専門部署がなくても大丈夫。まずは最小構成で初報を出して、あとから差分を足す流れを覚えましょう。
共通で必須の基本情報
- 発生日・気づいた日時・現在の状況(復旧/継続/断続)
- 影響の範囲(売上・予約・対応遅延・メール不達 など)
- 初動対策(遮断・隔離・設定変更・CDN/WAF 切替)
- 対外窓口(お客様向け連絡先)と社内責任者
ランサム様式の追加項目(やさしい説明)
- ランサムノート: 画面に出る要求メッセージ。スクショを添付。
- 暗号化の拡張子: 例)
.locked、.encrypted。 - 類型: 暗号化の有無/流出ほのめかし(リーク)/身代金要求の有無。
- 侵入方法: メール添付/偽ログイン/VPNの弱点 など。
- IoC: 怪しいファイルのハッシュ、通信先IP、使われたツール名。
現場のコツ: 端末はネットワークだけ切断、電源は落とさない(証拠保持)。
DDoS様式のポイント(分類の書き方)
- Network DoS: ネットワーク全体を詰まらせる。
- Direct Flood: UDP/TCPの大量投下。
- Reflection/Amplification: DNSなどの反射・増幅。
- Endpoint/Service Exhaustion: OSやHTTP/アプリ層を枯渇させる。
- その他・不明: まだ判定できない場合の仮置き。
書き方の勘所: 通信量(Gbps・pps)、継続時間、攻撃の型、実施した緩和策、業務への影響を、箇条書きで簡潔に。
コピーして使える「初報ミニひな形」
以下をコピーして、太字部分を入れ替えるだけで初報として使えます(のちほど詳細を追記)。
【事案種別】DDoS / ランサム(該当を残す) 【発生・発見】10月○日 ○:○頃に異常を確認 【影響】ECサイトでアクセス遅延/一部停止を確認(現在は復旧/継続中) 【初動対策】CDN切替・WAF強化・該当端末の隔離を実施 【個人情報】関与の可能性あり/なし/調査中(件数レンジ:〜○件程度) 【連絡先】社内責任者:氏名・電話 / 対外窓口:メール・電話 【補足】追加調査を進め、確定情報は追って報告
ログ・証拠の扱い(失敗しないコツ)
- 「いつ・誰が・どこから取ったログか」をメモ(監査対応)。
- 初報は概数でOK。第二報・最終報で確定値を差し替え。
- 個人情報の件数は、まずはレンジ(例:100~300件)で。
よくあるNG
- 観測数値の出どころが書かれていない(どの機器の記録か明記)。
- 「影響なし」と断定してしまう(問い合わせ殺到や信頼低下も影響)。
- ランサム被害端末の電源を落として証拠を失う。
まとめ
- 初報は最小構成で素早く、後から差し替え。
- ランサムは「ノート・拡張子・侵入経路・IoC」、DDoSは「量・型・時間・緩和」。
- ひな形をコピーして、まず提出先に揃えて出す。
FAQ(よくある質問)
数字(Gbpsなど)が出せません
概数や「高負荷/断続的」などの表現で構いません。後ほど回線・CDNや機器ログの数値に置き換えます。
だれが「ランサムの類型」を決めますか?
経営(最終承認)と、実務の担当(IT/ベンダー/顧問)で合議。リークの有無は広報判断に直結します。
PPCと所管省庁のどちらに出すの?
対象なら両方。内容を揃えて並行提出します。
LINEで相談するから気軽にご相談ください。
 DDoS様式のポイント(分類の書き方){kind=link}