パソコンの画面にホラー映画「SAW」に登場する人形と赤いカウントダウンが表示される場面は、多くの人にとって強い不安や混乱を引き起こします。視覚的な恐怖と時間的な制限を利用するこの手口は、Jigsaw(ジグソウ)ランサムウェアによって仕掛けられたものです。
Jigsawランサムウェアは、ファイルを暗号化するだけでなく、支払いがない場合に一定時間ごとにファイルを削除していくという特徴を備えています。現在も多くの亜種が存在していますが、大規模な感染は他のランサムウェアへと移行しつつあり、復号ツールの公開やバックアップ運用の徹底により、被害の軽減も可能です。
本記事では、Jigsawランサムウェアの代表的な手口や感染時の挙動、無料復号ツールの種類と使い方について、わかりやすく解説します。
>>ランサムウェア感染時のおすすめ調査会社と選び方のポイントを解説
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
Jigsawランサムウェアとは
Jigsawは2016年ごろから確認されており、複数の亜種が存在します。感染すると、ホラー映画「SAW」に登場する人形「ビリー」の画像と赤いカウントダウンが表示される点が特徴です。次に挙げるような機能が、代表的な特徴として知られています。
人形画像とカウントダウンによる心理的な圧力
感染が成立すると、画面上に映画「SAW」の人形とともに、赤いカウントダウンタイマーが表示されます。「24時間以内に150ドル相当のビットコインを支払わなければ、ファイルを削除する」といった脅迫文が表示され、1時間ごとに時間が進行します。
「Jigsawランサムウェアの脅迫画面」画像出典:PCrisk
多様な拡張子を使ったファイル暗号化
暗号化されたファイルには、バージョンごとに異なる拡張子が付与されます。代表的な例として、.fun、.locked、.paytounlock、.btc などが知られています。ファイル名の本体は変更されず、拡張子だけが追加される形式が一般的です。
「実際に暗号化されたファイルの例」画像出典:PCrisk
一定時間ごとのファイル削除
Jigsawでは、感染後に毎時1ファイルずつ削除が始まり、時間が経過するごとに削除数が増加します。支払いがない場合、最長72時間で全ファイルが削除されるとされており、段階的に被害が拡大していく設計です。
再起動や終了操作による報復削除
Jigsawには監視機能も実装されており、ユーザーが再起動やタスクの強制終了などを行うと、報復として追加のファイル(例:1000件以上)が即座に削除される仕様になっているケースも確認されています。
出典:PCrisk
Jigsawランサムウェアに感染した可能性がある場合、自力での対応には限界があります。感染経路の特定や影響範囲の把握には、専門的な知識とツールが求められます。感染拡大を防ぎ、業務への影響を最小限にとどめるためにも、フォレンジック調査に対応した専門会社への相談が推奨されます。
Jigsawランサムウェアの感染手口
Jigsawランサムウェアは、メール添付のファイルや不正リンク、改ざんされたソフトウェアなどを経由して端末に侵入します。次に挙げるのは、主な感染経路と拡散手法です。
>>ランサムウェアの感染経路とは? 最新の傾向と防止対策を解説
マクロ付き添付ファイルや誘導リンク
メールに添付されたWordやExcelファイルに仕込まれたマクロや、本文内に記載された不正なURLから感染が始まるケースが多く見られます。ダウンロードされたマルウェアは、ユーザーの意図とは無関係に実行されます。
偽装されたソフトウェアやアップデート
無料ソフトウェアや動画再生ツールのふりをした偽アプリ、またはブラウザの更新を装う通知などにより、ランサムウェア本体がダウンロードされる場合もあります。これらは「トロイの木馬型」と呼ばれる侵入手法の一種です。
常駐プロセスによる削除監視
起動後は「Firefox.exe」や「drpbx.exe」など、正規ソフトに似た名前でバックグラウンドに常駐します。カウントダウンやファイル削除を実行しながら、再起動やプロセスの強制終了が行われた場合には、大量のファイルを削除する設計も確認されています。
Jigsawランサムウェアの被害を解明するフォレンジック調査の必要性
Jigsawランサムウェア被害からの復旧は、バックアップによるデータ復元だけでは不十分です。「なぜ・どこから・どのように侵入されたのか」という根本原因を明らかにしなければ、再発のリスクを抱えたままとなります。その原因究明と対策立案に不可欠なのが、フォレンジック調査です。
フォレンジック調査でわかること
フォレンジック調査とは、システムや端末に残された操作記録・ログ・通信履歴などの客観的な証拠を収集・解析し、攻撃の全体像を明らかにする専門的な調査です。
フォレンジック調査では、Jigsawによって暗号化や削除が行われたシステムを対象に、操作履歴や通信ログを解析し、被害の経緯を科学的に特定します。これにより、攻撃の開始地点や被害範囲、データ消失の原因を客観的に明らかにできます。
>>【解説】フォレンジック調査とは?調査の流れや専門会社を紹介
Jigsawランサムウェアのように、削除動作やタイマーを伴うタイプでは、次のような調査が有効です。
- 侵入経路の特定:感染の起点となったメール、偽サイト、ソフトウェア更新などを解析し、端末への侵入経路を明確にします。
- 暗号化・削除の発生源解析:どのプロセスがファイル操作を行ったかを特定し、暗号化や削除の実行タイミングを再現します。
- 影響範囲の確認:暗号化や削除が発生したファイル、フォルダ、外部ストレージの範囲を洗い出し、復旧可能性を評価します。
- 残存マルウェアの検証:Jigsaw以外の不正プログラムやバックドアが残っていないかを調査します。
- 法的証拠の保全:通信履歴や操作ログを改ざんされない形式で保存し、警察や監督官庁への報告資料として活用します。
上記情報は、原因説明や再発防止策の策定、顧客や監督機関への報告に必要不可欠です。
>>おすすめのフォレンジック調査会社一覧|選び方・依頼の流れを解説
自力調査が招く「証拠汚染」のリスク
ランサムウェア被害が発生した環境は、法的には「サイバー事件現場」にあたります。社内担当者が善意で実施する再起動やウイルススキャン、不要ファイル削除といった操作が、証拠データの上書きや削除を引き起こすおそれがあります。
証拠が損なわれると、感染経路の特定や被害範囲の裏付けが不可能になり、警察の捜査や損害賠償の立証にも支障が出ます。初期対応では、電源の強制遮断やスキャン実行を避け、専門調査会社に相談することが推奨されます。
>>フォレンジック調査会社の選び方|費用・期間・おすすめ企業を解説
Jigsawのようにファイルを削除するタイプのランサムウェアでは、初期の対応遅れが被害拡大につながります。調査を迅速に実施するためにも、感染が疑われる段階でフォレンジック専門会社へ相談することが重要です。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | マルウェア・ランサムウェア感染調査、情報漏洩調査、ハッキング・不正アクセス調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
Jigsawランサムウェアの無料復号ツールと使い方
Jigsawランサムウェアは比較的古いランサムウェアであるため、セキュリティ企業から無料の復号ツールがすでに公開されています。適切な手順を踏めば、自力でファイルを取り戻せる可能性があります。
ただし、復号ツールを使う前に「削除処理を止める」必要があるため、復号作業の前にJigsaw本体の停止が最重要ステップとなります。
Avast Jigsaw Decryptor
Avast公式サイトにて、Jigsaw向けの無料復号ツールが提供されています。最新版に対応していない場合もあるため、バージョンが古い場合に特に有効です。
主な機能:暗号化ファイルのスキャン → 自動復号
対応拡張子:.fun / .paytounlock / .locked など、Jigsaw既知の拡張子
入手先: https://www.avast.com/ransomware-decryption-tools
Emsisoft Jigsaw Decrypter
もう一つの有力なツールが、Emsisoft社によるJigsaw復号ツールです。GUIがシンプルで使いやすく、複数ファイルをまとめて復元できます。
主な機能:復号対象フォルダを指定して一括処理
対応拡張子:ほぼすべてのJigsaw亜種(例:.pablukCRYPT, .F*CKMEDADDY など)
入手先: https://www.emsisoft.com/ransomware-decryption-tools/
使う前に必要な準備(プロセス停止)
Jigsawランサムウェアは感染後、「Firefox.exe」や「drpbx.exe」などの名前で常駐しています。このプロセスを停止せずに復号ツールを実行すると、復号中にファイルが削除される恐れがあるため、必ず以下の手順を行ってください。
復号ツール使用前の手順
- Ctrl + Shift + Esc で「タスクマネージャー」を開く
- 「Firefox」「drpbx」など怪しいプロセスを右クリック → 「タスクの終了」
- 「スタートアップ」タブで該当プロセスがあれば「無効化」
- すべてのUSB・外部HDDなど外部ストレージを一時的に取り外す
- 上記完了後、復号ツールを起動
出典:PCrisk
なお、復号ツールを使用しても復元できない場合は、暗号化アルゴリズムや亜種によっては対応外の可能性もあります。その際は、フォレンジック調査会社への相談が推奨されます。
復号ツールの使用が難しい場合や、削除されたファイルの影響範囲を正確に把握したい場合には、専門業者によるフォレンジック調査が有効です。感染状況を客観的に確認し、今後の再発防止や報告義務への対応につなげるためにも、早めの相談が推奨されます。