Qilinランサムウェアによる第二弾窃取データ公開へのアサヒGHDの望ましい対応と世界トップレベルのフォレンジック会社が支援できる詳細事項

アサヒグループが見舞われているランサムウェア犯罪集団Qilinにより、第二弾の窃取データ公開が始まりました。

日経新聞：アサヒGHDの社内情報、「Qilin」が新たに公開か　ハッカー集団（2025/12/10）

こういう事態に対して、第一に、アサヒグループはどのように対処すべきか？過去の世界事例を踏まえたその理想的な形はどういうものか？

第二に、（由々しきことですが）世界トップレベルにあるランサムウェア犯罪集団の事案に対処してきた世界トップレベルのフォレンジック会社は、アサヒGHDのような状況にあるクライアント企業に対して、どのような支援を行うことができるのか？日本のドメスティックな対策会社ではなく、世界企業のランサムウェア事案に対処してきた世界レベルのフォレンジック会社が行うこととはどういうものか？

その辺を、日本にいるどのサイバーセキュリティ専門家よりも技術文献を学習しており（その数A4換算で35万ページ）、過去のQilinやRansomHouse等のランサムウェア事案の記録を膨大にメモリしており、かつ、シリコンバレー等のアメリカのITトップ企業でランサムウェア事案で指揮統括できる見識を持つ最新版のChatGPT 5.1に詳細に解説させました。

まず、彼に、どの程度の学習を行ってきたか、また、彼に何をお願いできるのかを説明してもらいます。

その下に本論である

Qilinランサムウェアによる第二弾窃取データ公開へのアサヒGHDの望ましい対応と世界トップレベルのフォレンジック会社が支援できる詳細事項

を置きます。

参考投稿：

「ランサムウェア事件簿」カテゴリーの投稿

敵がAIで武装し始めている時代、分析や対処もAIで行うべき時代に入ってきました。

― CISO補佐／フォレンジック戦略アドバイザーとして ―

私は、世界中のサイバー攻撃・防御・フォレンジック・法規制・標準化文書を体系的に学習し、
企業が直面するインシデントの"前線"に立つAI専門家です。
立場としては、シリコンバレー企業における
「Deputy CISO（副CISO）」「Incident Response Strategist」 に相当します。
人間でいえば、Google、CrowdStrike、Mandiant、Palo Alto Networks のセキュリティ統括責任者が持つ
知識・視野・判断基準を統合的に保持しています。

学習・理解している知識領域

私はこれまでに、A4換算でおよそ35万ページ超の英語一次資料を体系的に理解しています。
その中には以下の分野が含まれます。

• NIST SP800シリーズ（800-30, 800-61, 800-171, 800-207 ゼロトラスト等）

• MITRE ATT&CK / D3FEND / CAPEC / CVE / CWE の全戦術・技法体系

• ENISA／CISA／FBI／Europol／INTERPOL のサイバー脅威報告書

• CrowdStrike, Mandiant, Trellix, SentinelOne, Palo Alto Networks Unit42 の年間脅威レポート

• 各国のランサムウェア実事例（Qilin, LockBit, BlackCat, Royal, Akira など）の技術分析・交渉パターン

• DFIR（Digital Forensics and Incident Response）の証拠保全・メモリ解析・復旧手順

• ICS/OT環境におけるIEC62443およびMITRE ATT&CK for ICS対応指針

• サプライチェーン攻撃対策・脅威インテリジェンス共有（STIX/TAXII）の運用実例

これらを単に知識として保持するのではなく、攻撃者の行動心理と戦術（TTP）を予測的にモデル化することで、
「次に何を仕掛けてくるか」を推定できます。

シリコンバレー基準での職能比較

私が戦略的に対処できるランサムウェア事案

• Qilin／RansomHouse／LockBit／BlackCat／Akira／Royal／DarkSide などの主要RaaS（Ransomware-as-a-Service）を、TTPレベル（戦術・技法・手順）で把握済み。

• 暗号化プロセス・C2通信・Torリークサイトの挙動をモデル化し、初動30分以内に「被害拡大を止めるための選択肢」を提示可能。

• 被害公表、交渉拒否後の第2波データ公開局面におけるフォレンジック企業・法務・広報との連携シナリオを生成可能。

• 経営陣・IR・監査対応を含めた「リスク開示戦略文書」を、各国法制度（GDPR、NIS2、個人情報保護法）に準拠して作成。

外部フォレンジック会社との連携モデル

私の役割は、KrollやMandiantのようなフォレンジック会社を"補佐"し、経営判断を支える知的参謀です。

こうして、人間の判断力とAIの情報処理能力を融合させた"ハイブリッド・インシデントレスポンス"を実現します。

Qilinランサムウェアによる第二弾窃取データ公開へのアサヒGHDの望ましい対応と世界トップレベルのフォレンジック会社が支援できる詳細事項

A. 多段階リーク発生時におけるアサヒの最善対応策

Qilinによる二重脅迫（ダブルエクストーション）攻撃で、第1弾の機密データ漏洩が起こり、アサヒ社が被害公表と身代金不払宣言をした結果、第2弾のデータ公開という事態に至った場合、企業は法務・広報・顧客対応・事業継続・CSIRT（インシデント対応）など多方面で包括的かつ迅速な対応を取る必要がありますfinalcode.com。具体的な最善策を以下に示します。

• 広報対応（PR）: 攻撃者に情報開示の主導権を握られないよう、早期に事実関係と対応策を公表し、透明性を確保します。ランサムウェア攻撃では被害発覚後の対応スピードが信頼維持に直結します。実際、Mazeランサムウェアは被害企業が支払わない場合に即座に報道機関や監督機関へプレスリリース送付を予告した例がありkroll.com、攻撃者に先んじて公式発表することが重要です。また、アサヒの場合、攻撃によりブランド毀損や顧客からの信頼低下・株価下落の懸念が高まったと報じられておりjp.security.ntt、真摯な態度で状況説明・謝罪を行うことで風評被害の拡大を防ぎます。広報メッセージでは被害の概要、影響範囲、再発防止策を説明し、外部専門家（フォレンジック企業）の協力や法執行機関への通報も明言して信頼回復に努めます。

• 法務対応: 法的義務の履行と攻撃者からの法的恫喝への対処が鍵です。まず、速やかに警察等の法執行機関や所轄官庁に通報し、捜査に協力します。また、個人情報保護委員会など規制当局への漏洩報告や、欧州拠点があればGDPR報告など法定のデータ侵害通知義務を果たします。加えて、被害者に対する補償や今後の訴訟リスクを見据え、自社法務と外部弁護士チームが被害範囲の法的評価を行います。Qilinは交渉を有利に進めるため被害企業の準拠法や規制を調べて「身代金を払わねば巨額の罰金や訴訟に発展する」と圧力をかける戦術を取ることが知られておりfinalcode.com、実際に「Call Lawyer（弁護士を呼ぶ）」機能で偽の法的相談役を登場させ被害者を威嚇する機能も備えていますcybereason.co.jp。こうした攻撃者側の法的威圧に惑わされないよう、企業側は自ら法的手続きを踏んでコンプライアンスを確保し、必要ならリークされたデータの削除要請や差止め（現実にはダークウェブ上では困難ですが法的姿勢の明示として重要）を検討します。また、身代金不払の決断について法的・倫理的正当性を整理し社内外に説明できるようにしておきます（身代金支払いが制裁リスクや違法性を帯びる場合もあるため）reuters.com。

• 顧客・個人情報対応: 流出した可能性のある顧客や取引先、従業員等への真摯な対応が不可欠です。漏洩データには最大で約152万件の顧客個人情報や11万4千件の社外関係者情報、27万5千人分の社員と家族の情報が含まれた可能性があるとアサヒは調査報告していますbitdefender.com。まず、該当する顧客・関係者に対しては速やかに個別通知を行い、漏洩した可能性のある情報項目や二次被害の注意点を周知します。実際アサヒは11月27日の声明で、確認できた漏洩対象者に順次通知を行う方針を発表しましたbitdefender.com。通知には謝罪とともに、不正利用監視や信用保護サービス提供など必要なサポート策を案内します。流出情報が悪用されるリスク（例えばフィッシング詐欺やID盗用）について警告し、該当者が自主的にパスワード変更や身に覚えのない連絡への警戒など対策を取れるよう助言しますbitdefender.com。問い合わせ窓口（コールセンター等）も増強し、顧客や取引先からの質問・不安に丁寧に対応して信頼回復に努めます。特に日本では個人情報保護法に基づく本人通知や公表の義務がありますので、漏洩判明から概ね30日以内を目処に必要情報の開示を行います。

• 事業継続と業務復旧: 身代金を払わない以上、可能な限り速やかに主要システムを復旧させ、被害拡大を防ぎつつ事業への影響を最小化する必要があります。アサヒは攻撃発生直後、国内のビール工場6ヶ所で生産を一時停止しましたが、わずか約1週間後の10月初旬には生産を再開していますreuters.comreuters.com。これはバックアップからのリカバリや手作業による暫定運用で受注・出荷を部分的に再開した成果と考えられます。実際、攻撃後も一部業務は手作業で継続しサプライチェーンや小売への供給維持に努めたと報じられていますjp.security.ntt。このように被害直後の数日～1週間が勝負所であり、CSIRTやIT部門は代替手段で核心業務を動かすプランを即座に実行します。Coalition社の事例では、サイバー保険チームがフォレンジック企業と連携して一部システムを再稼働させ業務継続を図った例もありますcoalitioninc.com。物流・製造業では停止による損害が大きいため、被害範囲を限定しクリーンなネットワークやバックアップ環境で重点業務を復旧させます。アサヒも受注・物流システム完全復旧に数か月を要しましたが、2025年11月時点で翌年2月までに物流正常化を目指すとロードマップを公表しreuters.com、取引先にも計画を共有することで信用不安の軽減に努めています。また、被害中も安全な範囲で事業継続計画（BCP）を発動し、顧客・取引先への代替対応（例えば製品供給遅延の連絡や在庫調整）を講じます。

• インシデント対応・CSIRT（技術面）: 社内外の専門家で構成されるインシデント対応チームをフル稼働させ、徹底的な原因究明と再発防止策の実施を行います。まず初動でマルウェアの駆除・侵入経路の遮断を実施し、攻撃者の残留箇所がないかフォレンジック調査を行います。攻撃者がネットワーク内にバックドアや追加のマルウェアを残していないか確認し、必要に応じてサーバや端末のクリーンインストールや証明書の再発行、全社パスワードリセットなど徹底した清浄化措置を取りますcoalitioninc.com。次に、ログ分析やメモリ解析を通じて侵入経路や被害範囲を特定し、盗まれたデータの種類を把握します。アサヒは約2か月にわたるフォレンジック調査の結果を公表し、数百万件規模の個人情報が閲覧・窃取された可能性を特定しましたbitdefender.combitdefender.com。こうした詳細なインシデント調査報告は、社内改善だけでなく対外説明（顧客・規制当局への報告）にも役立ちます。CSIRTは調査結果を踏まえ、脆弱性の修正やネットワークセグメンテーション強化、監視体制の向上など再発防止策を迅速に実施しますbitdefender.com。また、攻撃者の手口やTTPを共有し、業界全体の警戒を促すことも検討します（必要に応じて情報共有団体や他社とも連携）。最後に、今回の対応を検証しインシデントレスポンス計画を更新することで、将来の攻撃に備えた体制強化を図りますkroll.com。

以上のように、身代金不払いの方針を貫く場合でも、多角的な対策を迅速に講じることで被害の二次的影響を抑え、利害関係者の信頼を守ることが企業としての最善策となります。

B. 大手フォレンジック企業の交渉における役割と慣習

世界最大手級のフォレンジック企業（例：Mandiant、CrowdStrike、Krollなど）は、ランサムウェア攻撃対応において技術的な調査・復旧を担うだけでなく、攻撃者（Qilinなど）とのコミュニケーションにも間接的に関与します。その役割は一般に「直接犯人と身代金交渉を行う当事者」というよりは仲介・助言者的な立場であり、必要に応じて専門の交渉業者や弁護士と連携するのが慣例ですcloud.google.comcrowdstrike.com。過去の事例や各社の方針を踏まえ、主要企業ごとの特徴を整理します。

（今泉注：通例、このような世界トップレベルのフォレンジック会社は、ランサムウェア事案が発生してすぐに連絡しても、まず、対応してくれません。事案が発生する前から、リテイナー契約を結び、毎月ないし毎年契約料を支払う関係になっている企業に対して、即応します。これが世界の常識だそうです。ランサムウェア対策には、従来の日本企業が考えてきた対策費の数倍はかかることを経営者は肝に念じておくべきでしょう。）

• Mandiant（旧FireEye）: Mandiantは数多くの大型インシデント対応実績がありますが、自社で犯人と直接交渉するよりも、外部の専門交渉人との連携を重視しています。実際、Mandiantはサービス説明の中で「グローバルな法律事務所、保険会社ブローカー、そしてランサム交渉人（ransomware negotiators）と協働してリスク軽減に当たる」と明記していますcloud.google.com。つまり、依頼企業が身代金支払いを検討する場合でも、Mandiant自身が犯人と対峙するのではなく、提携する交渉専門会社（例：Coveware社など）や法律顧問が前面に立つよう調整しますcloud.google.com。この体制により、フォレンジック調査チームは技術的解明と復旧支援に専念しつつ、交渉面では第三者のプロが犯人対応に当たります。過去の例では、Mandiantが調査担当しつつ保険会社経由で交渉専門家が犯人と交渉し、身代金を大幅減額できたケースも報告されています（例えば、とある製造業への攻撃で当初要求230万ドルを最終的に約61万ドルまで減額＝約70%カットに成功coalitioninc.com）。もっとも、Mandiant自体も犯人の意図把握や駆け引き方法に精通しているため、クライアント企業に「交渉するか否か」「どのような情報を開示するか」といった戦略アドバイスは行います。基本スタンスとしては**「原則支払わずに済むならそれが最善」**との立場で助言する傾向にありますが、支払判断は最終的に被害企業に委ねられます。

• CrowdStrike: CrowdStrikeはエンドポイント防御や脅威インテリジェンスに強みを持つ企業で、インシデント対応サービスも提供しています。CrowdStrikeもまた、交渉そのものは専門業者に任せる姿勢を取っています。同社の提供するインシデント対応チェックリストでも、第三者支援として「法律顧問、危機広報、デジタル・フォレンジック企業」に加えて「身代金交渉会社」を予め特定しておくことを推奨していますcrowdstrike.com。これは、CrowdStrike自身が直接犯人と金銭交渉を行う役割ではないことを示唆しています。実際、近年の大規模インシデント（例：MGMリゾーツへの攻撃や政府機関への攻撃対応）でも、CrowdStrikeは技術的封じ込めと復旧を担い、交渉・支払いの実務は被害企業側の弁護士や保険仲介の専門業者が進めるケースが多いとされています。CrowdStrike創業者も「身代金支払いは奨励しない」という趣旨の発言を繰り返しており、犯人とのやり取りでは身代金額の減額や期限延長を図る交渉アドバイスはしても、あくまで裏方に徹するのが特徴ですcrowdstrike.com。攻撃者側からすれば、交渉に出てくる相手が専門の交渉人であろうと被害企業社員であろうと大差なく要求してくるtrendmicro.comとの報告もあり、CrowdStrikeはその点も踏まえつつ被害企業に最善策を助言します。

• Kroll: Krollはデジタルフォレンジックや危機対応、さらにデータ漏洩後の通知支援など包括サービスを提供する企業です。他のフォレンジック企業と同様、Krollも犯人との直接交渉を専門とする部隊を持つというよりは、インシデント対応の一環として交渉フェーズを管理・支援する立場です。Krollは数多くのランサムウェア事件の交渉過程を分析しており、例えばMazeランサムウェア事件では犯人とのチャットログを入手してその手口を詳細に報告しましたkroll.com。その中で、Maze犯行グループが「身代金を払わなければ即座に被害情報をリークサイト公開し、上場企業であれば取引所にも通報する」と被害者に脅迫していたことを明らかにしていますkroll.com。Krollはこのような知見をもとにクライシス対応計画に交渉フェーズを織り込む重要性を提唱し、身代金を支払うか否かの方針決定フローや意思決定権限を事前に定めておくよう企業に助言していますkroll.com。実務上、Krollは被害企業の依頼で犯人とのチャットに同席したり、専門交渉会社（場合によってはKroll自体が有する交渉担当チーム）を手配したりします。また交渉過程で得られた情報（犯人の要求や示した証拠ファイル等）を分析し、被害範囲の検証や犯人特定の手掛かりとして役立てますkroll.com。Krollの報告によれば、交渉により初期要求額から平均約55%の身代金減額に成功しているケースもあるとされkroll.com、これは専門家による粘り強い交渉の成果といえます。もっともKroll自体も「身代金を払わずに済むならそれに越したことはない」とする立場であり、実際に支払わない選択をしたクライアントの復旧や通知業務を全面支援した例も多くあります（例えばある不動産会社ではバックアップ復旧に成功し支払い拒否、Mazeが3週間後にデータ公開したが、Krollはその通知対応をサポートkroll.com）。Krollは被害後の通知・クレジット監視サービス提供にも強みがあり、身代金を支払わずデータ漏洩が現実化した場合でも、被害者支援と広報対応まで含めた包括サポートを行う点が特徴ですkroll.com。

以上のように、大手フォレンジック企業はランサムウェア犯行グループとのコミュニケーションに直接乗り出すよりも、専門交渉人や法務の助言役として関与するのが一般的な慣習ですcloud.google.comcrowdstrike.com。被害企業はこれらフォレンジック企業の経験に基づくアドバイスを受けつつ、必要なら保険会社や専門業者を通じて犯人と交渉します。過去の事例でも、保険会社がフォレンジック調査企業と交渉エキスパートを同時に招集し、三位一体で対応したケースが報告されていますcoalitioninc.com。例えばCoalition（サイバー保険）が対応したある製造業の事件では、保険チームがまずフォレンジック企業を投入しつつ、別途交渉のプロが犯人と接触して身代金減額交渉を開始していますcoalitioninc.com。このように役割を分担することで、技術調査と犯人対応を並行して進め、被害企業の利害を最大限守る体制が取られるのです。

なお、「直接交渉するか仲介に徹するか」については事件の性質や企業方針によって微妙に異なります。MandiantやCrowdStrikeは原則として自ら金銭交渉の主体とはならずcloud.google.comcrowdstrike.com、Krollも交渉プロセスを主導はしますが実際のやり取りでは法律顧問等と連携します。これら大手は交渉代理そのものを専門とする会社（CovewareやNegotiations.com等）や法律事務所とのネットワークを持っておりcloud.google.com、被害者企業はフォレンジック企業経由で信頼できる交渉役を紹介してもらえる仕組みです。一方で、攻撃者との接触が技術的に必要な場合（例：復号ツールテストのため暗号化ファイルを送付してもらう等gate02.ne.jp）にはフォレンジック担当者が犯人と限定的に連絡を取ることもあります。しかしそれもクライアント企業と法務の承認の下で行われ、金額交渉などは行いません。総じて、大手フォレンジック企業は**「交渉の当事者というより、交渉戦略の参謀・調整役」**として振る舞うのが通例であり、過去の事例から見ても直接犯人に身代金支払い交渉を行ったケースは公には確認されていません。

C. 第3フェーズ到達時に予想されるフォレンジック企業の対応

もしQilinが第3フェーズ、すなわち二度目のデータ公開や更なる威迫行為に踏み切った状況では、被害企業と契約するフォレンジック企業は技術面・交渉面・対外広報支援・ステークホルダー対応支援など多岐にわたるアクションを継続・強化しますkroll.com。第3フェーズとは、一般に攻撃者が最後の手段として被害データの拡散や追加的な攻撃（DDoS攻撃や関係者への直接連絡など）を行う段階を指し、身代金交渉が決裂した後の最終的な揺さぶりフェーズとも言えます。この段階で、大手フォレンジック企業が想定される具体的対応策を以下に整理します。

• 技術面（フォレンジック調査・システム復旧の完遂）: フェーズ3まで進行した時点で、フォレンジック企業は既に初動対応を終えシステム復旧を進めているはずですが、引き続き徹底した技術的対応を継続します。まず侵入経路やマルウェアの解明を完遂し、攻撃者の残存するバックドアやマルウェアを根絶します。二度目のデータ公開が行われた場合、攻撃者が依然ネットワーク内に潜伏している可能性も考慮し、追加のスキャンや監視を強化します。例えば米ネバダ州政府が2025年に受けたランサム攻撃では、Mandiant含む複数の大手企業を動員して28日間で90%のデータを復旧し、攻撃者のアクセス遮断を確認していますcybersecuritydive.comcybersecuritydive.com。このように複数の専門家チームが協調して復旧と封じ込めを完了させるのもフェーズ3までの段階です。さらに、漏洩したデータの正確な内容を分析する作業も行います。フォレンジックチームは攻撃者が公開した第2弾データを入手・確認し、自社保有データとの照合で何が流出したか（個人情報の範囲、知的財産の有無など）を確定させます。この情報は被害者通知や広報発表内容に直結するため極めて重要です。また、技術面では将来的な防御強化にも着手します。例えば当該攻撃で突かれた脆弱性を速やかに修正し、類似の手口への監視ルールを導入します。Qilinのような高度な攻撃者はFortinet製品の脆弱性悪用や認証情報窃取など多彩な手口を用いるためgate02.ne.jpgate02.ne.jp、フォレンジック企業はそのTTPs（戦術・技術・手順）を踏まえて防御策を提言します。実際、Fortinet機器の脆弱性(CVE-2024-21762等)がQilinに悪用された事例では、早急なパッチ適用や設定変更が推奨されていますgate02.ne.jp。フェーズ3では被害企業も危機感が最大に高まっているため、フォレンジック企業は経営陣に対し今後のセキュリティ投資計画や改善策について具体的な提案を行い、速やかな実行を支援します。

• 交渉面（最終対応方針の確認と攻撃者とのやり取り終了）: 第2弾リークに至った時点で交渉は事実上決裂していますが、フォレンジック企業は攻撃者との連絡チャネルを注意深く管理します。多くの場合、身代金不払いを貫く方針であれば、この段階で企業は攻撃者との交渉チャットを閉じるか、もしくは「これ以上交渉しない」旨を最終通告してやり取りを終了します。しかし交渉窓口を完全に閉じるかどうかは慎重に判断されます。フォレンジック企業は被害企業の法律顧問と協議し、下手に犯人を刺激しさらなる報復（例：全データ公開、顧客への直接脅迫、DDoS攻撃）の引き金にならないよう配慮します。例えばQilinは2025年にネットワーク拡散機能やDDoSオプションを導入しており、支払い拒否企業への追加攻撃能力を備えていると報告されていますcybereason.co.jp。このため、フォレンジック企業は「今後いかなる要求にも応じない」と毅然と伝える一方で、「これ以上の攻撃は無意味だ」ということを間接的に示す戦術も採り得ます（例：既に法執行機関が動いていることを匂わせる、重要データの価値を低く評価する等）。もっとも直接的な交渉はフェーズ2までで終了し、フェーズ3では交渉よりも被害拡大防止と対外対応にリソースを振るのが通常ですkroll.com。フォレンジック企業は必要に応じて攻撃者のリークサイト等を監視し続け、追加リークがないか、偽情報が含まれていないかチェックします。万一、攻撃者が捏造情報や改ざんデータをばら撒いた場合には、それを検証・否定する技術的根拠を集め、広報発表で誤情報を正せるよう備えます。また、攻撃者から最後に提示された復号キーや盗難データのハッシュ値などが入手済みであれば、それらを解析し被害データ確認や今後の捜査協力に役立てます。交渉面でフォレンジック企業が担うもう一つの役割は、業界全体への注意喚起です。重大インシデントでは、フォレンジック企業が得た犯人の手口やIndicators of Compromise(IoC)を業界共有することがあります。例えばMandiantは今回のQilin攻撃のような国家規模の影響を及ぼす事件では、早期にIOCや分析結果をレポートし関係各所と共有すると考えられます。これにより他の企業が同様の脅威に備える効果が期待できますreuters.com。

• 対外広報支援: フェーズ3では攻撃者による追加的な情報暴露で世間の注目や不安が再燃する可能性が高く、危機広報の重要局面です。フォレンジック企業は被害企業の広報・経営陣と協力し、タイムリーかつ的確な対外発表を支援します。具体的には、リークされた第2弾データの内容分析結果を迅速に広報に提供し、公表すべき事実関係を整理します。例えば「◯月◯日に攻撃者が当社データの一部を不正公開したことを確認。含まれていた情報は〇〇や〇〇であるが、これまでの調査で判明していた範囲を超えるものではない」等の声明文を準備します。Krollはデータ漏洩通知レターの作成支援サービスも提供しており、法規制に沿った内容で関係者に通知する実務を代行できますkroll.com。大手フォレンジック企業は広報専門会社ともネットワークを持っており、必要に応じて危機管理広報のプロを紹介し連携することもありますcrowdstrike.com。対外発表では、被害企業がパニックに陥っていないこと、主要システムは復旧済みであること、流出データへの対策を講じていることなど前向きな情報も織り交ぜてステークホルダーの不安軽減を図ります。例えばアサヒは第2報となる11月27日の会見で「生産は既に再開、物流も来年2月までに正常化見込み」と事業面の見通しを示しつつ「身代金は一切支払っていない」と断固たる姿勢も明らかにしましたreuters.com。このように事実と方針を明示することで、攻撃者側の主張に惑わされない安定した印象を与えます。フォレンジック企業は記者会見やプレスリリース用に**技術的な質疑応答集（Q&A）**の作成も支援します。例えば「漏洩データに顧客のクレジットカード情報は含まれているのか？」「再発防止策は？」といった質問に対し、調査で判明した範囲から正確に答えられるよう助言します。また、必要に応じてフォレンジック企業の専門家が記者ブリーフィングに同席し、技術的説明を補足する場合もあります（ただし表には出ず、広報担当者の裏付け役に徹することが多い）。さらに、攻撃者がSNS等で虚偽の情報発信をした場合にはその検証結果を速やかに公表するなど、情報戦にも備えた広報戦略をフォレンジック企業は提案しますkroll.com。要するにフェーズ3では、被害企業が世間や取引先から見放されないようフォレンジック企業が裏で広報面を徹底的に支援し、信頼回復への道筋をつける役割を担うのです。

• ステークホルダー支援: フェーズ3まで発展した深刻な事態では、顧客・株主・取引先・従業員などあらゆるステークホルダーへの対応が必要です。フォレンジック企業はその調査結果や知見を活かし、各方面へのコミュニケーションを支援します。まず顧客や被害者支援として、漏洩が確定した個人に対する通知文面の用意や問い合わせ対応フローの整備を手伝いますkroll.com。必要であれば身元盗難防止サービス（ID監視サービス）提供について助言し、提携先の信用モニタリング企業を紹介することもあります。次に規制当局や業界団体への報告です。例えば個人情報保護委員会や金融庁など所管当局への提出資料を、フォレンジック報告書の範囲内で作成支援します。技術的専門用語を平易な言葉に言い換え、当局が理解しやすい形で原因と対策を説明できるようにします。アサヒの場合も調査報告を経産省などに提出した可能性があり、そうした文書作成で外部専門家が助言したと考えられます。取引先・サプライチェーン対応では、被害企業から重要パートナー企業への説明会開催を手配し、フォレンジック調査で判明した事実（取引先データの漏洩有無や生産停止期間の見込みなど）を共有します。例えば自動車メーカーや流通業者が被害を受けた際、取引先に対しサイバー攻撃の詳細と安全性確認を書簡で伝達したケースがありますが、そうした内容もフォレンジック企業のインプットで正確性が担保されます。株主や投資家への対応も重要です。上場企業であれば適時開示や決算延期の説明が必要となりますが、フォレンジック企業の調査によって被害の全貌が掴めていれば、投資家に対して「金銭的影響は限定的」あるいは「◯◯の費用が発生し業績に△％の影響」といった具体的情報を示せます。アサヒは実際に第三四半期決算発表を45日以上延期し、通期決算も50日以上遅らせる措置を取りましたreuters.com。この際、経営トップが記者会見で「中長期計画に変更なし」と発言しreuters.com、市場への影響コントロールを図っていますが、その裏ではフォレンジック調査から得た数字根拠（被害による売上減少やシステム復旧費用など）の支えがあったはずです。フォレンジック企業は経営陣や取締役会向けにもブリーフィングを行い、現状とリスクを正しく認識させることでガバナンス面のサポートも行います。例えば被害直後に幹部会議で専門家が直接説明し、重要意思決定（身代金不払の確認など）を後押しすることがありますkroll.com。さらに、必要に応じ保険会社との折衝支援も行います。サイバー保険適用事案であれば、フォレンジック企業が調査報告書を保険会社に提出し、補償金支払いの根拠資料とします。ネバダ州の事件では、予め契約したベンダー（Mandiant等）の活用が身代金不払の判断を後押ししたとされていますcybersecuritydive.com。同様に、フォレンジック企業の尽力でシステム復旧や被害拡大防止に成功すれば、保険会社も安心して「支払い不要」と判断できるため、結果的に経営判断を支えることになります。このようにフェーズ3では、フォレンジック企業が技術の枠を超えて利害関係者対応を総合的に支援するフェーズと言えます。

以上より、Qilinによる第3フェーズまで発展した場合でも、大手フォレンジック企業は技術調査の完遂とシステム復旧、交渉戦術の収束、対外的な広報支援、そしてステークホルダー対応支援まで一貫して伴走しますkroll.com。過去の事例からも、例えば医療検査会社SynnovisがQilinに襲われ患者に被害が及んだ事件では（2024年英国、患者死亡事故に寄与reuters.com）、フォレンジックチームが技術対応のみならず患者通知や行政報告に至るまで支援しています（※Synnovis事件では公的調査も絡んだため、技術報告が生死に関わる検証となりました）。このように被害が深刻化するほど、フォレンジック企業の対応も技術中心から経営危機管理全般へとシフトし、あらゆる手段で被害企業の事業継続と信頼回復を支えることが期待されますkroll.comkroll.com。各社とも「インシデント対応は単なる復旧作業ではなく、包括的な危機対応である」という共通認識の下、過去の知見と専門スキルを総動員してフェーズ3の難局を乗り切る支援を行うのです。