EFS(暗号化ファイルシステム)とは
まず、EFSがどのような機能なのかを理解しましょう。
EFSの基本
- Windowsの正規機能
- EFS(Encrypting File System:暗号化ファイルシステム)は、Windows 2000以降のPro版以上のエディションに標準搭載されている暗号化機能です。ファイルやフォルダを暗号化して、他のユーザーからのアクセスを防ぐために使用されます。
- 悪意のあるものではない
- EFSはマルウェアやウイルスではありません。ユーザーのデータを保護するための正規のセキュリティ機能です。意図せず有効になってしまった場合でも、適切な手順で解除できる可能性があります。
- 証明書に基づく暗号化
- EFSは、暗号化を行ったユーザーアカウントに紐づいた「証明書」を使用します。この証明書があれば、暗号化されたファイルを復号(元に戻す)ことができます。
EFSが有効になるケース
EFSは以下のような状況で有効になることがあります。
| 状況 | 詳細 |
|---|---|
| ユーザーが意図的に有効化 | ファイルやフォルダを右クリック→プロパティ→詳細設定→「内容を暗号化してデータをセキュリティで保護する」にチェック |
| グループポリシーによる自動有効化 | 企業のIT管理者が、ポリシーで特定のフォルダを自動的に暗号化するよう設定している場合 |
| 他のユーザーが暗号化したファイル | 同じPCでも、別のユーザーアカウントが暗号化したファイルは開けません |
| OSの再インストール後 | OSを再インストールすると、以前のユーザーの証明書がなくなり、暗号化されたファイルが開けなくなります |
EFSの見分け方
EFS暗号化されたファイルには、以下の特徴があります。
- ファイル名が緑色の文字で表示される
- エクスプローラーでファイル名を見ると、通常の黒い文字ではなく、緑色の文字で表示されます。
- 鍵マークのアイコン
- ファイルのアイコンに小さな鍵マークが表示されることがあります。
- プロパティで「暗号化」属性が有効
- ファイルを右クリック→プロパティ→詳細設定で、「内容を暗号化してデータをセキュリティで保護する」にチェックが入っています。
- 拡張子は変わらない
- EFS暗号化では、ファイルの拡張子は変わりません。「document.docx」は「document.docx」のままです。
EFS暗号化とランサムウェアの違い
EFS暗号化とランサムウェアは、どちらも「ファイルが開けなくなる」という症状を引き起こしますが、明確な違いがあります。
見分けるポイント
| 特徴 | EFS暗号化 | ランサムウェア |
|---|---|---|
| ファイル名の色 | 緑色で表示される | 通常の色(黒) |
| 拡張子 | 変わらない | 変わる(.locked, .encrypted等が追加) |
| アイコン | 鍵マークが付く | 白紙アイコンになることが多い |
| 身代金要求 | なし | 画面表示やテキストファイルで要求される |
| 脅迫ファイル | なし | README.txt等が作成される |
| 壁紙の変更 | なし | 身代金要求メッセージに変わることがある |
| 復号方法 | 証明書で復号可能 | 攻撃者の鍵がないと復号できない |
EFSの特徴
- 緑色の鍵マーク
- EFS暗号化されたファイルは、エクスプローラーで緑色の文字で表示されるか、アイコンに鍵マークが付きます。これはランサムウェアには見られない特徴です。
- 拡張子は変わらない
- EFS暗号化では、ファイルの拡張子は元のままです。「.docx」が「.docx.locked」になることはありません。
- 身代金要求画面がない
- EFS暗号化では、身代金を要求する画面やメッセージは表示されません。
- 証明書があれば復号可能
- 暗号化を行ったユーザーアカウントでログインするか、バックアップした証明書をインポートすれば、ファイルを開くことができます。
ランサムウェアの特徴
- 拡張子が変わる
- ランサムウェアは、暗号化したファイルの拡張子を変更することが多いです。例:「document.docx」→「document.docx.locked」「document.xyz123」
- 身代金要求画面またはファイル
- デスクトップやフォルダ内に「README.txt」「DECRYPT_INSTRUCTIONS.html」などのファイルが作成され、身代金の支払い方法が記載されています。
- 壁紙が変更される
- デスクトップの壁紙が、身代金要求のメッセージに変更されることがあります。
- 攻撃者の鍵がないと復号できない
- ランサムウェアは、攻撃者だけが持つ復号鍵を使わないとファイルを元に戻せません。不正アクセスと組み合わせた攻撃が多いです。
EFS暗号化の解除方法
EFS暗号化が原因でファイルが開けない場合、以下の方法で解除できる可能性があります。
方法1:証明書がある場合(暗号化した本人のアカウント)
- 暗号化した本人のアカウントでログイン
- EFS暗号化を行ったユーザーアカウントでログインすれば、暗号化されたファイルは自動的に復号され、通常通り開くことができます。
- 確認手順
- 現在ログインしているアカウントが、暗号化を行ったアカウントと同じかどうかを確認してください。別のアカウントでログインしている場合は、元のアカウントに切り替えてください。
方法2:証明書をバックアップしていた場合
証明書を事前にバックアップしていた場合は、別のPCやOSを再インストールした後でも、証明書をインポートすることでファイルを復号できます。
- 証明書のインポート手順
-
1. バックアップした証明書ファイル(.pfx形式)をダブルクリック
2. 「証明書のインポートウィザード」が起動
3. 「現在のユーザー」を選択して「次へ」
4. ファイルのパスを確認して「次へ」
5. バックアップ時に設定したパスワードを入力
6. 「このキーをエクスポート可能にする」にチェック
7. 「証明書の種類に基づいて、自動的に証明書ストアを選択する」を選択
8. 「完了」をクリック - 復号の確認
- 証明書のインポート後、暗号化されたファイルを開いてみてください。正しい証明書がインポートされていれば、ファイルを開けるようになります。
方法3:証明書がない場合
証明書がなく、バックアップも取っていない場合、EFS暗号化されたファイルの復旧は非常に困難です。
- データ復旧の可能性は低い
- EFSの暗号化は強力であり、証明書なしでは復号することができません。「EFS復旧」を謳う業者もありますが、証明書がない状態での復旧はほぼ不可能です。
- IT管理者への相談
- 企業環境では、IT管理者が「回復エージェント」として設定されている場合があります。回復エージェントの証明書があれば、ファイルを復号できる可能性があります。IT管理者に相談してください。
- 回復エージェントの確認
- グループポリシーで回復エージェントが設定されているかどうか、IT管理者に確認してください。設定されていれば、管理者権限で復号できる可能性があります。
ランサムウェアの場合の対処法
診断の結果、ランサムウェア感染と判断された場合は、以下の手順で対応してください。
確認事項
まず、「ファイルが暗号化された?原因診断フローチャート」で、改めて原因を確認してください。
- 身代金要求の有無
- デスクトップや各フォルダに、身代金を要求するテキストファイル(README.txt等)やHTMLファイルがないか確認します。
- 拡張子の変化
- 多数のファイルの拡張子が一斉に変わっていないか確認します。
- 壁紙の変更
- デスクトップの壁紙が、身代金要求のメッセージに変わっていないか確認します。
対処手順
ランサムウェア感染が確認された場合は、以下のページを参照して対応してください。
| 状況 | 参照ページ |
|---|---|
| 初動対応が必要 | 会社PCがおかしい?5分間初動マニュアル |
| 組織的な対応が必要 | ランサムウェア感染時の対応手順 |
| 復号ツールを探したい | ランサムウェア復号ツール完全ガイド |
| 身代金要求メールが届いた | 身代金要求メールが届いたら |
間違えやすいケースと対処
EFS暗号化とランサムウェアを混同しやすいケースを紹介します。
ケース1:別ユーザーのEFS暗号化ファイル
- 状況
- 同じPCを複数のユーザーで共有している場合、あるユーザーがEFS暗号化したファイルは、別のユーザーからは開くことができません。「暗号化されたファイルにアクセスできません」というエラーが表示されます。
- 対処
- 暗号化を行ったユーザーアカウントでログインしてファイルを開くか、そのユーザーに暗号化を解除してもらってください。
ケース2:OSの再インストール後
- 状況
- Windowsを再インストールした場合、以前のユーザーアカウントの証明書がなくなります。再インストール前にEFS暗号化したファイルは、証明書をバックアップしていない限り開けなくなります。
- 対処
- 証明書のバックアップがあれば、インポートして復号できます。バックアップがない場合、復旧は非常に困難です。
- 予防
- EFSを使用する場合は、必ず証明書をバックアップしておいてください。バックアップ方法は、「証明書のエクスポート」で検索してください。
ケース3:ユーザープロファイルの破損
- 状況
- Windowsのユーザープロファイルが破損すると、EFS証明書にアクセスできなくなり、暗号化したファイルが開けなくなることがあります。
- 対処
- 別の管理者アカウントでログインし、破損したプロファイルの修復を試みます。修復できない場合は、証明書のバックアップからの復旧が必要です。
ケース4:ドメイン環境でのアカウント変更
- 状況
- 企業のドメイン環境で、ユーザーアカウントが削除・再作成された場合、以前のアカウントで暗号化したファイルが開けなくなることがあります。
- 対処
- IT管理者に相談してください。回復エージェントが設定されていれば、管理者権限で復号できる可能性があります。
EFS暗号化の予防策
意図せずEFS暗号化を有効にしてしまうことを防ぐための対策を紹介します。
証明書のバックアップ
- 証明書のエクスポート
- EFSを使用する場合は、必ず証明書をバックアップしてください。証明書マネージャー(certmgr.msc)から、EFS証明書を.pfx形式でエクスポートできます。
- バックアップの保管
- エクスポートした証明書は、外付けHDDやクラウドストレージなど、PC以外の場所に安全に保管してください。
EFSの無効化(必要な場合)
EFSを使用する予定がない場合は、グループポリシーでEFSを無効化することもできます。ただし、企業環境では、IT管理者の指示に従ってください。
よくある質問(FAQ)
- Q: ファイル名が緑色で表示されていますが、これはランサムウェアですか?
- A: ファイル名が緑色で表示されているのは、Windows EFS(暗号化ファイルシステム)による暗号化の特徴です。ランサムウェアではありません。EFSはWindowsの正規のセキュリティ機能で、悪意のあるものではありません。ファイルを暗号化したユーザーアカウントでログインすれば、通常通りファイルを開くことができます。
- Q: EFS暗号化を解除するにはどうすればよいですか?
- A: EFS暗号化を解除するには、暗号化されたファイルを右クリック→プロパティ→詳細設定で、「内容を暗号化してデータをセキュリティで保護する」のチェックを外します。ただし、この操作は、暗号化を行ったユーザーアカウントでログインしている場合にのみ可能です。別のアカウントからは解除できません。
- Q: 証明書をバックアップしていませんでした。ファイルを復旧する方法はありますか?
- A: 証明書がなく、バックアップも取っていない場合、EFS暗号化されたファイルの復旧は非常に困難です。企業環境では、IT管理者が「回復エージェント」として設定されている場合があり、その場合は管理者権限で復号できる可能性があります。個人の場合は、残念ながら復旧手段はほとんどありません。今後のために、重要なファイルは暗号化せずにバックアップを取ることをお勧めします。
- Q: EFS暗号化されたファイルを別のPCに移動したら開けなくなりました。
- A: EFS暗号化は、暗号化を行ったユーザーの証明書に紐づいています。別のPCでファイルを開くには、元のPCから証明書をエクスポートし、新しいPCにインポートする必要があります。証明書のエクスポートは、暗号化を行ったユーザーアカウントでログインした状態で行ってください。
- Q: EFSとBitLockerは何が違いますか?
- A: EFSは個々のファイルやフォルダを暗号化する機能で、BitLockerはドライブ全体を暗号化する機能です。EFSはユーザーの証明書で暗号化され、BitLockerはパスワードやTPM(セキュリティチップ)で保護されます。両方ともマルウェア対策ではなく、PCの紛失・盗難時にデータを保護するための機能です。
関連記事
- ファイルが暗号化された?原因診断フローチャートと対処法
- 会社PCがおかしい?5分間初動マニュアル
- パソコン画面がロックされて解除できない|原因診断と対処法
- ランサムウェアとは?仕組み・感染経路・対策を徹底解説
- ランサムウェアの種類と攻撃手法
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
