不正アクセス検知後の初動手順

投稿日: 更新日

初動の成否が被害規模を決定する

不正アクセスの兆候を確認した直後は、焦りからくる不用意な操作が最も危険だ。証拠を消してしまったり、攻撃者に気づかれて被害を拡大させたりしないよう、冷静かつ機械的にあらかじめ決めた手順を遂行する必要がある。

物理的なネットワーク遮断

  • 通信の即時切断: 異常を検知したデバイスの LAN ケーブルを抜く、あるいは Wi-Fi をオフにする。これにより、外部への情報流出や他のデバイスへの感染拡大を物理的に防ぐ。
  • 電源は落とさない: OS をシャットダウンすると、メモリ上に残っている攻撃の痕跡(実行中のプロセスや一時ファイル)が消えてしまい、後の調査が困難になる。画面をロックした状態で放置し、通信のみを断つのが鉄則だ。

アカウントの保護とセッション強制終了

  • 管理者パスワードの変更: 侵害された可能性があるデバイスだけでなく、そのデバイスからログイン可能な全サービスのパスワードを、別の安全な端末から変更する。
  • 全セッションのログアウト: Google や Microsoft 365 などの管理画面から、現在有効なすべてのセッションを強制終了(リモートサインアウト)させる。これにより、攻撃者のログイン状態を無効化する。

証拠の保存と記録

  • 画面のキャプチャ: 異常な警告画面、不審なファイル名、ログイン履歴などの証拠をスマホのカメラなどで撮影しておく。
  • ログの保全: ルーターやサーバーのアクセスログが上書きされないよう、設定を確認するか、ログファイルを別の媒体にコピーする。
  • 時系列のメモ: 何時に、どのような兆候があり、誰がどう対処したかを、記憶が鮮明なうちに記録しておく。

関係各所への連絡

  • 内部への周知: 従業員に対し、特定のサービスへのアクセスを控えるよう、あるいは同様の兆候がないか確認するよう指示を出す。
  • 外部機関への相談: 被害が顧客情報に及ぶ可能性がある場合は、管轄の警察署(サイバー犯罪相談窓口)や IPA(情報処理推進機構)への報告、弁護士への相談を検討する。

二次被害の防止

  • 二段階認証の再点検: 攻撃者がバックアップ用の電話番号やメールアドレスを書き換えていないか確認する。
  • ウイルススキャンと脆弱性診断: ネットワーク内の他のデバイスにバックドア(裏口)が仕掛けられていないか、一斉に点検を行う。
アバター画像
0xc793

本サイトは、SOHO・個人・ホームネットワーク等の事業基盤や生活の継続を目的とした環境設計や実施タスクのナレッジです。セキュリティ、バックアップ、運用の各軸に基づき、エントリを配置していきます。