ランサムウエア、警察庁が2例目の解読成功　データも回復

警察庁は17日、ランサムウエア（身代金要求型ウイルス）集団「Phobos（フォボス）」によるデータ暗号化を解く復号ツールを開発したと発表した。利用すれば身代金を支払わなくてもデータを復元できる。日本警察による開発は2例目で、世界各国に共有される。ランサムウエアへの対抗手段を構築し被害を抑止する。

警察庁によると、開発したツールはフォボスに加え、フォボスと同様の暗号化プログラムを使用する別のランサムウエア集団「8Base（エイトベース）」による被害の回復にも活用できる。両集団による被害は全世界で2000件以上確認されている。

開発は警察庁のサイバー特別捜査部の前身が2023年12月に着手した。暗号化プログラムを生成するためにフォボス側が使っていたとみられるツールを、匿名性が高い闇サイト群「ダークウェブ」上で発見し解析を進めた。

 

 

一方、日米などの捜査当局はフォボスの中核とみられる男を24年11月までに摘発。男の端末にあったフォボスの内部情報を米連邦捜査局（FBI）がサイバー特捜部に提供した。

これらの情報を分析して暗号化を解く仕組みを特定し、25年5月にツールを完成させた。

サイバー特捜部などによる検証では、暗号化されたデータが完全に復元された例も複数確認された。ツールは専門的な知識がなくても操作可能で、両集団による被害は相当程度回復できるとみられる。

復号ツールは各国司法当局などが連携して設立した「No More Ransom（ノーモアランサム）」や警察庁のサイトを通じて無償で配布する。被害を受けた企業・団体から警察が相談を受けた場合にもツールの利用を案内する。

開発は専門人材の集約が奏功した。22年4月に前身が発足したサイバー特捜部はサイバー分野の知見が深い370人規模（併任含む）の体制で、最新動向に詳しい民間人材も登用した。

警察幹部は「職員が集中的に分析業務に従事できる環境がある。専門知識を持った人材が協力し相乗効果が生まれた」と強調する。

サイバーセキュリティー大手トレンドマイクロの佐藤健氏は「攻撃側の端末やサーバーを差し押さえて調査するのは法執行機関ならではの手法」とみる。復号ツールの開発は「日本のサイバー能力のアピールにもつながる」と指摘する。

現在活動しているランサムウエア集団は数十以上あるとされる。警察庁によると国内被害は24年7〜12月に108件あり高水準で推移する。暗号化を省いて情報の暴露のみを取引材料として身代金を要求する「ノーウエアランサム」と呼ばれる手口も近年目立っている。

サイバー攻撃を想定した事業継続計画（BCP）を策定していない企業ほど、影響が長期化する傾向がある。警察庁はランサムウエアの被害に遭った場合、通信記録を保全し速やかに警察へ通報・相談するといったBCPの策定を企業側に要請している。