情報も全て無効化し、新しいキーを発行してシステムの接続を再構築する。
• 攻撃者によって作成された「身に覚えのない管理者ユーザー」が残っていないか、ユーザー一覧を隅々まで点検し、不要なアカウントを削除する。

各方面への報告と法的・専門的相談

• 組織内の責任者への報告はもちろん、個人情報の流出が疑われる場合は、個人情報保護委員会や警察のサイバー犯罪相談窓口へ速やかに連絡する。
• サーバー会社やセキュリティベンダーに連絡し、技術的なサポートや詳細な解析（フォレンジック）を依頼して、自分たちでは見つけられないバックドアを排除する。
• 被害を受けたのが顧客データである場合、法的アドバイスを得ながら、公表のタイミングや通知内容を慎重に検討し、社会的信用の失墜を最小限に抑える。
• クレジットカード情報が関わる場合は、カード会社へ連絡して決済の一時停止や不正利用の監視を依頼する。

脆弱性の修正と安全な復旧

• 侵入を許した根本原因（古いOS、パッチ未適用のプラグイン、弱いパスワード等）を特定し、完全に修正するまでサービスを再開しない。
• バックアップデータから復元する場合は、そのデータ自体が感染前のものであることを厳重に確認し、クリーンな環境に対してリストアを行う。
• 復旧直後はアクセス監視を強化し、攻撃者が再び同じ手法や残されたバックドアを使って再侵入してこないか、リアルタイムでログを監視する。
• 今回のインシデントの経緯と対応を文書化し、再発防止策を講じるとともに、チーム内での教訓として共有する。