MENU
IT商社のネルフ・エンタープライズ。お客様によりよいIT商材をご提案し、最先端のIT環境を提供致します。
ブログ
  1. ホーム
  2. ブログ
  3. サイバー攻撃で電源を切るべき状況と避けるべき危険な操作解説

サイバー攻撃で電源を切るべき状況と避けるべき危険な操作解説

こんにちは。ネルフ・エンタープライズ、技術担当のHです。

サイバー攻撃を受けたとき、あなたも「このまま電源を切るべきか、それとも触らずにおくべきか」と迷ったことがあるかもしれません。特にサイバー攻撃初動対応の現場では、数分の判断が被害の広がりを大きく左右しますし、ランサムウェアで電源を切るか切らないかの判断は、いつも緊張感が走るポイントですよね。

一方で、証拠保全やフォレンジック初動を意識しないまま電源を落としてしまうと、後から原因究明や再発防止ができず、同じタイプの攻撃を何度も受けてしまうリスクがあります。また、ネットワーク遮断インシデント対応の基本を押さえていないと、「とりあえずLANケーブルを抜いたけれど、本当にこれで正しかったのか」と不安だけが残ってしまうことも多いです。

最近では、IPAのインシデント手引きなど公的機関のガイドラインもアップデートされていて、「むやみに電源を落とさず、まずは記録を残すこと」という考え方がかなり浸透してきました。ただ、実際の現場では「それでも暗号化がどんどん進んでいる」「もう止めないとやばい」という状況もありますよね。この記事では、そのジレンマに現場視点で寄り添いながら、具体的にどう判断していくかを整理していきます。

最終的には、インシデント発生時だけでなく、平時からどんな対策をしておけば「サイバー攻撃で電源を切るかどうか」にそこまで怯えなくて済むのか、私が提案しているファイル無害化ソリューションSasa SoftwareのGateScannerも絡めてお話ししていきます。ここが気になる、というところを中心に読んでもらえればと思います。

この記事でわかること
  • サイバー攻撃時に電源を切る・切らない判断の軸
  • ランサムウェア感染時の初動対応とネットワーク遮断のコツ
  • 証拠保全とフォレンジック初動で押さえるべき実務ポイント
  • 再発防止のために検討すべきファイル無害化とGateScannerの活用イメージ
目次

サイバー攻撃で電源を切る判断基準

ここでは「電源を切るかどうか」を感覚ではなく、再現性のある判断軸として整理していきます。サイバー攻撃初動対応の基本と、ランサムウェアの特性、証拠保全やネットワーク遮断の考え方をセットで押さえておくことで、いざというときに慌てず対応しやすくなります。特に私のように日々インシデント対応を支援している立場からすると、「電源を切る判断だけが独り歩きしてしまう」ケースは本当に多いので、ここで一度しっかりと整理しておきたいところです。

サイバー攻撃初動対応の要点

サイバー攻撃の現場でまず大事なのは、焦らず「最初の数分」をどう使うかです。ここで慌ててしまうと、電源を落として証拠が消えたり、逆に何もせず攻撃が拡大したりと、後々取り返しのつかない状況につながることが多いんですよね。私がよくお客様にお伝えしているのは、「電源ボタンより先にネットワークケーブルのことを思い出してください」ということです。ここ、ほんと重要です。

典型的なサイバー攻撃初動対応の流れは、ざっくり次のようなステップになります。これらは企業規模によって多少変わりますが、基本的な考え方はどこでも一緒かなと思います。

  • 感染が疑われる端末やサーバーをネットワークから隔離する(LANケーブルを抜く、Wi-Fiをオフにする、EDRでネットワーク隔離するなど)
  • 端末の操作をやめ、ログインユーザーにも「触らないでください」と周知する
  • 画面表示や不審なメッセージ、動作状況などをスクリーンショット・写真で残す
  • 上長・情報システム部門・CSIRTなど、社内のインシデント対応窓口に連絡する
  • 必要に応じて、外部のセキュリティベンダーや保守会社に連絡する

この段階では、まだ電源を切らなくて良いケースが多いです。むしろ電源を落とさないことで、メモリ上の情報やログが保持され、後のフォレンジック調査で「何が起きていたのか」を把握しやすくなります。ここを意識しておくだけでも、「とりあえず電源を切る」という判断から距離を置けるはずです。

そして、この初動ステップの中でも特に重要なのが「ネットワーク隔離」です。攻撃の多くは横展開しようとする動きを持っています。つまり、あなたのPCが感染しているとき、それは他のPCが感染するまでの「時間の問題」になっていることも珍しくありません。だからこそ、ネットワークから切り離すという行為自体が、被害拡大を止める最速の防御策になります。

初動対応の合言葉は、サイバーセキュリティの現場でよく言われる「触るな・落とすな・動かすな」です。これは、むやみに端末を操作したり、電源を落としたり、勝手に再起動したりすると、それだけで証拠が消えてしまい、後の調査ができなくなるからです。まずはネットワーク隔離と記録、そして社内外への連絡を優先するイメージで動くと良いかなと思います。

また、初動対応の中では「記録」が軽視されがちですが、実はかなり重要です。発生時刻、どんなエラーメッセージが出ていたか、どんな動作だったか——こうした情報が残っているだけで、原因特定のスピードが全然違ってくるんですよね。特にランサムウェアでは、暗号化の開始タイミングや侵入経路を突き止めるために、画面上の情報がとても重要になります。

さらに言うと、初動対応において最も大事なのは「判断を属人化しないこと」です。つまり、誰がその場に居合わせても同じ手順ができるように、社内で初動マニュアルを作っておくことが不可欠です。現場の混乱は、判断基準が曖昧なほど大きくなりますからね。

初動対応ガイドラインについては、IPA(独立行政法人 情報処理推進機構)が発行している「インシデント対応マニュアル」も非常に参考になります。(出典:IPA『インシデント対応マニュアル』 https://www.ipa.go.jp/security/incident/incident.html

ランサムウェア電源切る判断軸

ランサムウェアは他のマルウェアと比べても「電源判断」が難しい攻撃なんですよね。理由はとてもシンプルで、ランサムウェアは時間とともに被害が増えるタイプの攻撃だからです。あなたの端末で暗号化処理が走っているのであれば、1 分後には重要なファイルが暗号化されているかもしれないし、10 分後には会社全体の共有フォルダにまで広がっているかもしれません。

とはいえ、だからといって「暗号化が始まったら電源を切ればいい」という単純な話でもありません。電源を落とすことで暗号化を止められる可能性はありますが、同時に証拠が消えたり、復旧不可能な状態になってしまったりというリスクもあります。つまり、電源を切るメリットとデメリットが極端に大きいのがランサムウェアの怖さなんです。

電源を切ることで期待できること

まずはメリットのほうから整理しておきましょう。ランサムウェアの暗号化が「今まさに進行中」である場合、電源断は最も即効性のある防御策になります。暗号化処理は OS や CPU 上で実行されているため、電源を落とせばプロセスが停止し、暗号化の進行も止まる可能性があるわけです。

例えば、ファイルの拡張子が次々と変わっていく、ネットワークドライブの容量が急激に減っていく、CPU 使用率が高止まりしているといった状態は「暗号化の進行中」である典型的なサインです。この段階でネットワーク隔離をしても暗号化が止まらない場合、電源を落とすことで「これ以上の被害拡大」を防げる可能性があります。

また、攻撃者がすでに遠隔操作でシステム内に入り込んでおり、積極的に破壊行為を行っているケースでは、電源を落とすことで攻撃者のセッションを強制切断できます。実際に、大学や大手企業の事例では、被害拡大を食い止めるために「全端末の電源を一斉に落とした」というケースもあります。これは極めて大胆な措置ですが、被害規模が大きく、攻撃が継続していた場合、最適解とされることも少なくありません。

まとめると、「暗号化が進行している・攻撃者が操作している」という緊急性の高い状況では、電源断が有効な場合があります。これは「被害拡大防止」を最優先にした判断です。

電源を切らないほうがよいケース

一方で、電源断には非常に大きなデメリットもあります。特に注意したいのは、すでに暗号化が完了している場合や、ファイルレスマルウェアのようにメモリ上にしか存在しない攻撃の場合です。

ランサムメモが表示されている、全体の大半のファイルが暗号化されているといったケースでは、電源を切っても「もう失われるデータがない」状態です。ここで重要なのは、復旧に必要な証拠を残すことなんですよね。電源を落としてしまうと、メモリ上の情報——例えば暗号鍵、攻撃者が使ったコマンド、常駐プロセスといった重要データ——がすべて消えてしまい、調査や復旧が困難になってしまいます。

さらにやっかいなのは、ランサムウェアの中には「電源断を検知すると破壊フェーズに移行する」ものが存在するという点です。これは近年のランサム攻撃で増えている高度化の一例で、シャットダウンや再起動をトリガーに、暗号化を強化したり、復号可能性を下げたり、追加の破壊処理を走らせるケースさえあります。

つまり、「電源を切ればとりあえず安全」という発想は非常に危険です。電源断が意味を持つのは、あくまでも暗号化が進行中で、ネットワーク隔離だけでは止められない場合に限られます。

電源断には証拠消失リスク復旧不能リスクが伴います。ランサムウェアは種類によって動作がまったく異なるため、性急な電源断はむしろ状況を悪化させる可能性があります。焦りから「電源を落とせば助かる」という判断をしないことが大切です。

また、電源断に関する判断は、IPAや警察庁などが公表しているガイドラインでも注意喚起されています。これらの一次情報では「不用意に電源を切ることで証拠が消える」ことが問題視されており、暗号化が進んでいない段階であっても、電源断の判断は慎重に行うことが推奨されています。

電源断判断の考え方については、IPA が公表している「中小企業のためのセキュリティインシデント対応手引き」にも詳しく記載があります。(出典:IPA『セキュリティインシデント対応手引き』 https://www.ipa.go.jp/security/publications/index.html

このように、ランサムウェア攻撃時の電源判断は「緊急性」と「証拠保全」のバランスがすべてです。現場の状況を見ながら判断する必要があるため、事前に社内でプレイブックを準備しておいたり、専門家に相談できる体制を整えておくことがとても重要です。

証拠保全とフォレンジック初動

電源断の判断を誤ると、取り返しのつかない影響が出る代表的な理由が、この「証拠保全」です。サイバー攻撃における証拠とは、攻撃者がどのように侵入し、どのように行動し、どのくらいの期間滞在していたかを解析するためのログや状態データのことです。

ところが、多くの企業では「復旧を急ぎたい」という気持ちが優先されてしまい、証拠保全が後回しになります。これが本当に危険で、証拠が消えたことで以下のような問題が起こることが非常に多いです。

  • 攻撃者がどこから侵入したか特定できない
  • 攻撃の範囲(何台が侵害されたか)が分からない
  • バックドアを残したまま復旧してしまい再侵害が発生する
  • 保険会社・法的手続きに必要な証拠が残らない

証拠保全で押さえておきたい主な情報は次の3つです。

証拠保全で押さえておきたい主な情報
  • メモリ情報(プロセス一覧、接続先IP、暗号鍵など)
  • ディスク情報(各種ログ、レジストリ、ファイル更新履歴など)
  • ネットワーク情報(FW・proxy・VPNログなど)

特にメモリ情報は、電源を落とすと一瞬で消えてしまいます。これが「不用意にシャットダウンするべきではない」と言われる最大の理由です。ファイルレスマルウェアなどはディスクに痕跡を残しませんから、メモリ情報がなければ何が起きていたのかを解明することができません。

また、証拠保全は「専門家でなければできない」と思われがちですが、実は現場でできることもたくさんあります。例えば、Screenshots を取る、イベントログをエクスポートする、不審な通信を記録するなど、簡単な行動だけでも後の調査に非常に役立ちます。

証拠保全は攻撃の「見える化」です。被害範囲を特定し再発防止につなげるためには、証拠保全を軽視しないことがとても重要ですよ。

さらに、証拠保全が適切に行われていれば、外部フォレンジックベンダーへの依頼もスムーズになります。初動で十分な情報が残っていないと、調査期間が延びたり、結果が曖昧になったりと、経営層への説明責任も果たしにくくなります。

なお、公的機関のガイドラインにおいても、証拠保全の重要性は繰り返し強調されています。たとえば総務省の「情報セキュリティ対策ガイドライン」では、インシデント発生時のログ保全の重要性が明確に記載されています。(出典:総務省『国民のための情報セキュリティサイト』 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/

証拠保全は単なる調査のための作業ではなく、企業の信頼やビジネス継続に関わる極めて重要なプロセスです。電源断判断を誤らないためにも、「電源を切る前に、まず証拠を残す」という意識を持つことがとても大切です。

ネットワーク遮断でのインシデント抑止

電源を落とすかどうかを考える前に、まず真っ先に検討してほしいのが「ネットワーク遮断」です。サイバー攻撃の多くは、1 台の端末だけで完結せず、同じセグメント内のほかの端末やサーバーへとじわじわ広がっていきます。つまり、あなたの PC 1 台の問題に見えても、実は「組織全体の問題の入り口」に過ぎないケースがとても多いんですよね。

ここで大事なのは、「どこまで・どの範囲のネットワークを・どの順番で切るか」を事前に決めておくことです。闇雲に全部止めてしまうと、業務への影響が大きくなりすぎて現場がパニックになりますし、逆にほとんど切らないと被害がどんどん広がっていきます。このバランス感覚が、ネットワーク遮断の腕の見せどころだと思ってください。

現場で使いやすい遮断パターン

まずは、よくある遮断パターンを整理しておきます。実際の現場では、これらを組み合わせて使うことが多いです。

よくある遮断パターン
  • 端末単位での遮断:感染が疑われる PC やサーバーの LAN ケーブルを抜く、Wi-Fi をオフにする、EDR の「ネットワーク隔離」機能を使うなど
  • セグメント単位での遮断:L2/L3 スイッチの設定で VLAN ごと止める、フロア単位でハブを落とすなど
  • インターネット接続の制御:ファイアウォールやプロキシのポリシーを一時的に絞り込み、外向き通信を制限する
  • VPN・リモートアクセスの一時停止:外部からの不正接続の可能性が高い場合に、VPN やリモートデスクトップゲートウェイを止める

「どれを選ぶか」は、攻撃の種類と業務への影響を見ながら決めることになります。例えば、ランサムウェアで社内ファイルサーバーの暗号化が始まっているなら、社内セグメントやファイルサーバー周りの遮断を優先したほうが良いですし、外部からの侵入が疑われる場合は、VPN や公開サーバーとの通信を先に見直したほうが良い、というイメージです。

ネットワーク遮断パターンと使いどころの例

遮断レベル主な手段向いている状況
端末レベルLAN ケーブル抜線、Wi-Fi OFF、EDR隔離感染が特定の端末に限定されていそうな初動段階
セグメントレベルVLAN シャットダウン、フロアハブ停止同一セグメント内で複数端末への横展開が疑われるケース
インターネット接続FW/プロキシでアウトバウンド制御外部C2サーバーとの通信やデータ流出が疑われる場合
リモートアクセスVPN/リモートデスクトップ一時停止社外からの侵入・乗っ取りの可能性が高い場合

こんな感じで「どのレベルの遮断をいつ使うか」を整理しておくと、いざというときでも迷いにくくなります。「とりあえず全部落とす」か「何もできずに眺める」の二択にならないよう、中間の選択肢をちゃんと用意しておくイメージですね。

サイバー攻撃で電源を切る前に考えること

ここで一度、「電源断とネットワーク遮断の違い」を整理しておきましょう。簡単に言うと、ネットワーク遮断は「通信の停止」、電源断は「システムそのものの停止」です。なので、まずは通信を止めて、それでもダメならシステムを止めるくらいの順番で考えるとバランスが取りやすいです。

  • ネットワーク遮断:被害拡大を抑えつつ、証拠やログは極力残せる
  • 電源断:被害拡大は止めやすいが、メモリ情報など重要な証拠が失われる

特に、ランサムウェアのように時間とともに被害が広がる攻撃では、「まずはネットワークを切って様子を見る」という一手を挟むかどうかが重要です。それだけで救えるファイルやサーバーもありますし、その間に専門家と連絡を取って、電源を落とすべきかどうかを相談する余地も生まれます。

ネットワーク遮断は、業務インパクトも非常に大きい手段です。「止める範囲」「止める時間」「復旧手順」をあらかじめ決めておかないと、「切ったのはいいけれど、いつどうやって戻すのか」で現場が混乱しがちです。遮断と復旧を一つのセットとして、手順書に落としておくことをおすすめします。

もちろん、すべてのケースで完璧に判断できるわけではありませんが、少なくとも「サイバー攻撃で電源を切る前に、ネットワーク遮断でどこまで止められるか」を考える習慣がつくだけでも、被害コントロールの精度はかなり変わってきますよ。

IPA手引きに学ぶ対応指針

ここまで、現場目線でネットワーク遮断や電源断の話をしてきましたが、やはり公的機関のガイドラインに目を通しておくこともとても大事です。特に日本の企業であれば、IPA(情報処理推進機構)が出している各種手引きは、サイバー攻撃対応の「共通言語」として使いやすい内容になっています。

IPA のインシデント対応系の資料に目を通していると、共通して強調されているポイントがいくつかあります。ざっくりまとめると、次のような考え方です。

共通して強調されているポイント
  • 不用意に電源を切ったり再起動したりして、ログや証拠を消さない
  • 被害拡大を防ぐために、ネットワーク遮断やシステム隔離を優先する
  • 証拠保全が完了した段階で、初期化・再インストール・バックアップ復元などの復旧作業に進む
  • 個人情報漏えいの可能性がある場合は、法令に基づいた報告・届出を検討する

つまり、「電源断ありきではなく、被害抑止と証拠保全のバランスを取ろう」というのが、IPA が一貫して出しているメッセージだと感じています。このスタンスは、私自身が現場でお客様と話すときにもかなり参考にしています。

サイバー被害三則「触るな・落とすな・動かすな」

警察庁 OB などが提唱しているフレーズとして有名なのが、サイバー被害三則「触るな・落とすな・動かすな」です。これ、かなりキャッチーですが、中身はとても実務的です。

  • 触るな:勝手にファイルを開いたり、怪しいメールを再度開封したりしない
  • 落とすな:電源を落とさない、安易に再起動しない
  • 動かすな:端末を別の場所に運んだり、新しいネットワークにつないだりしない

この三則は、「証拠保全の観点から、余計なことをしないでください」というメッセージでもあります。現場の混乱時には、「とにかく何かしなきゃ」という心理が働きがちですが、その行動の多くが結果的に証拠を消してしまい、調査や捜査を難しくしてしまうんですよね。

私の感覚では、「触るな・落とすな・動かすな」を社内スローガンにしておくくらいでもちょうどいいと思っています。それくらい、素人判断での操作がリスクになる場面が多いのがサイバー攻撃の世界です。

公式手引きと現場のリアルをどうつなぐか

とはいえ、ガイドラインはあくまで「原則」であって、現場では例外的な判断が必要になることもあります。例えば、病院や製造ラインなど、システム停止=人命や生産に直結する現場では、「証拠保全よりもまず止血」という判断になることも現実としてあります。

こうした現場のリアルと、IPA や JPCERT/CC などが示す原則的な方針をどう橋渡しするかが、インシデント対応設計のポイントです。私がよくおすすめしているのは、次のようなステップで社内方針を決めていく方法です。

  1. IPA や JPCERT/CC のインシデント対応ガイドラインをベースラインとして読む
  2. 自社の業種・システム・業務への影響を考慮し、「例外的に復旧優先とするケース」を洗い出す
  3. それでも共通して守るべき「やってはいけないこと」を決める(ログ削除、勝手な初期化など)
  4. この方針を踏まえて、初動対応マニュアルやプレイブックを整備する

このプロセスを経ておくと、「IPA はこう言っているけれど、うちでは現実的にこう運用しよう」というストーリーが社内で共有されます。結果として、サイバー攻撃で電源を切るかどうかのような難しい判断も、個人ではなく組織の方針として説明しやすくなるんですよね。

インシデント対応の全体像をつかむには、JPCERT/CC が公開している「インシデントハンドリングマニュアル」もとても参考になります。(出典:JPCERT/CC「インシデントハンドリングマニュアル」 https://www.jpcert.or.jp/csirt_material/operation_phase.html

最終的には、IPA や JPCERT/CC の手引きを「教科書」として押さえつつ、自社のビジネスやシステム構成に合わせた運用ルールを作ることが大事です。その中で、「電源断をどのラインで許容するか」「ネットワーク遮断をどの順番でやるか」といった具体的な判断基準を、あらかじめ言語化しておくことが、インシデントに強い組織づくりの近道だと感じています。

サイバー攻撃時に電源を切る最適策

ここからは、実際の現場で「電源を切るかどうか」を判断するための具体的な考え方を整理していきます。サイバー攻撃は種類によって最適な対応がまったく違いますし、環境によって“切ってはいけない端末”や“切るべき端末”も変わります。だからこそ、あなたの組織に合った判断軸を持っておくことがとても大切なんですよね。ここでは、初動対応の流れやランサムウェア特有の注意点、証拠保全の実務、そして組織としての備え方まで、現場視点で深掘りしていきます。

サイバー攻撃初動対応の電源判断

サイバー攻撃が発生した瞬間、現場はどうしても混乱しがちです。「とにかく電源を切れば止まるはず」と思われることも多いのですが、結論から言えば電源断は“最後の手段”です。最初にやるべきことは、電源ではなくネットワーク隔離・現状の記録・関係者への連絡の3つです。

私がプレイブック(初動対応手順書)を作る際によく採用している判断フローは次のようなものです。

  1. 異常を検知したら、まずネットワーク遮断が可能か確認する
  2. 遮断できる場合は、電源は入れたままにして証拠保全を優先する
  3. 他の端末やサーバーに同様の異常が広がっていないか確認する
  4. フォレンジック調査やログ解析を行える人材の有無を把握する
  5. 暗号化や破壊行為が止められない場合のみ、電源断を検討する

電源断を最後に回す理由はとてもシンプルで、電源を切るとメモリ上の証拠がすべて消えてしまうからです。特にファイルレスマルウェアなどはディスクに痕跡を残さないため、電源断で証拠が失われると解析できなくなることがあります。

「電源断=最強の停止方法」ではなく、「証拠と引き換えに時間を稼ぐ手段」だと思っておくと判断のバランスが取りやすいですよ。

逆に、フォレンジックができる体制が整っていない企業では、証拠保全よりも“被害を止める”ことを優先して早めに電源断へ踏み切るケースもあります。ここは組織の成熟度や体制によって正解が変わる部分なので、平時に「どのラインで電源断を許容するか」を決めておくことがとても重要です。

ランサムウェア電源切る是非検討

ランサムウェアの場合、一般のサイバー攻撃以上に電源判断がシビアになります。理由は簡単で、暗号化が進んでいる時間=損害額が増える時間だからです。だからといって、発見後すぐに電源を切ればいいわけではありません。ここでは、状況別にどう判断するのが現実的かを整理します。

暗号化が進行中であるケース

ファイルが次々に書き換わっている、CPU 使用率が不自然に高い、ファイルサーバーのアクセスログが異常に増えている──こうした兆候があれば、暗号化が“今まさに進行している”可能性が高いです。この場合、ネットワーク隔離をしても止まらないことがあり、そのときは電源断がデータをこれ以上失わないための最終手段になります。

ただし、電源断後に再起動させると、再び暗号化が走るランサムウェアも存在します。そのため:

  • 再起動時は別メディアからブートする
  • ディスクイメージを取得してから復旧作業に入る
  • バックアップ復旧の前に感染範囲を確実に特定する

といった慎重な対応が欠かせません。

電源断=安全な状態ではありません。再起動時の動作まで含めて管理しないと、復旧の際に再感染するリスクがあります。

暗号化がほぼ完了しているケース

すでにランサムメモが出ており、ファイルのほとんどが暗号化されている場合は、電源を切っても被害状況は変わりません。むしろ、メモリ上の証拠が消えるため、電源は切らないほうが良いケースが多いです。

特に、侵入経路が特定できていないまま復旧作業に入るのは極めて危険です。バックドアを残したまま復旧し、再び暗号化されるというケースも珍しくありません。実際、中小企業のインシデントでは、この“再感染”が頻繁に起こっています。

ランサムウェアの動作仕様は日々変化しているため、正確な挙動は必ず公式情報や専門家の知見を確認してください。最終判断は専門家への相談が安心です。

フォレンジック初動で証拠保全強化

フォレンジック初動は、「電源を切らずに調査する」という判断を支える重要なプロセスです。現場でもっとも混乱しやすいのがこの領域ですが、実は平時に準備しておくだけで対応の質が劇的に変わります。

平時に整えておくべき証拠保全体制
  • メモリダンプ取得ツール(DumpIt、FTK Imager など)の準備
  • ログ保存期間の延長(最低 90 日以上推奨)
  • ログを一元的に保存するストレージや SIEM の整備
  • 外部フォレンジックベンダーの連絡先を即時利用可能にしておく
  • インシデント専用の保護ストレージを用意する

これらはすべて「特別な企業だけがやること」ではありません。むしろ、セキュリティ投資が限られる中小企業ほど、最小限の仕組みで高い効果を出す必要があり、証拠保全体制はそのための土台になります。

スクリーンショットを撮る、必要なファイルをコピーする、ログを退避する──こうした小さな行動が、後の調査精度を大きく左右します。

フォレンジックを前提にした運用が“電源断を避ける力”になる

多くの企業が「電源を切らざるを得ない」理由は、証拠保全を行う前提が整っていないからです。逆に言えば、フォレンジック初動がうまく回る組織では、電源断はほぼ最終手段としてしか登場しません。

また、ログが適切に残っていれば、攻撃者がいつ侵入したのか、どのアカウントが悪用されたのか、何を持ち出されたのかといった重要な情報も把握できます。これは法的対応や顧客説明の場面でも役に立ちます。

なお、公式情報としては総務省が公開している情報セキュリティ資料も参考になります。(出典:総務省「国民のための情報セキュリティサイト」 https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/

ネットワーク遮断活用のインシデント対応

ネットワーク遮断は、電源断よりも優先度が高い初動対応です。理由は、通信を切るだけで被害の広がりを食い止められるケースが非常に多いからです。特にランサムウェアは、ファイルサーバーや NAS に対して一気に暗号化を仕掛けてくるので、ネットワーク遮断の有無で“救えるデータ”の量が大きく変わります。

遮断レベルは段階的に選ぶべき

ネットワーク遮断は「全部止めるか止めないか」ではありません。段階的な選択肢があり、状況に合わせて使い分けるのが重要です。

  • 端末レベルでの遮断(LAN ケーブル、Wi-Fi、EDR 隔離)
  • セグメント単位での遮断(VLAN、ハブ、スイッチ)
  • インターネット接続の制御(FW、プロキシ)
  • リモートアクセス遮断(VPN、RDP ゲートウェイ)

特に、クラウドサービスを使う企業では、外部インターネットを完全に止めてしまうと業務停止が発生するため、特定 IP のみ許可するといった“制限付き遮断”が効果的です。

ネットワーク遮断は業務影響が大きいので、事前に復旧手順まで含めてシナリオ化しておくことが必須です。切ったはいいけれど戻せない、という状態は絶対に避けたいところです。

遮断と電源断の関係性

ネットワークを切るだけで被害が止まる場合、電源断は基本的に不要です。逆に、ネットワーク遮断をしても被害が続く場合は、電源断を検討する価値があります。

この「まず通信を止める」「それでも止まらないなら電源」という順番を守るだけでも、電源断に伴うリスク(証拠消失・復旧不能)を大幅に抑えることができます。

サイバー攻撃で電源を切る総括

ここまで整理してきた内容を、一度まとめておきますね。

サイバー攻撃で電源を切るべきかどうか──これは単純な二択ではありません。重要なのは「何を守りたいのか」「何が進行しているのか」を瞬時に判断し、最適なカードを選ぶことです。

  • ネットワーク遮断は最優先で検討すべき
  • 電源断は“証拠を失う代わりに被害拡大を止めるカード”
  • 暗号化が進行中なら電源断が有効な場面もある
  • 暗号化が完了しているなら電源断のメリットは小さい
  • フォレンジック体制がある企業ほど電源断に頼る必要がない

そして何より重要なのは、普段から攻撃を“入口で止める”仕組みを整えておくことです。メール添付やファイル受け渡しが原因で感染するケースはとても多く、ファイル無害化(CDR)はその入口対策として非常に効果的です。

Sasa Software の GateScanner は、未知のマルウェアやゼロデイ攻撃にも強い CDR ソリューションで、あらゆるファイルチャネルに適用できるのが大きな強みです。攻撃を入口で落としてしまえば、「電源を切るべきか」というシビアな判断を迫られる場面そのものが減るんですよね。

電源判断に迷わない環境づくりは、“攻撃を端末まで到達させないこと”から始まります。GateScanner のような無害化基盤は、その中心的な役割を担います。

最後に、この記事の内容や数値はあくまで一般的な目安であり、すべての環境にそのまま当てはまるとは限りません。正確な情報は必ず公式サイトをご確認いただき、最終的な判断は専門家に相談することをおすすめします。

あなたの組織の環境に最適な初動対応や、GateScanner を軸としたファイル無害化の構築を検討している場合は、ネルフ・エンタープライズまで気軽にご相談ください。一緒に、安全で強いセキュリティ体制を作っていければ嬉しいです。

関連
ブログ

関連記事

目次