2026.03.03

警視庁・警察庁のランサムウェア対策｜被害時の復旧と復号ツール

catfish_admin

ランサムウェア攻撃は、企業の事業継続を脅かす深刻な経営リスクであり、その対策には公的機関の信頼できる情報が不可欠です。万が一被害に遭った場合、初動対応の遅れは被害を拡大させ、事業停止や情報漏洩といった致命的な事態を招きかねません。企業としては、予防策はもちろん、感染後の適切な対応フローや、警察庁が提供する復号ツールなどの公的支援についても正確に理解しておく必要があります。この記事では、警察庁の公式情報を基に、ランサムウェアの脅威から企業を守るための事前対策、感染後の初動対応、そして復号ツールの利用方法までを網羅的に解説します。

警察庁が示すランサムウェアの脅威
感染を未然に防ぐための事前対策
ランサムウェア感染後の初動対応
警察庁が提供する復号ツールの利用
警察への通報・相談窓口
よくある質問
まとめ：警察庁の公式情報に基づくランサムウェア対策と復旧の要点

警察庁が示すランサムウェアの脅威

ランサムウェア攻撃の基本手口

ランサムウェア攻撃は、企業のシステムやデータを暗号化して事業活動を停止させ、その復旧と引き換えに金銭を要求する悪質なサイバー犯罪です。データやシステムは事業継続の生命線であり、それらが使用不能になることは、致命的な業務停止に直結します。

攻撃のプロセスは複数の段階で構成されており、計画的に実行されます。

ランサムウェア攻撃の典型的な流れ

初期侵入: ネットワーク機器の脆弱性を悪用したり、フィッシングメールを送ったりして社内ネットワークへの足がかりを築きます。
内部活動: 遠隔操作ツールを用いて権限を昇格させ、ドメイン内のシステム権限を掌握し、機密情報を探索します。
情報窃取: 窃取対象の情報を一箇所に集約し、攻撃者が管理する外部サーバーへ転送します。
暗号化実行: 準備が完了すると、ランサムウェアを実行して広範囲のサーバーや端末のデータを一斉に暗号化します。
身代金要求: 暗号化したデータの復旧や、盗んだ情報の非公開を条件に、高額な身代金の支払いを要求します。

このように、ランサムウェア攻撃は企業の存続そのものを揺るがす重大な経営リスクとして認識する必要があります。

近年増加する二重恐喝の手法

近年のランサムウェア攻撃では、データを暗号化するだけでなく、事前に窃取した機密情報を公開すると脅迫して身代金を要求する「二重恐喝（Double Extortion）」が主流です。これは、バックアップからデータを復旧する企業が増えたため、攻撃者がより確実に金銭を得るための新たな脅迫材料として用いるようになりました。

攻撃者はシステムを暗号化する前に、顧客の個人情報や企業の財務データといった機密情報を自らのサーバーへ転送します。企業が身代金の支払いを拒否すると、ダークウェブ上のリークサイトで盗んだ情報を公開すると脅します。

二重恐喝における攻撃者の脅迫内容

データの暗号化: 身代金を支払わなければ、暗号化したデータを復旧するための「復号鍵」を渡さない。
情報の公開: 身代金を支払わなければ、窃取した機密情報をダークウェブ上ですべて公開する。

さらに、被害企業の取引先や顧客へ直接連絡を取り、情報漏洩の事実を告げて信用失墜を狙う「多重恐喝」に発展するケースも確認されています。これにより、企業はバックアップがあっても情報漏洩による信用の失墜や損害賠償請求といったリスクに直面することになります。

企業が標的となる主な侵入経路

ランサムウェアが企業ネットワークに侵入する経路は多様化していますが、特に警察庁が警告している主要な経路が存在します。働き方の多様化に伴い、外部から社内システムに接続する機会が増えたことで、これらの経路が攻撃の糸口となっています。

主な侵入経路

VPN機器の脆弱性: 修正プログラムが適用されていない古いVPN機器の脆弱性を悪用し、正規の利用者になりすまして社内ネットワークへ侵入する。
リモートデスクトップ(RDP)の不適切な管理: 推測されやすいパスワードを設定していたり、不要なポートを開放していたりする管理不備を突き、総当たり攻撃などで認証を突破して侵入する。
フィッシングメール: 業務に関係があるように見せかけたメールの添付ファイルを開かせたり、本文中のリンクをクリックさせたりしてマルウェアに感染させる。

企業は自社のネットワーク境界に存在する機器の設定や管理状況を厳格に把握し、攻撃者に侵入の隙を与えない強固な防御体制を構築しなければなりません。

感染を未然に防ぐための事前対策

VPN機器の脆弱性対策と設定見直し

VPN機器を通じた侵入を防ぐには、脆弱性を解消する最新の修正プログラムの適用と、設定の継続的な見直しが不可欠です。これらの機器はインターネットに直接接続されているため、脆弱性が放置されていると常に攻撃の標的となります。

企業のシステム管理者は、以下の対策を徹底する必要があります。

VPN機器の具体的な対策

修正プログラムの迅速な適用: 機器の製造元が提供するセキュリティ情報を日常的に収集し、脆弱性情報が公開された際は速やかにプログラムを適用する体制を整える。
定期的な資産棚卸し: 過去に設置されたまま管理から漏れている古い機器が存在しないか、社内のIT資産を定期的に確認する。
設定の厳格化: 不要な通信ポートを遮断し、接続を許可するIPアドレスを限定するなど、攻撃対象領域を最小限に抑える。

リモートデスクトップの保護

外部から社内端末を遠隔操作するリモートデスクトップ機能は、攻撃者に認証を突破されると直接的な侵入を許すため、アクセス制限の強化と認証の厳格化が求められます。

リモートデスクトップの保護策

ポート番号の変更: 標準で使用されるポート番号（3389）を変更し、自動化された攻撃ツールからのスキャンを回避する。
アクセス元の制限: 信頼できる特定のIPアドレスからのみ接続を許可したり、VPNを経由しなければ利用できないように設定したりする。
アカウントロックアウト機能の有効化: 一定回数連続して認証に失敗した場合、そのアカウントを一時的にロックし、総当たり攻撃を無力化する。
多要素認証の導入: パスワード認証に加えて、別の認証要素を組み合わせることでセキュリティを大幅に強化する。

利便性と引き換えに生じるセキュリティ上の死角を適切に管理し、不正な遠隔操作を徹底的に排除することが重要です。

認証情報の適切な管理と定期変更

システムへのアクセスを制御するIDやパスワードといった認証情報は、攻撃者に悪用される最大の要因の一つです。そのため、推測が困難な文字列を設定し、厳格に管理することが情報セキュリティの根幹となります。

認証情報管理のポイント

複雑なパスワードの設定: 英大文字、小文字、数字、記号を組み合わせた十分な長さの文字列（例: 10文字以上）を使用する。
パスワードの使い回し禁止: システムやサービスごとに異なるパスワードを設定し、一つの漏洩が他に波及するのを防ぐ。
定期的な監査の実施: 初期設定のままのパスワードや、退職者のアカウントが放置されていないか定期的に監査し、不要な権限は速やかに削除する。
漏洩時の迅速な対応: 認証情報の漏洩が疑われる場合は、直ちにパスワードを変更し、不審なアクセスがないかシステムの接続記録を確認する。

多要素認証（MFA）の導入

パスワードのみに依存する認証の限界を克服するため、複数の要素を組み合わせて本人確認を行う多要素認証（MFA）の導入が極めて有効です。攻撃者がパスワードを入手しても、別の認証要素がなければログインできないため、不正アクセスを効果的に防ぎます。

認証に用いられる要素には、主に以下の3種類があります。

多要素認証の3要素

知識情報: パスワードやPINコードなど、本人のみが「知っている」情報。
所持情報: スマートフォンアプリへの通知やSMSで送られるワンタイムパスワードなど、本人のみが「持っている物」。
生体情報: 指紋、顔、静脈など、本人の身体的特徴である「その人自身」の情報。

特に、社外から社内ネットワークへの接続時や、重要な情報を管理するサーバーへのアクセス時には、多要素認証を必須とすることで不正アクセスのリスクを劇的に低下させることができます。

データのバックアップ取得と保管方法

ランサムウェアによるデータ暗号化の被害に備え、定期的なバックアップと安全な環境での保管体制を構築することが事業継続の要となります。健全なバックアップが存在すれば、身代金を支払うことなく業務を復旧させることが可能です。

バックアップの取得と保管にあたっては、「3-2-1ルール」と呼ばれる原則に従うことが推奨されます。

バックアップの3-2-1ルール

3つのコピー: 元データに加えて、少なくとも2つのバックアップを作成する。
2種類の媒体: ハードディスクとクラウドストレージなど、2種類以上の異なる媒体にデータを保存する。
1つはオフサイト: バックアップのうち少なくとも1つは、ネットワークから物理的に隔離された遠隔地（オフライン環境）に保管する。

さらに、有事の際にデータが確実に復元できるかを確認するため、定期的に復旧テストを実施し、手順をマニュアル化しておくことが迅速な事業再開に繋がります。

ランサムウェア感染後の初動対応

感染端末のネットワークからの隔離

ランサムウェアの感染が疑われる場合、最も優先すべきは、感染端末をネットワークから即座に切り離し、被害の拡大を食い止めることです。ランサムウェアはネットワークを通じて他の端末やサーバーへ瞬く間に感染を広げる性質があるため、この初動対応が被害の規模を左右します。

感染発覚時の隔離手順

ネットワークから即時切断: 有線接続の場合はLANケーブルを引き抜き、無線接続の場合はWi-Fiをオフにするか機内モードに切り替える。
電源は落とさない: 端末の電源を強制的に切ると、メモリ上に残っているマルウェアの実行痕跡など、後の調査に不可欠な証拠が失われる恐れがあるため、シャットダウンは避ける。

被害の拡大を最小限に抑え、その後の原因究明や復旧作業を円滑に進めるため、迷わずネットワークからの隔離を実行することが極めて重要です。

被害範囲の特定と証拠保全

端末の隔離が完了したら、被害の全体像を正確に把握し、将来の調査や法的手続きに備えて証拠を保全します。被害範囲が不明確では適切な復旧計画を立てられず、証拠が失われれば原因究明や再発防止策の策定が困難になります。

隔離後の対応

ログの収集・分析: システムの接続記録（ログ）を収集・分析し、不正な通信の履歴や不審なプログラムの実行形跡から、最初の感染源や被害が及んだ範囲を特定する。
証拠データの保全: システム環境に変更を加えないよう注意しながら、専門的な知識を持つ担当者または外部機関の支援のもとで、データの完全な複製（フォレンジックイメージ）を作成する。

客観的な事実に基づいた被害範囲の特定と厳密な証拠保全は、的確なインシデント対応の基盤となります。

関係各所への報告と連携体制

ランサムウェア感染という重大インシデントが発生した際は、社内外の関係各所へ速やかに事実を報告し、緊密な連携体制を構築することが求められます。情報の隠蔽や対応の遅れは、企業の社会的信用を失墜させ、法的リスクを増大させる原因となります。

主な報告・連絡先

社内: 経営層や情報セキュリティ部門へ即座に報告し、全社的な危機管理体制を立ち上げる。
監督官庁: 個人情報の漏洩が疑われる場合、個人情報保護委員会への報告義務を果たす。
警察: 各都道府県警察のサイバー犯罪相談窓口へ通報し、捜査協力や技術的支援を要請する。
取引先・顧客: 二次被害を防ぐため、必要に応じて注意喚起と事実関係の説明を誠実に行う。

透明性のある情報開示と迅速な連携は、企業の誠実な対応姿勢を示し、被害の波及を防ぐための重要な危機管理行動です。

捜査協力を見据えた証拠保全の具体的なポイント

警察の捜査に協力し、犯人特定に繋げるためには、デジタル証拠が改ざんされていないことを証明する「同一性の確保」が極めて重要です。捜査や裁判で証拠として認められるには、データが事案発生時の状態を完全に保っていることが必須条件となります。

具体的には、感染した端末やサーバーの記憶装置全体を専用の機器で物理的に複製します。その際、元のデータと複製データから「ハッシュ値」と呼ばれる固有の値をそれぞれ算出し、両者が完全に一致することを記録に残します。この作業には専門知識が不可欠なため、自社での不適切な操作による証拠の破壊を避け、デジタルフォレンジックの専門家の支援のもとで適正な手続きを踏むことが、捜査機関との円滑な連携の鍵となります。

警察庁が提供する復号ツールの利用

復号ツールの概要と対象ランサムウェア

警察庁は、特定のランサムウェアによって暗号化されたデータを復旧するための「復号ツール」を開発し、公式サイトで無償提供しています。これは、身代金を支払うことなく、暗号化されたファイルを元の状態に戻す手段を提供することで、サイバー犯罪による被害を軽減することを目的としています。

現在、この復号ツールは「フォボス（Phobos）」およびその亜種や、データの窃取と暗号化を行う「エイトベース（8Base）」というランサムウェアグループによる被害ファイルに対して効果を発揮する可能性があります。これらのランサムウェアに感染した場合、復号ツールの活用を検討することが推奨されます。

対象の具体例（Phobos/8Base等）

警察庁の復号ツールは、フォボスおよびエイトベースが用いる固有の暗号化の仕組みを解析して開発されたものです。これらのランサムウェアによって暗号化されたファイルには、ファイル名に特徴的なパターンが現れます。

Phobos/8Baseによる暗号化ファイルの特徴

ファイル名の変更: 元のファイル名の末尾に、ランダムな英数字のID、攻撃者の連絡先メールアドレス、そして「.phobos」や「.8base」といった固有の拡張子などが規則的に追加される。
命名規則の一致: 拡張子が異なる亜種であっても、この特徴的な命名規則に一致していれば、同一グループの犯行と推測され、ツールによる復号の対象となり得る。

自社の暗号化されたファイルの名称を詳細に観察し、これらの特徴と一致するかどうかを確認することで、復旧の可能性を判断できます。

復号ツールの入手先と利用手順

警察庁が開発した復号ツールは、警察庁の公式ウェブサイトから安全にダウンロードできます。二次感染などのリスクを避けるため、必ず公式サイトから入手し、正しい手順で利用してください。

復号ツールの利用手順

ダウンロード: 警察庁ウェブサイトのサイバー警察局のページにアクセスし、ランサムウェア対策の項目から該当するツールをダウンロードする。
起動と同意: ツールを起動し、画面に表示される利用規約をよく読み、同意する。
対象ファイルの指定: 復号したい暗号化済みファイル、またはそれらが格納されているフォルダを指定する。
出力先の指定: 復号が成功した後のファイルを保存する出力先フォルダを指定する。
復号実行と結果確認: 復号処理を開始し、処理が完了すると表示される成功・失敗ファイル数などの結果を確認する。

利用する上での注意点と限界

警察庁の復号ツールは非常に有用ですが、すべての暗号化ファイルを確実に復旧できる万能の解決策ではありません。利用にあたっては、いくつかの限界と注意点を理解しておく必要があります。

復号ツール利用上の注意点

復号の不確実性: 暗号化の過程でファイル自体が破損していた場合など、技術的な要因によって復号が不可能なケースがある。
データの完全性の不保証: 復号処理が成功と表示されても、ファイルが元の状態で完全に開けるとは限らない。
ウイルス対策ソフトとの競合: 導入しているウイルス対策ソフトがツールを不正なプログラムと誤検知し、実行を妨げることがある。その場合は一時的な設定変更が必要になる場合がある。

復号ツールはあくまで被害回復のための一つの選択肢と捉え、平時からの確実なバックアップ体制の構築を怠らないことが最も重要です。

警察への通報・相談窓口

都道府県警察のサイバー犯罪相談窓口

ランサムウェアの被害に遭った場合、またはその疑いがある場合は、各都道府県警察が設置しているサイバー犯罪相談窓口へ速やかに連絡することが重要です。警察は最新のサイバー犯罪に関する情報や知見を集約しており、事態の収拾に向けた支援を提供できる体制を整えています。

相談は、警察庁ウェブサイトの全国共通オンライン受付窓口から行うか、各都道府県警察本部の代表電話からサイバー対策担当部署に繋いでもらうことで可能です。

警察に相談するメリット

専門的な助言: 被害拡大防止策や証拠保全の方法について、専門的な指導を受けられる。
捜査による犯人検挙: 被害届を提出することで、犯人の特定と検挙に向けた正式な捜査が開始される。
社会的信用の維持: ステークホルダーに対し、「警察と連携して真摯に対応している」という姿勢を示すことができる。

警察は企業を罰する存在ではなく、サイバー犯罪という脅威に共に立ち向かうパートナーです。躊躇することなく相談窓口を活用しましょう。

相談時に準備すべき情報

警察へ相談する際は、事態の全体像を正確かつ迅速に伝えるため、事前に情報を整理しておくことが求められます。具体的で客観的な情報は、警察が事案の深刻度を判断し、的確な初動対応を行う上で不可欠です。

相談時に準備する情報リスト

発生日時: 異常を最初に検知した正確な日時や、不審な現象の時系列。
脅迫文の内容: 画面に表示されたメッセージ、身代金の要求額、支払先の連絡先など。
被害範囲: 暗号化されたサーバーやPCの台数、影響を受けた業務システム、漏洩した可能性のあるデータの種類と量。
攻撃の痕跡: サーバーのアクセスログ、不審な通信記録など、攻撃者の侵入経路特定に繋がりうる情報。
自社の初期対応: 感染端末の隔離など、既に実施した対応策の具体的な内容。

これらの情報を整理したメモを作成しておくと、相談がスムーズに進みます。

相談後の捜査の流れと企業に求められる協力

警察への相談後は、サイバー犯罪専門の捜査官による分析と捜査が開始されます。サイバー犯罪の立証には、被害企業内に残された電子的な痕跡が不可欠であり、企業には捜査への全面的な協力が求められます。

具体的には、システム記録（ログ）の任意提出や、ネットワーク構成に関する担当者へのヒアリングなどが行われます。業務への影響を懸念して情報提供をためらうのではなく、可能な範囲で最大限の協力をすることが、結果的に迅速な事件解決や再発防止に繋がります。企業と警察が緊密に連携し、一体となって調査を進めることが重要です。

よくある質問

警察に相談するとどのような支援が受けられますか？

警察のサイバー犯罪相談窓口に相談することで、捜査だけでなく、被害企業の救済と支援を目的とした様々なサポートを受けることができます。

警察から受けられる主な支援

被害拡大防止策の助言: 他のシステムへの感染を防ぐための具体的な対応策に関するアドバイス。
証拠保全の方法に関する指導: 後の捜査で重要となるデジタル証拠を適切に保全するための技術的な指導。
攻撃グループに関する情報提供: 過去の事例から類似した攻撃グループを特定し、その手口や特徴に関する情報を提供。
被害回復手段の案内: 警察庁が開発・提供している復号ツールの利用案内など、データ復旧に向けた支援。

相談や通報に費用はかかりますか？

一切かかりません。 都道府県警察のサイバー犯罪相談窓口への相談や、被害届の提出など、警察による一連の対応に費用を支払う必要は一切ありません。これらの活動は、公共の安全を守るための行政サービスとして税金で賄われています。

ただし、自社の判断で民間のセキュリティ調査会社にデジタルフォレンジック調査や復旧作業を依頼した場合、その費用は自己負担となります。

復号ツールで復旧できない場合はどうしますか？

警察庁などが提供する復号ツールでデータの復旧が不可能な場合は、他の手段を検討する必要があります。最も優先すべきは、事前に取得していたバックアップデータからの復旧です。

復旧できない場合の代替手段

バックアップからの復旧: 安全なオフライン環境に保管していたバックアップデータを用いて、システムやデータを感染前の状態に再構築する。
データ復旧専門業者への依頼: 有効なバックアップが存在しない場合の最終手段です。ただし、復旧が必ずしも保証されるわけではなく、高額な費用が発生するリスクを伴います。

このことからも、復号ツールは万能ではないことを理解し、日頃から確実なバックアップを取得しておくことが企業の生命線となります。

身代金を支払った後でも警察に相談すべきですか？

はい、必ず相談してください。 攻撃者の脅迫に屈して身代金を支払ってしまった後でも、その事実を隠さずに警察へ報告することが重要です。身代金の支払いは犯罪組織に資金を提供する行為ですが、それによって被害企業が法的に罰せられることはなく、警察は事案の全容解明を優先します。

身代金支払い後に警察へ相談すべき理由

捜査への貢献: 支払いに使用した暗号資産のアドレスや攻撃者との通信記録が、犯人グループ特定のための重要な手がかりとなる。
二次被害の防止: 「支払いに応じる企業」と見なされ、再び標的にされるリスクが非常に高いため、警察の助言を基にセキュリティ体制を抜本的に見直す必要がある。

過去の判断を悔やむのではなく、二次被害を防ぎ、社会全体のサイバー防犯に貢献するためにも、速やかに警察と連携することが求められます。

身代金を支払わないことが推奨されるのはなぜですか？

身代金の支払いは、問題解決に繋がらないばかりか、さらなるリスクを招くため、警察をはじめとする多くの機関が「支払わないこと」を強く推奨しています。

身代金を支払うべきでない理由

復旧の保証がない: 支払ってもデータが復旧される保証はなく、金銭だけを奪われるケースが多発している。
追加要求のリスク: 一度支払うと「資金源」と見なされ、窃取した情報の非公開などを盾に、さらなる金銭を要求される可能性がある。
犯罪組織への資金提供: 支払われた身代金は、新たなマルウェア開発や次のサイバー犯罪の活動資金となり、結果的に犯罪を助長することになる。
再攻撃の標的化: 「支払いに応じる企業」として攻撃者のリストに載り、将来的に再び狙われるリスクが著しく高まる。

企業は不当な要求に対し、毅然とした態度で臨むことが求められます。

まとめ：警察庁の公式情報に基づくランサムウェア対策と復旧の要点

本記事では、警察庁の公式情報を基に、ランサムウェアの脅威に対する事前対策、感染後の初動対応、そして復号ツールの利用方法までを解説しました。VPN機器の脆弱性対策や多要素認証といった予防策を徹底するとともに、万が一感染した場合はネットワークからの隔離を最優先し、証拠を保全することが被害拡大を防ぐ鍵となります。警察庁が提供する復号ツールは有効な選択肢ですが、全てのケースで復旧できるわけではないため、オフラインでの確実なバックアップ体制構築が事業継続の生命線です。判断に迷う場合は、まず自社のセキュリティ設定を見直し、被害が疑われる際は速やかに都道府県警察のサイバー犯罪相談窓口へ連絡することが重要です。身代金の支払いはさらなるリスクを招くため、専門家の助言を仰ぎながら、毅然とした対応をとることが求められます。本記事は一般的な情報提供を目的としており、個別の事案については必ず専門家へご相談ください。