お問い合わせ
ランサムウェアに感染するとネットワーク上で感染が拡大し、さらに対応が遅れると、データの消失や業務の停止など大きな被害を与える可能性があることから、ランサムウェア感染時は適切かつ迅速な初動対応が求められます。
ただ、ランサムウェアに感染した場合、自力で復号・復旧することは原則として不可能ですが、有志による復号ツールが公開されている場合、解除(復号)できるケースがあります。
ランサムウェアの復号は、結論、フォレンジック調査会社に依頼することがおすすめですが、本記事では復号ツールの探し方、復号ツールを使って復旧する方法、注意点を解説します。ぜひ参考にしてください。
\法人様は相談から最短30分でWeb打ち合わせを開催/
目次
ランサムウェア復号ツールの入手方法と公式サイトの紹介
ランサムウェアによる被害を受けた際、データを復元するための復号ツールが存在します。以下に、主要な復号ツールの入手方法と公式サイトを紹介します。
No More Ransomプロジェクト
No More Ransomプロジェクトは、複数のサイバーセキュリティ企業と法執行機関が協力して運営するポータルサイトです。無料で利用可能な復号ツールを集約し、ランサムウェア被害者を支援しています。
公式サイト: No More Ransom
Kaspersky「No Ransom」ポータル
Kasperskyの「No Ransom」ポータルでは、Kasperskyが開発した復号ツールを入手できます。特に、これまでに約200万件の暗号化されたファイルの復号に貢献しています。
公式サイト: No Ransom
\法人様は相談から最短30分でWeb打ち合わせを開催/
ランサムウェア復号ツールの使用方法
ランサムウェアに感染し、重要なファイルが暗号化されてしまった場合、復号ツールを使用することでデータを取り戻せる可能性があります。
しかし、適切な手順を踏まなければ、さらなるデータ損失や復号失敗のリスクが高まります。ランサムウェア復号ツールを使用する際には、以下の手順を正しく実行することが重要です。
ランサムウェアの種類を特定する
多くの復号ツールは特定のランサムウェアファミリーに対応しているため、感染したランサムウェアの種類を正確に特定することが重要です。
ランサムウェアの特定方法
- 暗号化されたファイルの拡張子を確認する(例:.locked, .crypt, .enc など)。
- ランサムウェアの身代金要求メッセージ(ランサムノート)を調査する。
- No More Ransomプロジェクトの「Crypto Sheriff」(ランサムウェアの特定)ツールを使用してランサムウェアの種類を特定する。
適切な復号ツールを選択する
ランサムウェアの種類を特定したら、それに対応する復号ツールを探します。以下のサイトから正規の復号ツールを入手できます。
復号ツール提供サイト
ツールをダウンロードし、実行する
選択したツールを公式サイトからダウンロードし、以下の手順で実行します。
ダウンロードと実行手順
- ダウンロード後、ウイルススキャンを実施し、不正なソフトウェアが含まれていないか確認する。
- ダウンロードした復号ツールをデスクトップなどの分かりやすい場所に保存する。
- ツールを管理者権限で実行する(Windowsでは右クリック→「管理者として実行」)。
暗号化されたファイルを選択する
復号ツールを起動すると、暗号化されたファイルを選択するよう求められます。
暗号化されたファイルの選択
- 「ファイルを選択」ボタンをクリックする。
- 暗号化されたファイルが保存されているフォルダを開く。
- すべての対象ファイルを選択し、ツールに登録する。
復号プロセスを開始する
復号プロセスを開始する前に、以下の点を確認してください。
復号開始前の確認事項
- ファイルのバックアップを作成しておく。
- ツールの指示に従い、必要な設定を行う。
- ツールが対応するランサムウェアであるかを再確認する。
すべての準備が整ったら、復号を開始します。
復号プロセスの手順
- 「復号開始」ボタンをクリックする。
- プロセスが完了するまで待つ(処理時間はランサムウェアの種類やファイルサイズによる)。
- 完了後、エラーメッセージが表示されていないか確認する。
復号後のデータを確認する
復号が完了したら、データが正常に復元されているか確認しましょう。
復号後の確認ポイント
- 復号されたファイルを開いて、内容が正常であるか確認する。
- 一部のファイルが復元されていない場合、ツールのログを確認し、原因を特定する。
- 復号後のファイルをバックアップし、安全な場所に保管する。
もし復号ツールが機能しなかった場合は、別のツールを試すか、フォレンジック調査の専門家に相談することを推奨します。
\法人様は相談から最短30分でWeb打ち合わせを開催/
ランサムウェア復元ツールを使用するリスク
ランサムウェア復元ツールは、暗号化されたファイルを復元するために開発されています。しかし、ランサムウェア復元ツールにはいくつかの重大なリスクが伴います。
特に、すべてのランサムウェアに対応できるわけではなく、誤った使用方法や偽ツールのダウンロードによって新たな感染リスクを招く可能性もあります。
また、復元プロセスそのものがデータの完全性を損なうこともあり、被害を拡大させる要因になりかねません。
復元ツールを使用するリスク
偽の復号ツールによる追加感染
インターネット上には、正規の復号ツールに見せかけた偽ツールが多数存在します。これらのツールを使用すると、以下のようなリスクが生じます。
復元ツールを使用するリスク
- 追加のマルウェア感染によるデータ破損
- キーロガーやスパイウェアによる個人情報の流出
- バックドアの設置による継続的な不正アクセス
特に、復号ツールを装ったマルウェアは、感染したデバイス上の他のデータも暗号化するケースがあり、被害がさらに拡大する可能性があります。公式のセキュリティベンダーや信頼できる機関(No More Ransomプロジェクトなど)以外のサイトからダウンロードすることは避けましょう。
データ損失のリスク
復号ツールが適切に機能しない場合、暗号化されたファイルが破損し、復元不可能になるケースがあります。特に、以下のような場合には注意が必要です。
データ損失のリスク
- 復号ツールが対応していない暗号方式で暗号化された場合
- 復号プロセス中に誤った操作を行った場合
- 暗号化キーが変更されている、または破損している場合
これを防ぐためには、復号ツールを使用する前に必ず暗号化されたデータのバックアップを作成しておくことが重要です。
プライバシー侵害の可能性
一部の復号ツールは、使用時にインターネットへ接続し、データを外部へ送信する仕様になっています。この場合、次のようなリスクが発生します。
プライバシー侵害の例
- 機密情報(個人データや企業の機密データ)が外部サーバーへ送信される
- 攻撃者が復号ツールを利用してさらに情報を収集する
- 被害者のデバイスが不正アクセスのターゲットになる
特に、無償提供されている復号ツールの中には、利用者のデータを広告目的やマーケティングのために収集するものもあります。
ツールを使用する前に、提供元の信頼性を確認し、利用規約やプライバシーポリシーを必ず確認するようにしましょう。
攻撃者への資金提供
一部の復号ツールは、ランサムウェアの開発者自身が提供しているケースがあります。これらのツールを使用すると、以下のような影響を与える可能性があります。
攻撃者へ資金が流れる例
- ツールの利用料金が攻撃者に流れる
- 攻撃者が新たなランサムウェアを開発する資金源になる
- ツールを使用したにもかかわらず、データが完全に復元されない
特に、ランサムウェア攻撃者は、「公式の復号ツール」を提供することで、被害者を騙して身代金を支払わせる手口を使うことがあります。そのため、身代金の支払いを含め、攻撃者の指示に従うことは避けるべきです。
完全復元できないケースがある
復号ツールは万能ではなく、すべてのランサムウェアに対応できるわけではありません。特に、以下のような場合には復元が困難になる可能性があります。
完全復元できないケース
- 最新のランサムウェアにツールが対応していない
- ファイルが部分的に暗号化されており、ツールが誤作動する
- ランサムウェアが独自の高度な暗号化技術を使用している
復号ツールを試す前に、現在どのようなランサムウェアが主流なのか、対応可能なツールはあるのかを調査することが重要です。
フォレンジック調査が困難になる
ランサムウェア攻撃の証拠を保全するためには、慎重な対応が求められます。しかし、復号ツールを安易に使用すると、次のような影響が出ることがあります。
フォレンジック調査が困難になる理由
- 復号ツールによって重要なログが改変される
- フォレンジック調査で証拠が特定できなくなる
- 攻撃者の侵入経路や手法が分からなくなる
特に、企業や組織がランサムウェアの被害を受けた場合は、復号ツールの使用よりも、まずフォレンジック調査の専門家に相談することを推奨します。誤った操作を行うことで、証拠が失われ、攻撃の詳細な分析が困難になる恐れがあります。
ランサムウェアに感染したらフォレンジック調査会社に相談
適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数39,451件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積39,451件以上(※1)のご相談実績があります。また、警察・捜査機関から累計395件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、14年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2017年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
