BuLock(ブロック)ランサムウェアは、MedusaLockerファミリーに属する新種の暗号型ウイルスです。感染すると、ファイルの末尾に「.bulock16」などの拡張子が付加され、ファイルを開けなくなります。
また、ファイルの復号と引き換えに暗号資産による支払いを要求する典型的なランサムウェアですが、近年問題視されている「二重脅迫型」の特徴も持っています。
本記事では、BuLock(.bulock16)ランサムウェアの特徴や対処法を解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
BuLock(.bulock16)ランサムウェアとは
BuLock(.bulock16)ランサムウェアは、研究者がVirusTotalへの新規ファイル提出を調査中に発見されたもので、MedusaLockerファミリーに属する暗号型マルウェアです。例として「1.jpg」は「1.jpg.bulock16」、「2.png」は「2.png.bulock16」に変わります。この拡張子の数字は、亜種によって異なる場合があります。
>>Medusaランサムウェアとは?急増するRaaS型攻撃の実態
暗号化が完了すると、「HOW_TO_BACK_FILES.html」というランサムノートが生成されます。ノートには、企業ネットワークが侵害され、ファイルがAESおよびRSAの暗号化アルゴリズムで暗号化されたこと、ファイル名の変更やサードパーティ復号ツールの使用はデータを壊す可能性があることが記載されています。
さらに、攻撃者はネットワークから機密データが窃取されたと警告し、支払いを拒否すれば盗まれた内容を公開または販売すると脅します。連絡が72時間以内に行われない場合、要求される身代金は増額されます。
出典:PCrisk
BuLock(.bulock16)ランサムウェアの特徴
BuLock(.bulock16)は高度な暗号化手法と情報窃取機能を併せ持つランサムウェアです。以下に、特に注意すべき4つの特徴を簡潔にまとめます。
.bulock16拡張子が付く暗号化ファイル
感染すると、すべてのファイルに独自の拡張子(例:.bulock16)が付加され、開くことができなくなります。拡張子の数字は亜種によって変化することがあります。
「実際に暗号化されたファイル」画像出典:PCrisk
ランサムノート「HOW_TO_BACK_FILES.html」が作成される
このファイルは、攻撃者の要求や連絡先が書かれたHTML形式のメッセージです。ランサムノートには「AES+RSAで暗号化した」「外部ツールでの復旧は不可能」「連絡しなければ金額が上がる」といった脅迫文が記載され、被害者にメールでの連絡を強要します。
以下は実際のランサムノートの内容です。
ファイルはRSA+AESで暗号化されたため、復号ツールなしでは開けない。72時間以内に連絡がないと、要求金額が増加する、希望者には、2〜3ファイルの無料復号を提供する。
「実際のランサムノート」画像出典:PCrisk
情報漏えいによる二重脅迫型
BuLock(.bulock16)は暗号化だけでなく、ネットワーク上のデータを盗み出し、支払いに応じなければ公開すると脅します。これにより、個人情報保護法違反や顧客通知、報道対応など、深刻な二次被害につながります。
>>個人情報漏洩の対策とは?2024年の法改正を踏まえて紹介
>>情報漏えいが発生した企業には損害賠償責任が発生する?法人の対応方法も解説
無料復号サンプルと復号ツールの不存在
攻撃者は被害者を信用させるために「2〜3ファイルを無料で復号する」と提示します。しかしこれは支払いを誘導するための演出であり、全データが戻る保証は一切ありません。
さらに、セキュリティ研究者の分析によれば、現時点でBuLock専用の公式復号ツールは存在していません。AES+RSA暗号の特性上、攻撃者の秘密鍵がなければ第三者による復号は不可能です。実際には、身代金を支払っても復号ツールが提供されなかったり、追加の金銭要求が続く事例も報告されています。
このように、BuLock(.bulock16)は単なるファイルロック型ではなく、情報漏えいや取引先・顧客への波及も含む極めて重大な攻撃です。
BuLock(.bulock16)ランサムウェアに感染した場合の対処法
BuLock(.bulock16)などのランサムウェアに感染した場合、感染を広げないための隔離対応と、証拠を残すための保全措置が最優先となります。特に法人においては、被害の全容解明や法的報告義務も発生するため、段階的かつ正確な初動対応が求められます。
以下は、感染時に取るべき代表的な対応手順です。
- ネットワークからの切断: 感染端末を社内ネットワークから隔離し、被害の拡大を防ぐ
- ログなどのデータを収集: 感染日時、ユーザー操作、通信履歴などを記録し保全
- 警察・関係機関への相談: 所轄のサイバー犯罪窓口やIPA等へ被害報告
- バックアップからのデータ復旧: 安全なバックアップを使用し、システムを初期化・復旧
- 専門調査会社への相談: 感染範囲・原因・証拠保全・報告書作成などを依頼
情報漏洩と個人情報保護法への対応
ランサムウェアは、近年「ファイル暗号化」に加え、情報窃取・リークサイトでの公開など、二重脅迫型の傾向も見られます。これにより、個人情報が外部に流出した可能性が高まります。
法人においては、2022年施行の改正個人情報保護法により、「漏えい等が発生した場合の報告義務・本人通知義務」が規定されています。感染時は速やかに、被害調査を実施し、報告対象か否かを判断する必要があります。詳細は以下の記事に参考ください。
被害調査とフォレンジック調査の重要性
ランサムウェア被害の対応では、単なる復旧(ファイル復元)だけでなく、なぜ侵入されたのか、どこまで被害が広がったのかを調査・説明する責任があります。これは社内説明、顧客・監督官庁への報告、訴訟対応のすべてに影響します。
そのため、デジタルフォレンジック調査によって「感染経路」「被害範囲」「漏洩の有無」「操作証拠」「内部不正の可能性」などを客観的に把握することが極めて重要です。また、調査会社は必要に応じて、法執行機関との連携・報告書の作成・再発防止策の策定支援などにも対応しており、内部リソースではカバーしきれない範囲を担ってくれます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
このような高度なサイバー攻撃には、社内リソースだけでは限界があります。 被害を最小限に抑えるためにも、信頼できる外部フォレンジック調査会社との連携を進めましょう。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
まとめ
BuLock(.bulock16)ランサムウェアは、ファイル暗号化に加えて情報窃取や公開脅迫を行う二重脅迫型の攻撃です。身代金を支払っても復旧できる保証はなく、むしろ被害が拡大する恐れがあります。
攻撃者の指示に従うことは極めて危険であり、被害を最小限に抑えるには専門調査会社に相談するのが最も確実です。また、今後の再発を防ぐためには、RDPやVPNの利用状況を見直し、EDR導入や社員へのフィッシング訓練、オフラインバックアップ体制の構築など、多層的な対策を講じておくことが重要です。