ランサムウェアはどうやってファイルを暗号化するのか
暗号化とは「鍵をかける」こと
暗号化という言葉を聞くと難しく感じるかもしれませんが、基本的な考え方はとてもシンプルです。家の玄関に鍵をかけるのと同じように、デジタルデータにも「鍵」をかけることができます。鍵をかけると、正しい鍵を持っている人以外は中身を見ることができなくなります。
実は、暗号化は私たちの日常生活でも広く使われています。ネットバンキングで残高を確認するとき、オンラインショッピングでクレジットカード番号を入力するとき、これらの情報は暗号化されて送信されています。暗号化は本来、大切な情報を守るための技術なのです。
しかし、ランサムウェアはこの「守る技術」を悪用します。あなたのファイルに勝手に鍵をかけ、その鍵を攻撃者だけが持つ状態を作り出すのです。鍵がなければファイルは開けない——これがランサムウェアの基本的な仕組みです。
ランサムウェアが使う暗号化の種類
ランサムウェアが使う暗号化は、私たちが普段使う南京錠とは比べものにならないほど強力です。
一般的な南京錠は、数字4桁の組み合わせで開きます。組み合わせは10,000通りしかないため、時間をかければ全部試すことができます。しかし、ランサムウェアが使う暗号化は、256桁以上の組み合わせを持つ鍵を使用します。この組み合わせの数は、宇宙に存在する原子の数よりも多いとされています。
世界最高性能のスーパーコンピュータを使っても、すべての組み合わせを試すには数万年から数億年かかると計算されています。つまり、正しい鍵を知らない限り、暗号化されたファイルを元に戻すことは事実上不可能なのです。
| 比較項目 | 一般的な南京錠 | ランサムウェアの暗号化 |
|---|---|---|
| 組み合わせ数 | 約10,000通り | 2の256乗通り以上 |
| 総当たりにかかる時間 | 数時間 | 数万年〜数億年 |
| 解読の現実性 | 可能 | 事実上不可能 |
暗号化されるファイルの範囲
ランサムウェアは、あなたのパソコンに保存されているほぼすべての「ユーザーファイル」を暗号化の対象とします。
- 文書ファイル
- Word、Excel、PowerPoint、PDFなど、仕事で使う書類のほとんどが対象となります
- 画像・動画ファイル
- 家族の写真、思い出の動画など、かけがえのないデータも暗号化されます
- データベース
- 顧客情報や売上データなど、業務に不可欠な情報が人質に取られます
- 圧縮ファイル
- ZIPやRARで圧縮したファイルも暗号化の対象です
一方で、Windowsを動かすためのシステムファイルは通常、暗号化されません。これは攻撃者にとって重要な理由があります。パソコンが完全に動かなくなってしまうと、被害者は身代金要求画面を見ることができず、お金を払うこともできなくなるからです。
さらに注意が必要なのは、パソコン内部のファイルだけでなく、ネットワークで接続された共有フォルダやクラウドストレージにも被害が及ぶ可能性があることです。1台のパソコンが感染しただけで、会社全体のデータが暗号化されるケースも珍しくありません。
暗号化のスピード
ランサムウェアによる暗号化は、驚くほど高速で進行します。パソコンの性能やファイル数にもよりますが、数分から数時間で数万件のファイルが暗号化されることがあります。
「何かおかしい」と気づいたときには、すでに大半のファイルが暗号化されていることも少なくありません。ファイルのアイコンが見慣れないものに変わっていたり、ファイル名の末尾に「.locked」「.encrypted」などの拡張子が追加されていたりする場合は、暗号化が進行している可能性があります。
この速さこそが、ランサムウェアの恐ろしさの一つです。マルウェア感染の多くは静かに潜伏しますが、ランサムウェアは一気に被害を拡大させます。
身代金要求画面が表示されるまでの流れ
Step1:侵入(感染)
ランサムウェアがパソコンに入り込む経路はさまざまです。最も多いのは、フィッシング詐欺のメールに添付されたファイルを開いてしまうケースです。請求書や配送通知を装ったメールに、悪意のあるファイルが添付されています。
また、VPN機器の脆弱性を狙った不正アクセスも増加しています。テレワークの普及により、企業のネットワークに外部から接続する機会が増え、攻撃者にとって狙いやすい環境が生まれています。
感染経路について詳しくは、ランサムウェアの感染経路7選で解説しています。
重要なのは、感染した瞬間に気づくことはほとんどないという点です。メールの添付ファイルを開いても、一見何も起きないように見えることが多いのです。
Step2:潜伏と準備
多くの高度なランサムウェアは、侵入後すぐに暗号化を始めません。攻撃者はまず、侵入したネットワーク内を調査します。
- 環境調査
- どのようなシステムが使われているか、どこに重要なデータがあるかを把握します
- バックアップの探索と破壊
- 被害者が復旧できないよう、バックアップデータを先に削除または暗号化します
- 権限の拡大
- より多くのシステムにアクセスできるよう、管理者権限の取得を試みます
- データの窃取
- 暗号化前にデータをコピーし、「二重恐喝」の材料にすることもあります
この潜伏期間は数日から数週間に及ぶこともあります。攻撃者は静かに準備を進め、最大限の被害を与えられるタイミングを待つのです。
Step3:一斉暗号化
準備が整うと、攻撃者は暗号化を開始します。多くの場合、業務時間外や週末など、発見が遅れやすい時間帯が選ばれます。
暗号化が始まると、以下のような兆候が現れることがあります。
| 兆候 | 詳細 |
|---|---|
| パソコンの動作が重くなる | 大量のファイルを処理するため、CPUやディスクの使用率が急上昇します |
| ファイルが開けなくなる | 暗号化されたファイルは、通常の方法では開けません |
| 見慣れない拡張子 | ファイル名の末尾に「.locked」などが追加されます |
| アイコンの変化 | ファイルのアイコンが白紙や見慣れないものに変わります |
しかし、これらの兆候に気づいたときには、すでに多くのファイルが暗号化されていることがほとんどです。
Step4:身代金要求画面の表示
暗号化が完了すると、被害者に身代金を要求する画面が表示されます。この表示方法には主に2つのタイプがあります。
- 画面ロック型
- パソコンの画面全体を覆い、通常の操作ができなくなります。古いタイプのランサムウェアに多く見られます
- 通知型
- デスクトップに脅迫文のファイルを作成したり、壁紙を変更したりして要求を伝えます。最近のランサムウェアはこちらが主流です
身代金要求画面には通常、以下の内容が記載されています。
- ファイルが暗号化されたことの説明
- 復号(元に戻すこと)のために必要な金額
- 支払い方法(多くはビットコインなどの暗号資産)
- 支払い期限と、期限を過ぎた場合のペナルティ
- 攻撃者への連絡方法
支払いにビットコインなどの暗号資産が使われるのは、追跡が困難で、国境を越えた送金が容易だからです。銀行振込と違い、受取人の身元を特定することが極めて難しいのです。
攻撃の流れを時系列で整理
| 段階 | 攻撃者の行動 | 被害者の状態 |
|---|---|---|
| Step1:侵入 | フィッシングメール送信、脆弱性を悪用した侵入 | 異常に気づかない。普段通りに作業を続ける |
| Step2:潜伏 | ネットワーク調査、バックアップ破壊、権限拡大 | 何も起きていないように見える |
| Step3:暗号化 | 一斉にファイルを暗号化 | PCの動作が重くなる、ファイルが開けなくなる |
| Step4:要求 | 身代金要求画面を表示 | 被害を認識、パニック状態に陥る |
暗号化と復号の基礎知識
「暗号化」と「復号」の関係
暗号化と復号は、鍵をかける動作と開ける動作の関係に似ています。
暗号化は、読めるデータを読めない状態に変換することです。復号は、その逆で、読めない状態のデータを元の読める状態に戻すことです。この変換には「鍵」が必要で、正しい鍵がなければ復号することはできません。
日常生活でたとえるなら、暗号化は「金庫に入れて鍵をかける」こと、復号は「鍵で金庫を開けて中身を取り出す」ことです。金庫の鍵を持っていなければ、中身を取り出すことはできません。
公開鍵暗号方式をやさしく解説
ランサムウェアの多くは「公開鍵暗号方式」という技術を使っています。この仕組みを理解するために、南京錠のたとえで説明しましょう。
想像してください。特殊な南京錠があり、この南京錠は「かける」ことは誰でもできますが、「開ける」ことは特定の鍵を持っている人にしかできません。
- 攻撃者は、この特殊な南京錠(公開鍵)を被害者のパソコンに送り込みます
- ランサムウェアは、この南京錠を使ってファイルに鍵をかけます
- 南京錠を開けるための鍵(秘密鍵)は、攻撃者だけが持っています
この仕組みにより、暗号化は被害者のパソコン上で行われますが、復号に必要な鍵は攻撃者の手元にしかない状態が作られます。これが、身代金を払わなければファイルを取り戻せないとされる理由です。
なぜ「解読」できないのか
映画やドラマでは、天才ハッカーが暗号を解読するシーンがありますが、現実はそう簡単ではありません。
現代の暗号技術は、「総当たり攻撃」(すべての鍵の組み合わせを試す方法)に対して、現実的な時間内では解読不可能なように設計されています。256ビットの暗号鍵の場合、組み合わせの数は2の256乗、つまり約10の77乗通りもあります。
世界中のコンピュータをすべて使っても、この組み合わせをすべて試すには宇宙の年齢よりも長い時間がかかります。量子コンピュータの発展により将来的には状況が変わる可能性がありますが、現時点では実用的な脅威とはなっていません。
だからこそ、暗号化される前の対策、特にバックアップが重要なのです。詳しくはバックアップ戦略をご覧ください。
- 暗号化(あんごうか)
- データを特定のルールに従って変換し、正しい鍵を持つ人以外には読めない状態にすること
- 復号(ふくごう)
- 暗号化されたデータを元の読める状態に戻すこと。「復号化」とも呼ばれる
- 暗号鍵/復号キー(あんごうかぎ/ふくごうキー)
- 暗号化や復号に使用するデータ。これがなければ暗号化されたファイルを元に戻すことはできない
- 公開鍵暗号方式(こうかいかぎあんごうほうしき)
- 暗号化用の鍵(公開鍵)と復号用の鍵(秘密鍵)が異なる暗号方式。ランサムウェアはこれを悪用している
なぜ身代金を払っても復旧できないことがあるのか
復号ツールが正しく動作しないケース
身代金を支払うと、攻撃者から復号ツールや復号キーが送られてくることがあります。しかし、これらが正しく動作する保証はありません。
攻撃者の中には技術力が低いグループも存在し、そもそもバグのある復号ツールを作成してしまうことがあります。また、暗号化の過程でエラーが発生し、一部のファイルが復旧不能な状態になっていることもあります。
さらに、大量のファイルを復号する過程でエラーが発生し、一部のファイルしか復旧できないケースも報告されています。
攻撃者が約束を守らないケース
残念ながら、攻撃者は犯罪者です。約束を守る義務も、守るインセンティブもありません。
- 連絡が途絶える
- 支払い後、攻撃者からの連絡が途絶え、復号キーが送られてこないケースがあります
- 追加要求される
- 一度支払うと、「実は追加料金が必要」と言われ、さらなる支払いを要求されることがあります
- データが既に公開されている
- 二重恐喝の場合、支払い前にすでにデータが公開されていることもあります
統計データ:支払い後の復旧率
セキュリティ企業の調査によると、身代金を支払った組織のうち、すべてのデータを復旧できたのは一部にとどまります。
| 調査項目 | 割合 |
|---|---|
| 支払い後、全データを復旧できた | 約8%(Sophos 2024年調査) |
| 支払い後、一部のデータしか復旧できなかった | 約29% |
| 支払い後も復旧できなかった | 約21% |
| 支払わずにバックアップから復旧した | 約70%以上 |
※調査機関や時期により数値は異なります。参考:Sophos「The State of Ransomware 2024」
この統計が示すように、身代金を支払っても全データが戻る保証はなく、むしろバックアップからの復旧の方が成功率が高いのです。
再攻撃のリスク
身代金を支払った組織は、「払う組織」として攻撃者の間で情報共有されることがあります。その結果、同じ組織が繰り返し狙われるケースが報告されています。
また、根本的な脆弱性を解消しないまま身代金だけ払っても、同じ侵入経路から再び攻撃を受ける可能性があります。一度侵入に成功した攻撃者は、その経路を他の攻撃者に売却することもあります。
支払いが推奨されない理由まとめ
| 観点 | 支払う場合 | 支払わない場合 |
|---|---|---|
| 復旧の可能性 | 不確実(全データ復旧は約8%) | バックアップがあれば高い |
| 費用 | 身代金+復旧作業費 | 復旧作業費のみ |
| 再攻撃リスク | 高い(「払う組織」として認識される) | 変わらない |
| 法的リスク | 制裁対象グループへの支払いは違法の可能性 | なし |
| 社会的影響 | 犯罪者の資金源となる | 犯罪を助長しない |
身代金要求への対応について詳しくは、身代金要求メールへの対応をご覧ください。
よくある質問(FAQ)
- Q: ランサムウェアに感染すると必ずファイルが暗号化されますか?
- A: いいえ、すべてのランサムウェアがファイルを暗号化するわけではありません。画面をロックして操作不能にする「ロック型」や、暗号化せずにデータを盗んで公開をちらつかせる「ノーウェアランサム」と呼ばれるタイプも存在します。ランサムウェアの種類について詳しくは種類と手法をご覧ください。
- Q: 暗号化されたファイルを自力で復号することはできますか?
- A: 一般的には非常に困難です。ただし、一部の古いランサムウェアや、攻撃者の暗号化実装にミスがあったケースでは、セキュリティ研究者が無料の復号ツールを公開していることがあります。「No More Ransom」プロジェクトなどで復号ツールが提供されている場合があるため、復号ツール活用ガイドを確認することをお勧めします。
- Q: 身代金はいくら要求されることが多いですか?
- A: 要求額は被害者によって大きく異なります。個人を狙ったランサムウェアでは数万円から数十万円程度が一般的です。一方、企業を狙った標的型攻撃では、数百万円から数億円に及ぶこともあります。攻撃者は被害者の支払い能力を事前に調査し、「払える範囲で最大の金額」を設定する傾向があります。
- Q: なぜ身代金の支払いにビットコインが使われるのですか?
- A: ビットコインなどの暗号資産は、銀行口座のような本人確認が不要で、国境を越えた送金も容易です。また、取引の追跡は可能ですが、口座の持ち主を特定することは困難です。これらの特性が、犯罪者にとって都合が良いため、身代金の支払い手段として悪用されています。
- Q: セキュリティソフトを入れていれば暗号化を防げますか?
- A: セキュリティソフトは重要な防御手段ですが、それだけでランサムウェアを完全に防ぐことは難しくなっています。最新のランサムウェアは、従来のセキュリティソフトをすり抜ける技術を持っていることが多いためです。セキュリティソフトに加え、OSやソフトウェアの更新、バックアップ、従業員教育など、複数の対策を組み合わせる「多層防御」が推奨されています。詳しくは対策完全ガイドをご覧ください。
関連ページへの導線
【もっと詳しく知りたい方へ】
- ランサムウェアの全体像を学ぶ → ランサムウェアとは?(総合ガイド)
- 感染経路を知る → 感染経路7選
- 対策を始める → 対策完全ガイド
- 他のマルウェアとの違いを理解する → マルウェアとの違い
ランサムウェアの基礎を学ぶ
対策を始める
免責事項
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- セキュリティ対策の導入は、専門家やベンダーと相談の上ご判断ください
- 記載内容は作成時点の情報であり、攻撃手口は日々進化しています
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
