ランサムウェアに感染したデータは復旧できる？身代金を支払うリスクも解説

ランサムウェアに感染して暗号化されたデータを復旧する方法はあるのでしょうか。

ハッカーからはデータ復元と引き換えに身代金の支払いを要求されますが、身代金の支払いは絶対にやめましょう。実際には身代金を支払ってもデータが復元できる可能性は低く、犯罪者と取引して活動資金を提供することになるだけでなく攻撃成功率の高いターゲットとして再感染のリスクも

身代金の支払い以外の方法でも、データ復旧できる可能性はあります。本記事では、安全にデータを復旧する方法や、ランサムウェアによるデータ暗号化の具体的な手口、ハッカーと交渉する危険性などを詳しく解説します。

当社では、過去400件以上のランサムウェア復旧のご相談実績と独自に研究開発したデータ復旧技術をもとに、ランサムウェア専門エンジニアが復旧作業を行います。ハッカーとの交渉は一切行いません。24時間365日受付可能な緊急相談窓口がございますので、ランサムウェアで暗号化されたデータの復旧をご希望される方は、こちらからご相談ください。

0120-706-332

ランサムウェアによる暗号化とは

ランサムウェアとは、別名「身代金要求型ウイルス」と言われ、感染した端末の画面をロックしたり保存されたデータを不正に暗号化することで使用不可能な状態にし、データの復号の対価として身代金を要求する極めて悪質なウイルスです。

ランサムウェアは近年世界的に猛威を振るっており、新型のランサムウェアや亜種が次々と登場し、脅迫のパターンや暗号化のアルゴリズムも複雑・高度化しています。ランサムウェアに関する情報提供を行う国際プロジェクト「The No More Ransom Project」サイトで公開されている情報によると、現在50種以上のランサムウェアが存在していると言われています。

ランサムウェアは、大きく分けて以下の２つのパターンに分けられます。

ランサムウェアの2つのパターン

端末の画面をロックし使用できなくする「画面ロック型」
ファイルを暗号化して使用できなくする「暗号化型」

端末の画面をロックし使用できなくする「画面ロック型」

画面ロック型は2010年頃に流行した原始的なランサムウェアの手法で、以下のような特徴を持ちます。

閉じることができないウィンドウに脅迫文が表示される
脅迫文が書かれた壁紙に変更される

端末操作がロックされているだけでデータ自体は無事であることも多く、ロックさえ解除できれば全てのデータを取り戻せる可能性があります。暗号化と比べて駆除しやすいことから、画面ロック型流行は下火になり、現在はデータそのものを暗号化する手法が主流です。

ただし、2013年頃に流行した「CryptoLocker」など画面ロック型と暗号化型のハイブリッド型も存在するため、駆除・復旧難易度が一概に低いというわけではありません。

ファイルを暗号化して使用できなくする「暗号化型」

例：LockBit2.0ランサムウェアの感染画面

「暗号化型」はデータを暗号化することで開けなくするランサムウェアで、現在主流のタイプです。暗号化型のランサムウェアに感染した際、以下のような状況に陥ります。

ファイルの拡張子が変わり開けなくなる
データにアクセスすると身代金を要求する警告文が表示される
「readme.txt」「Look at this instruction.txt」といった名前の脅迫文が表示される

暗号化型の中にも、感染したファイルの全データを暗号化するものと、ファイルの先頭など一部分のみ暗号化するものなど、多様な種類があります。

全データを暗号化する手法はその分処理完了まで時間がかかることから、被害者が途中で気付いて暗号化を阻止される可能性があります。近年は、1ファイルあたりの暗号化処理時間を短縮して攻撃の成功率を上げるために、ファイルの先頭データなど部分的に暗号化する「部分暗号型」が増えてきました。

暗号化されるのが全データにしろ部分的にしろ、データ復旧のためには暗号化ロジックの解読が必要であり、復旧難易度は極めて高くなります。

ファイルの暗号化とデータ暴露の二段階脅迫を行う「二重恐喝型」が増加

令和5年3月に警察庁が公表した資料（※）によると、近年は「暗号化の際にデータを盗んだ。身代金を支払わなければ内部情報を公開する」と脅すことで身代金支払いの成功率を高めようとする二重恐喝型のランサムウェアが増えています。

二重恐喝型ランサムウェアの手口

暗号化データの復元を条件に身代金を要求する
身代金を支払わなければ、盗んだ内部情報を公開したり攻撃した事実をSNS上で公開したりすると脅迫する

（※）警察庁「令和４年におけるサイバー空間をめぐる脅威の情勢等について」

二重恐喝型のランサムウェアは、ターゲットのシステムに侵入した後、内部データを攻撃者に送信してから暗号化処理を実行します。顧客情報や設計図面、認証情報といった重要なデータが漏えいすることもあり、データ復旧だけでなく情報漏えいの被害範囲特定のための調査も必要となります。

一部では、被害者の顧客などに連絡し身代金の支払いを促すよう指示する「三重恐喝」、三重恐喝に加えて被害者のWebサイトを停止させるDDoS攻撃まで行う「四重恐喝」といった手法も確認されています。

しかし、身代金を支払ったところで、安全にデータが復元される保証も、盗んだデータの公開を防げる保証もありません。もし他重恐喝の被害を受けている場合は、身代金を支払わず、安全な方法によるデータ復旧と被害範囲の特定を急ぎ、被害拡大を食い止めることが重要です。

0120-706-332

ランサムウェアによって暗号化されたデータを復旧する方法

ランサムウェアによってデータが暗号化されてしまった場合、以下のような方法でデータを復旧できる可能性があります。

ランサムウェアで暗号化されたデータを安全に復旧する方法

「No More Ransom」の復号化ツールで復旧する
バックアップデータから復旧する
暗号化データを分析しデータ復旧する

「The No More Ransom Project」の復号化ツールで復旧する

「The No More Ransom Project」（ノーモアランサムプロジェクト：公式サイトはこちら）とは、オランダ警察ハイテク犯罪ユニット・欧州サイバー犯罪センター・MacAfee・Kasperskyが官民連携して立ち上げ、ランサムウェアに関する情報提供を行う国際的なプロジェクトです。日本のIPA（情報処理推進機構）もサポーティングパートナーとして参加しています。

サイト上では、以下のような情報を手に入れることができます。

感染したランサムウェアの種類の特定
一部のランサムウェアの復号ツール
ランサムウェア攻撃の仕組みや対処に関するQ＆A

「The No More Ransom Project」で公開されている復号ツールは全てのランサムウェアに対応しているわけではないので、サイト上で入手できないものは復号化することはできません。

また、対応するツールであっても、ランサムウェアのバージョン等によっては完全に復号できないこともあるため、注意が必要です。１つの手として試してみると良いでしょう。

バックアップデータから復旧する

もし感染前のバックアップデータがあれば、そこからデータ復旧することができます。

ただし、ランサムウェアはネットワークを介して感染を広げていくため、バックアップのデータもランサムウェアに感染している可能性があります。以下のような状況ではバックアップデータもランサム感染の疑いが高いと考えられるので、安易にバックアップから復元しないようにしましょう。

バックアップデータが感染端末と同一サーバー・ネットワーク上に存在する
バックアップの拡張子が変わっている、開けない
ランサムウェア感染後、ネットワークを切断せずに繋げた状態にしている

バックアップデータが無事であれば、ランサムウェアに感染した端末を完全に初期化して再度バックアップファイルをインストールすることで、ランサムウェアを駆除することができます。

ただし、無事データが復旧できたとしても、一度システムに侵入された以上、感染経路を特定して対策することが必要です。侵入時にバックドア（システムの入り口）を設置されている可能性もあるので、ランサムウェアの再感染を避けるためにもデータ復旧後は今後の対策まであわせて行いましょう。

暗号化データを分析しデータ復旧する

考えられるもう１つの手段は、暗号化のアルゴリズムを分析することでデータを復旧する方法です。

通常、暗号化されたデータは対となる復号鍵がないと復号することができません。しかし、暗号化のアルゴリズムを解読することができれば、復号鍵がなくともデータを復旧できる可能性があります。

ランサムウェアの暗号化アルゴリズムは年々高度化しており、解読するには極めて専門的な知識が必要です。それほどの腕を持つエンジニアは世界的に見てもごく僅かだと考えられますが、もし復号ツールもバックアップも得られない場合は、高い技術力を持つエンジニアによる作業が最も安全な復旧方法だといえるでしょう。

デジタルデータリカバリーでは、独自の経験・知識に基づきランサムウェアによる暗号化データの復旧方法を研究してきました。当社にはランサムウェア専門エンジニアが在籍し、一般的に復号ツールが出回っていない種類のランサムウェアであってもご相談いただくことが可能です。

お問合せから最短30分で無料のWeb打合せを設定させていただきますので、緊急時でもまずはご相談ください。

0120-706-332

攻撃者（ハッカー）に身代金を支払えばデータ復旧できるのか

ランサムウェア感染時、データが暗号化されると同時に、攻撃者（ハッカー）から「データを取り戻したければ身代金と引き換えに復号化ツールを提供する」といった旨の脅迫文が届きます。

ランサムウェアによって暗号化されるデータは、基本的に企業活動の継続に必要不可欠なデータや機密性の高いデータであるため、データの救出が喫緊の問題となることがほとんどです。企業によっては、一刻も早い事態収拾のために身代金の支払いを検討する場合もあると考えられますが、身代金の支払いは絶対にやめましょう。

身代金を支払ってもデータ復旧できる保証は一切ない

実際に身代金を支払ったとしても、データが復号化できる保証は一切ありません。

そもそもハッカーは企業と対等に取引する必要はなく、活動資金を稼ぐことが目的です。実際に、身代金を支払ったにもかかわらず復号ツールは提供されなかったり、いい加減な復号ツールが提供されて破損した状態のデータしか出てこなかったりする事例も多く報告されています。

また、ハッカー側はより効率的に資金調達するために、すでに一度金銭の搾取に成功した企業に対して２回目、３回目と攻撃を仕掛け、脅迫の成功率を高めようとする傾向があります。仮に身代金を支払ってデータが復号できたとしても、再度狙われるリスクが飛躍的に高まるということです。

犯罪者と取引する危険性や再感染のリスクなどを鑑みると、身代金の支払いは費用対効果の悪い策と言えるでしょう。攻撃者に身代金を支払うことは絶対に避けてください。

「ハッカーと交渉する」と謳うデータ復旧業者には要注意

攻撃者（ハッカー）との交渉は極めて危険な行為ですが、一部のデータ復旧業者では「ハッカーとの交渉を代行します」「攻撃者から復号化ツールを手に入れることでデータ復旧します」と謳ってデータ復旧を請け負うケースも見られます。

しかし繰り返しになりますが、身代金の支払いは非常に高リスク・低リターンである上に、犯罪者の資金調達に加担していると捉えられかねない極めて危険な行為です。

ランサムウェアに感染して暗号化されてしまったデータの復旧を試みる際は、攻撃者との取引ではなくきちんとしたデータ復旧技術のもとに作業を行える業者に相談しましょう。

0120-706-332

当社では独自開発したデータ復旧技術で安全に作業します

当社では、ハッカーとの交渉は一切行いません。

「1秒でも早く、1つでも多くのデータを、最も安全に復旧する」という使命を掲げ、一般的に不可能とされているランサムウェアによる暗号化データの復旧技術も独自に開発を進めています。

感染経路の確認・今後の対策まで一気通貫対応

当社では、高い技術力でのデータ復旧に加え、フォレンジック調査による被害・感染経路の特定、今後のセキュリティ対策強化のご相談まで一気通貫で対応させていただきます。

ランサムウェア感染時、一刻も早いデータ復旧をお望みになるお客様がほとんどです。しかし、情報漏えいや再感染のリスクを考慮すると、感染経路の確認や今後の対策まで行うことが非常に重要となります。

一般的にはデータ復旧・感染経路の特定・再発防止策などはそれぞれ別の会社に依頼する必要がありますが、当社ではまとめてご提案させていただくことが可能です。まずは一度ご相談ご相談ください。

0120-706-332

当社のランサムウェア復旧の5つの強み

当社には、ランサムウェア復旧において、他のデータ復旧業者にはない5つの強みがございます。

デジタルデータリカバリーのランサムウェア復旧の5つの強み

最短即日駆け付け可能！圧倒的スピード対応
ランサムウェア累計ご相談件数400件以上の豊富な実績
国内最高峰の技術力によるデータ復旧
緊急対応も可能な世界最大規模の復旧設備
ISP/Pマーク取得済の国際基準のセキュリティ

最短即日駆け付け可能！圧倒的スピード対応

データ暗号化による業務停止などの緊急時にも迅速に対応すべく、24時間365日ご相談を受け付け、お問合せから最短30分で無料のWeb打合せにて状況をヒアリングさせていただきます。

法人様は最短即日で現地駆付け対応も可能ですので、出張ご希望の場合もご相談ください。

ランサムウェア累計ご相談件数400件以上の豊富な実績

当社では、ランサムウェア累計ご相談実績400件以上(※1)、16種類以上の相談実績(※2)がございます。

ランサムウェアにより暗号化されたデータの復旧は原則不可能とされ受付不可能な業者が多い中で、当社では多数のご相談実績がございます。諦める前にまずは一度ご相談ください。

（※1・2　算出期間：2011年1月1日～）

国内最高峰の技術力によるデータ復旧

当社エンジニアは専門分野に分かれて研究開発を行っており、ランサムウェアのデータ復旧のご相談の際はランサムウェア専門エンジニアが復旧作業を実施します。

国内外の専門機関とのコネクションを活用し、世界中の優れた技術を導入することで、国内最高峰の技術力を実現しています。独自に開発したランサムウェアのデータ復旧のノウハウをもとに、ハッカーとの交渉は行わずに復旧作業を行うため、ご安心ください。

緊急対応も可能な世界最大規模の復旧設備

当社では業界トップクラスの復旧設備を有し、緊急のご相談でも設備が空くのを待つ必要がなく、すぐに復旧作業に取り掛かれる体制を整えています。

お電話でご相談いただければ、復旧ラボの見学も可能です。お気軽にお問合せください。

ISO・Pマーク取得済の国際基準のセキュリティ

万全なセキュリティ対策のもと大事なデータをお預かりするため、ISO・Pマークを取得しています。

社内には国際空港レベルのセキュリティゲート・40台の監視カメラを設置し、情報持ち出し・持ち込みを抑止。情報漏えい対策のための社内体制整備を徹底しています。

最短30分でWeb打合せ！緊急時もお任せください

当社では、ランサムウェア感染という緊急事態にも迅速にご対応するため、スピード対応の体制を整えています。

24時間365日いつでもご相談可能
お問合せから最短30分でWeb打合せ（無料）を設定
必要に応じて最短即日の現地駆付けにご対応（※法人様のみ）
土日祝日も打合せ・復旧作業・現地駆付けに対応

最短最速でご対応させていただきますので、ランサムウェアの復旧をご希望の際はまず一度ご相談ください。

0120-706-332

よくある質問

まずは相談して依頼するかどうか決めたいのですが、診てもらうのにお金はかかりますか？

いえ、かかりません。お客様の機器を実際にチェックしてみて初めて正確な状態がわかりますので、チェックが終わるまでは一切費用は頂いておりません。 ※ご郵送で機器をお預けいただいたお客様のうち、チェック後にデータ復旧を実施しない場合のみ、機器の返送費用だけご負担頂いておりますのでご了承ください。

営業時間を教えてください

営業時間は以下の通りになっております。
土日祝日問わず、年中無休でお電話でのご相談・復旧作業・ご納品・アフターサービスを行っています。

電話受付：0:00～24:00　（24時間対応）
来社受付：9:30～21:00

ハッカー（攻撃者）に交渉して復号化キーを手に入れても大丈夫ですか？

危険なので推奨しません。

身代金を支払い復号化キーを手に入れたとしても、実際にはデータの復元に失敗したり、再感染してしまう例が多数確認されています。当社ではハッカーへの交渉ではなく、独自開発したデータ復旧技術によって復旧作業を行います。まずは一度ご相談ください。

この記事を書いた人

デジタルデータリカバリー　データ復旧エンジニア
累計相談件数41万件以上のデータ復旧サービス「デジタルデータリカバリー」において20年以上データ復旧を行う専門チーム。
HDD、SSD、NAS、USBメモリ、SDカード、スマートフォンなど、あらゆる機器からデータを取り出す国内トップクラスのエンジニアが在籍。その技術力は各方面で高く評価されており、在京キー局による取材実績も多数。2021年に東京都から復旧技術に関する経営革新優秀賞を受賞。