近年、従来のマルウェアとは異なる形でシステムを暗号化する「BitLocker悪用型ランサム攻撃」が報告されるようになりました。新たなウイルスではなく、Windowsに標準搭載されている正規機能「BitLocker」を、攻撃者が不正に利用してドライブ全体をロックする手口です。
このような攻撃は、「Living off the Land(LotL)」型とも呼ばれ、OSに備わる正規ツールのみを用いるため、アンチウイルスでは検知が困難です。侵入後に明確な脅迫文や警告画面が表示されないケースもあり、気づいたときにはすでにシステムが起動不能になっていることもあります。
本記事では、BitLockerの正体とその悪用手口、新型の「ShrinkLocker」攻撃の詳細、そして被害が発生した際の適切な対処フローや調査の必要性について解説します。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
BitLockerを悪用したランサム攻撃の正体
BitLockerは、Windowsに標準搭載されている「ドライブ全体の暗号化機能」です。本来は端末の盗難や紛失による情報漏えいを防ぐための正当なセキュリティ機能として、多くの企業や組織で活用されています。
しかしBitLockerを、悪意ある攻撃者が管理者権限で不正に操作することで、正規ユーザーが解除できない形で暗号化を行い、システムを使用不能にしてしまう事例が発生しています。
このような手口は「BitLockerランサムウェア」と便宜的に呼ばれることがありますが、実際にはBitLocker自体はマルウェアではなく、「正規機能の悪用」によって成立するランサム攻撃の一種です。
BitLockerを悪用した攻撃の手口
BitLockerを悪用した攻撃では、一般的なマルウェアのようにウイルスファイルを感染させるのではなく、OSに標準で搭載されたBitLockerの機能をスクリプトなどで不正に制御します。「Living off the Land(LotL)」型の手法では、正規のツールのみが使われるため、アンチウイルスなどでは検知が難しく、気づきにくいという特徴があります。
管理者権限の奪取
最初に、攻撃者は内部不正・脆弱性の悪用・フィッシングメールなどを通じて、Windows端末の管理者権限を取得します。BitLockerの設定変更や起動構成の編集には管理者権限が必要なため、これは攻撃の前提条件となります。
BitLockerの強制有効化
続いて、攻撃者はスクリプト(VBScriptやPowerShell)を通じて、BitLockerのドライブ暗号化を手動で有効化します。これにより、ユーザーのファイルやOS領域が暗号化され、ログインやファイルアクセスが不可能となる“ロックダウン”状態が作られます。
回復プロテクターの削除と奪取
BitLockerには複数の回復手段(プロテクター)が設定できますが、攻撃者は既存のTPM・PIN・パスワード・回復キーをすべて削除した上で、自分が設定した新たなプロテクター(例:回復パスワード)だけを残し、それを外部へ送信します。これにより、正規ユーザーは一切の復旧手段を失います。
起動ブート構成の変更と再起動
さらに、攻撃者は「BCDEdit」コマンドを用いてWindowsのブート構成を再インストールし、新たに作成したパーティションを起動ドライブに指定します。その後、強制的に再起動をかけることで、ユーザーは起動時にBitLockerの回復キー入力を求められる画面しか表示されなくなります。
身代金要求の非通知型表示
ShrinkLockerなどの攻撃では、従来のようなランサムノート(脅迫文)のポップアップや壁紙の変更は行われません。その代わり、ドライブラベルや新しいブートパーティション名に、攻撃者のメールアドレス(例:onboardingbinder@proton[.]me)を埋め込み、そこへ連絡すれば復号方法を教える、という形式を取ります。通常の起動状態ではこの情報は見えないため、いわば“非通知型の身代金要求”として機能します。
ShrinkLocker:BitLockerを悪用した高度な攻撃例
2024年に報告された「ShrinkLocker」は、BitLockerを悪用した攻撃の中でも特に高度かつ悪質な事例です。Kasperskyの分析によれば、この攻撃はスクリプトベースで実行され、通常のウイルス検知をすり抜ける「LotL(Living off the Land)」型攻撃に分類されます。
ShrinkLockerの特徴は以下の通りです。
- 使用言語:VBScript(OSやドメイン環境を自動判別)
- 環境対応:Vista以降のWindowsに自動対応
- パーティションの操作:非ブート領域を縮小・分割し、独自の起動領域を作成
- BitLocker強制設定:BCDEditを用いてブート構成を変更、BitLocker有効化
- 復旧不能化:TPM、PIN、パスワード、USBキー、回復キーなどすべてのBitLockerプロテクターを削除し、正規ユーザーの復旧手段を完全に遮断
- 外部通信:TryCloudflareを使って暗号キーを外部に送信
- 連絡手段:ドライブラベルにプロトンメールアドレスなどを記載(例:onboardingbinder@proton[.]me)
ShrinkLockerは、従来のような復号メモや壁紙変更による明示的な脅迫ではなく、ブートパーティションのラベルに連絡用メールアドレス(例:onboardingbinder@proton[.]me)を埋め込む形式で連絡手段を残します。ただしこのラベルは通常の起動中には表示されず、リカバリーモードや特殊なツールでないと確認できないため、実質的に“非通知型”のランサム攻撃となっています。
Bitdefenderによる復号ツールの登場
2024年11月、BitdefenderはShrinkLockerによってBitLocker暗号化されたシステムに対応する無償復号ツール「BDShrinkLockerUnlocker.exe」を公開しました。このツールは、BitLockerプロテクター(TPM、PIN、パスワード、回復キーなど)が削除された直後の短時間に限り、メモリや一時領域に残存する情報から復号パスワードを抽出できます。
復号には、対象端末がまだ起動状態にあり、電源断や再起動が行われていないことが前提です。Bitdefenderは、電源投入後にBitLocker回復画面からコマンドラインを起動し、USB上のツールを手動実行することで復旧できる可能性があるとしています。
- 復号ツールはコマンドライン形式でUSBから起動可能
- 復号成功後はドライブのロックが解除され、スマートカード認証が無効化
- 対応環境:Windows 10 / Windows 11 / Windows Server(最新)
- 対応条件:プロテクター削除直後、かつ再起動・電源断前であること
ただし本ツールは、ShrinkLockerの特定バージョンにのみ対応しており、他のBitLocker悪用型ランサムウェアや改変された亜種には対応していません。確実な復号を狙うには、感染直後の慎重な初動対応と、専門機関による診断が推奨されます。
BitLocker悪用型攻撃による被害リスク
BitLockerのような正規機能を悪用する攻撃は、一般的なマルウェアと異なり、異常として検知されにくいため、初動対応が遅れるケースも少なくありません。しかし、その被害は技術的・業務的・法的に深刻な影響を及ぼします。
- 業務停止:再起動時に回復キーが求められ、業務再開不可となる
- 情報消失:顧客データ・契約文書・機密資料が暗号化され閲覧不能
- 信用失墜:身代金交渉やリークによる風評リスク、顧客離脱
- 法的責任:個人情報が含まれていた場合は、報告義務や制裁対象にも
さらに、ローカル管理者権限の過剰付与やアクセス制御の不備がある環境では、攻撃の成功率が高まります。被害を最小限に抑えるためには、技術的対策だけでなく、運用体制や権限設計の見直しも不可欠です。
BitLockerの不正暗号化が疑われる場合の初動対応
BitLockerの正規機能を悪用した暗号化が疑われる場合は、ウイルス駆除ソフトの実行や不用意な再起動の前に、以下の初動対応を優先してください。誤った操作によって重要な証拠が失われるリスクがあります。
ネットワークからの隔離
他端末への横展開やスクリプトの拡散を防ぐため、まずは対象端末をネットワークから物理的・論理的に切断してください。
- 有線LANの場合: LANケーブルを抜く
- Wi-Fiの場合: Wi-Fi機能をオフにする
PowerShellやVBScriptなどが仕込まれていた場合でも、外部サーバーへの接続や他端末への展開を抑制できます。
証拠データの保全
BitLockerの実行タイミングや操作内容を把握するには、暗号化に至るまでの操作記録を適切に保全する必要があります。以下の点に留意してください。
- 電源は切らず、状態を維持する(メモリ・ログ保持)
- 回復画面やドライブ名の表示をスクリーンショットで保存
- Windowsのイベントログや実行プロセスの記録を控える
外部専門機関への相談
BitLockerを利用した攻撃では、操作履歴やスクリプトの痕跡が残るため、フォレンジック調査によって実行者や暗号化の経路を特定できる可能性があります。自社内での対応にこだわらず、早期に専門業者へ相談することが重要です。
- 契約しているセキュリティベンダーやIT保守会社
- フォレンジック調査の専門企業
- 管轄の都道府県警察のサイバー犯罪相談窓口
- 独立行政法人情報処理推進機構(IPA)
BitLockerのように正規機能を悪用された攻撃では、OSや管理ツール上に残された「操作ログ・イベントログ・スクリプト実行履歴」などが、後の調査・説明責任・法的対処において極めて重要な証拠となります。誤って削除・上書きされる前に、フォレンジック専門業者へ相談することを強く推奨します。
BitLocker悪用型攻撃におけるフォレンジック調査の役割と必要性
BitLockerの正規機能を悪用した攻撃では、たとえバックアップで復旧できたとしても、「なぜ暗号化されたのか」「誰が実行したのか」「どの端末・データが対象だったのか」を明確にしなければ、再発防止や法的責任への対応は困難です。全体像を客観的に明らかにするために必要となるのが、フォレンジック調査です。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
フォレンジック調査でわかること
フォレンジック調査とは、システムや端末に残された操作記録・ログ・通信履歴などの客観的な証拠を収集・解析し、攻撃の全体像を明らかにする専門的な調査です。
- 実行者の特定: ローカル・リモートでBitLockerを操作したユーザーや端末の追跡
- 被害範囲の把握: 暗号化対象となったドライブやファイル、関連端末の特定
- 情報漏えいの有無: 外部サーバーへの送信履歴やC2通信の確認
- スクリプト実行の痕跡: VBScriptやPowerShellによる自動化処理の履歴
- 設定変更の記録: プロテクターの削除やレジストリ操作の詳細ログ
- 証拠の法的保全: 訴訟対応・警察への提出に耐えうる第三者性ある証拠確保
上記情報は、再発防止策の立案・取引先や顧客への説明・法務対策に不可欠です。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
自力調査が招く「証拠汚染」のリスク
BitLockerによる不正暗号化は、見た目には通常のWindows動作と変わらないケースもあり、IT部門が善意で「再起動」や「設定変更」「スキャン実行」などを行ってしまうケースが少なくありません。しかし、こうした対応が調査に必要なログやタイムスタンプを上書きしてしまい、証拠としての価値を失わせるリスクがあります。
たとえば以下のような操作が、調査を困難にします。
- 不用意な再起動、BIOS初期化
- BitLockerの設定変更・解除・再有効化
- ログ削除、イベントビューアー操作
- ウイルススキャン・ツールによる自動修復
これらの操作が行われると、実行時刻やユーザー識別情報が消失し、証拠としての信頼性が著しく損なわれる可能性があります。結果として、警察の捜査や損害賠償請求、社内調査が困難となるケースも報告されています。
不審な挙動やBitLockerの誤動作が確認された段階で、サイバーセキュリティの専門業者への相談を強く推奨します。専門調査機関では、BitLockerの設定変更やスクリプト実行の履歴、暗号化対象・加害者端末の特定などを高精度で調査可能です。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
「実績の数」「セキュリティの高さ」「技術力の高さ」「データ復旧技術の有無」の観点から、おすすめの調査業者は「デジタルデータフォレンジック」です。
こちらの業者は、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼でき、法人様は最短30分でWeb面談可能、といったスピード対応も行っています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,000件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社なため、官公庁や大手企業からの依頼実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ランサムウェア調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
↓調査項目・プラン・料金などは公式サイトへ↓
BitLockerを悪用した攻撃への主な対策
以下は、BitLockerの不正利用や暗号化被害を未然に防ぐために有効とされる主な対策です。企業環境でのセキュリティ強化や初期対応体制の構築にお役立てください。
BitLockerの設定監視を強化する
BitLockerの有効化や回復キー削除などの操作は、イベントログやSysmonで検出可能です。「Microsoft-Windows-BitLocker-API/Management」などのイベントログをSIEMと連携させ、異常操作のリアルタイム監視・通知体制を構築することが重要です。
回復キーを安全に保管・管理する
回復キーが失われた場合、暗号化された端末の復旧は極めて困難になります。Active Directory(AD DS)への自動登録、またはM365/Azure ADによるクラウドベースのバックアップ、加えて物理的なオフライン保管の併用が推奨されます。
スクリプト実行を制限する
ShrinkLockerのようにVBScriptやPowerShellを悪用する攻撃に備えるため、AppLockerやWindows Defender Application Control(WDAC)を利用し、信頼されたスクリプト以外の実行をブロックしましょう。EDR製品による振る舞い検知も有効です。
管理権限を最小限にする
BitLockerの有効化・設定変更には管理者権限が必要です。ローカル管理者権限の乱用を防ぐため、端末ごとの役割に応じた最小権限ポリシーを導入し、不要なアカウントは速やかに無効化・削除することが基本となります。
オフラインバックアップを確保する
万が一の暗号化に備え、ネットワークから隔離された状態でのバックアップ(オフサイト保管やWORMストレージなど)を確保しておくことが重要です。定期的な復元テストにより、バックアップの信頼性も確認しておきましょう。
Device Guard / Credential Guardの活用
Windows Enterprise以上の環境では、Device Guardによってホワイトリスト以外のバイナリやスクリプト実行を防ぎ、Credential Guardによって認証情報の窃取や権限昇格を防止できます。LotL攻撃やADドメイン乗っ取りに対しても有効な対策です。
なお、暗号化の被害が既に発生している場合や、BitLockerの操作履歴が不明な状態となっている場合には、フォレンジック調査によって被害範囲と原因を明確にすることが確実な対応策となります。