国内におけるランサムウエア(身代金要求型ウイルス)被害が相次ぐなか、被害者救済に明るい兆しが見えてきた。警察庁がランサムウエアによって暗号化されたデータの復旧に成功したというのだ。日本経済新聞社の報道によれば、ランサムウエアの一種「LockBit(ロックビット)」の被害に遭った3社で、警察庁が暗号化されたデータを元の状態に戻すことに成功したという。
警察庁サイバー捜査課は報道内容に関する日経クロステックの取材に対して2023年1月、ランサムウエア被害組織のサイバー特別捜査隊による捜査の過程でデータの復旧に複数件成功したことを明らかにした。サイバー特別捜査隊は2022年4月に発足した、重大なサイバー攻撃への対処を担う国の捜査機関だ。
ただ、多くのランサムウエアはインターネット通信の暗号化に使うTLS/SSLで採用されるAESなど、高度な暗号化技術を利用している。暗号化を解除する鍵(復号鍵)をコンピューターによる計算で求めるのは、現実的な時間内には不可能だ。警察庁はいったいどんな方法で復旧したのだろうか。今後、被害に遭った組織はどのように対処すればデータを復旧できる可能性が高まるのか。専門家の意見を聞いた。
データを復旧できる5つのケース
警察庁はデータの復旧方法について、「捜査に関わることから具体的な回答は差し控える」とした。そこで、ランサムウエアを含むマルウエアに詳しい三井物産セキュアディレクションの吉川孝志上級マルウェア解析技術者に、ランサムウエアによって暗号化されたデータを身代金を支払わずに復旧できるかどうかを尋ねた。
吉川上級マルウェア解析技術者は、身代金を支払わずに復旧できるケースがあるという。(1)復号鍵の入手、(2)ランサムウエアの脆弱性を突く、(3)メモリーフォレンジック、(4)ディスクフォレンジック、(5)復号鍵を総当たりで試す――の5つに分類できる。(1)(3)(5)は復号鍵を使ってファイルを復号し、(2)(4)は復号鍵を使わずにファイルを復元する。ただし、(4)や(5)は現在ではあまり使われていない古いランサムウエアなどが該当し、適用できるケースが少ない。
5つの中で最も多く適用できるケースが(1)だという。攻撃者のサーバーをハッキングしたり、ランサムウエアを解析したりすることで復号鍵を得られることがある。復号鍵を得られれば、データを復旧できる。ランサムウエアの中には、攻撃者や開発者が鍵を公開するケースもある。
