警察庁、ランサム被害データの復元ツールを公開 – Phobos、8Baseが対象

ランサムウェアによるサイバー攻撃が世界中で猛威を振るう中、警察庁は被害者支援の一環として、ランサムウェア「Phobos」および「8Base」により暗号化されたファイルの復号ツールを公開した。

このツールは、企業や個人が失ったデータを取り戻すための強力な手段となる。警察庁は2024年2月にもランサムウェア「LockBit」による暗号化ファイルの復号ツールも公開しており、被害者への支援体制を強化している。

本記事では、公開された復号ツールの詳細や利用方法を紹介。また、警察庁の発表では紹介されていなかったランサムウェアの種類を特定する方法や、今からできるランサムウェアの対策について紹介する。

参考サイト：ランサムウェアPhobos/8Baseにより暗号化されたファイルの復号ツールの利用について（警察庁）

ランサムウェア「Phobos」「8Base」とは

ランサムウェアは、被害者のファイルを暗号化し、復号のための身代金を要求する悪質なマルウェアだ。「Phobos」や「8Base」は、近年特に注目されているランサムウェアで、企業や個人の重要なデータを標的にしている。

これらのランサムウェアは、ファイルを暗号化し、拡張子を変更することでアクセスを遮断。被害者に対して、仮想通貨などで身代金を支払うよう要求するメッセージを残す。身代金を支払ってもデータが復元される保証はなく、支払いはさらなる犯罪を助長するリスクがある。

警察庁によると、「Phobos」は主に中小企業や個人を標的とし、比較的簡易な手法で攻撃を展開する一方、「8Base」はより高度な手法を用い、大規模な組織を攻撃対象とする傾向がある。両者ともに、被害を受けたファイルは適切な復号キーがなければアクセス不能となるため、迅速な対応が求められる。

警察庁が公開する復号ツール

今回公開された復号ツールは、Phobosおよび8Baseによる暗号化ファイルに対応する。このツールは、被害者が自身のデータを無料で復元できるように設計されている。

特筆すべきはその利用の簡便さだ。ツールをダウンロード後、暗号化されたファイルを選択し、復元先となる出力フォルダを指定するだけで、復号プロセスが実行される。専門知識がなくとも手軽に利用できる設計は、被害組織にとって大きなメリットとなる。

復号ツールのダウンロードはこちら
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom/phobos.html

復号ツールの利用方法詳細ガイドhttps://www.npa.go.jp/bureau/cyber/countermeasures/ransom/PhDec_GuideLine_ver1.0_JA.pdf

LockBitの復号ツール

「LockBit」ランサムウェアによる被害も深刻化しているが、警察庁はこちらの復号ツールも用意している。ただし、オンラインでの一般公開はされておらず、利用を希望する場合は最寄りの警察署に直接問い合わせる必要がある。（2025年7月23日時点）

これは、LockBitの攻撃手法が高度で、個別の対応が必要な場合があるためだ。警察署では、被害状況の確認や適切な支援を提供する体制が整っているとされている。

ランサムウェアの種別を特定する方法

警察庁が公開する復号ツールを利用し暗号化されたデータを復旧するには、まず感染したランサムウェアの種別を特定することが不可欠だ。

種別が異なると暗号化のアルゴリズムや復号キーが異なるため、誤ったツールを使用しても復元はできない。ランサムウェアの種別を特定するには、以下のような方法がある。

ランサムノートの確認

攻撃者は通常、暗号化した後に「ランサムノート」と呼ばれる身代金要求のメモを残す。これはテキストファイルとしてデスクトップや暗号化されたフォルダ内に生成されることが多い。

このランサムノートのファイル名（例: _README.txt、HOW_TO_DECRYPT.txtなど）、内容、使用されている文言、連絡先情報（メールアドレスやTorサイトのURLなど）から、特定のランサムウェアファミリーを特定できる場合がある。

暗号化されたファイルの拡張子の確認

多くのランサムウェアは、暗号化したファイルの末尾に独自の拡張子を追加する。例えば、「.phobos」、「.8base」、「.locked」、「.wannacry」などだ。

この拡張子を確認することで、ランサムウェアの種類を絞り込める。ただし、攻撃者が拡張子を意図的に変更したり、既存の拡張子をそのままにしたりする場合もあるため、これだけで判断はできない。

「No More Ransom」プロジェクトの活用

「No More Ransom」は、欧州刑事警察機構（ユーロポール）やオランダ国家警察、複数のセキュリティ企業が共同で立ち上げた国際的なプロジェクトだ。ランサムウェア被害の防止と復旧を目的としており、Webサイトでは、さまざまなランサムウェアに対応した復号ツールが無料で公開されている。

No More Ransom Webサイト

このプロジェクトは、被害者が身代金を支払わずにデータを復元できるよう支援することを目指している。公開されているツールは数多くのランサムウェアにも対応しており、被害者はまずこのサイトを参照することで自己解決を試みることができる。

セキュリティ製品のログの確認

導入しているアンチウイルスソフトウェアやEDR（Endpoint Detection and Response）などのセキュリティ製品が、感染初期段階でアラートを検知している可能性がある。

これらのログには、実行されたマルウェアのファイル名や検知されたマルウェアの種類に関する情報が含まれている場合があり、種別特定の大きな手がかりとなる。

セキュリティ専門家への相談

上記の手順で特定が難しい場合や、復旧作業に不安がある場合は、サイバーセキュリティの専門家や管轄の警察署（サイバー犯罪対策課など）に相談することを推奨する。

今からできる、ランサムウェア対策

ランサムウェアの被害は、企業や個人にとって甚大な影響を及ぼす。データが暗号化されると、業務の停止や個人情報の漏洩、経済的損失が発生するリスクがある。特に、医療機関やインフラ関連企業が攻撃を受けると、社会全体に影響が及ぶ可能性もある。

警察庁の復号ツール公開は、被害者にとって大きな希望となるが、根本的な解決には予防策が不可欠だ。以下のような対策を講じることで、ランサムウェアのリスクを軽減できる。

定期的なバックアップ	重要なデータは定期的にバックアップし、オフライン環境に保存する。これにより、暗号化されてもデータを復元できる。
セキュリティソフトの導入	最新のセキュリティソフトを導入し、リアルタイムでマルウェアを検知・駆除する。
ソフトウェアの更新	OSやアプリケーションを常に最新の状態に保ち、脆弱性を悪用されるリスクを減らす。
不審なメールやリンクに注意	ランサムウェアの多くは、フィッシングメールや不正なリンクを通じて感染する。不審なメールは開かず、リンクをクリックしないよう注意が必要だ。企業では、従業員の教育も重要だろう。