BitLockerはWindowsに標準搭載された暗号化機能ですが、近年この正規ツールを悪用したランサムウェア攻撃が急増しています。セキュリティソフトによる検知が難しく、被害に遭うとデータ復旧がほぼ不可能なため、事前の対策が不可欠です。本記事では、攻撃の手口から具体的な防止策まで詳しく解説します。
BitLockerは、MicrosoftがWindows Vista以降に搭載しているディスク暗号化機能です。AES暗号化(128/256ビット)とTPMチップを組み合わせることで、PCの紛失・盗難時のデータ漏洩を防ぎます。
正規ユーザーは普段通り利用できる一方、回復キー(48桁)がなければ暗号化ドライブへのアクセスは不可能です。
ただし、本来はデータ保護のために設計されたBitLockerが、近年ランサムウェア攻撃の道具として転用されるケースが急増しています。正規のWindowsツールであるため、セキュリティソフトに検知されにくいという点が、攻撃者にとって大きな利点となっています。
BitLockerを悪用するランサムウェアは、従来型とは異なるアプローチで被害を拡大させます。
まずフィッシングメールやVPNの脆弱性、RDPへの不正アクセスでネットワークに侵入し、管理者権限を取得した後、複数端末へ感染を広げます。
次にPowerShellなどを使いBitLockerをリモートで強制有効化し、回復キーを攻撃者のサーバーに送信することで、被害者を自分のドライブから締め出します。
最後にPCを再起動してアクセスを完全に遮断し、画面に身代金メモを表示して復号キーと引き換えに金銭を要求します。
代表的な攻撃グループとしては「ShrinkLocker」が知られており、Windowsの管理スクリプト(VBScript)を活用してBitLockerを悪用し、世界中の企業・医療機関・政府機関を標的にした攻撃が確認されています。
| 従来型 | BitLocker悪用型 | |
| 暗号化ツール | 独自の暗号化エンジン | WindowsのBitLocker(正規ツール) |
| セキュリティ検知 | 比較的検知されやすい | 検知が極めて困難 |
| 暗号化速度 | ファイル単位で処理 | ドライブ全体を高速処理 |
| 復旧難易度 | ツールで復号できる場合あり | 回復キーなしでは事実上不可能 |
最大の特徴は、回復キーなしではデータ復旧がほぼ不可能な点です。
従来型であればセキュリティ研究者が復号ツールを公開するケースもありましたが、BitLockerの堅牢な暗号化に対しては総当たり攻撃も現実的ではありません。
攻撃対象は個人よりも企業・医療機関・公共機関が中心です。
Windows端末が多数存在して大規模な暗号化が容易なうえ、業務停止による損害が大きいため身代金を支払いやすく、Active Directory環境を通じた横展開も狙いやすいためです。
さらに近年は、データロックに加えて機密情報を窃取する二重脅迫が増加しています。
身代金未払いの場合はダークウェブでデータを公開すると脅すことで、被害者への圧力をさらに強めています。
BitLockerを使用している場合、回復キーをActive DirectoryまたはAzure ADに安全に保管することが重要です。攻撃者に回復キーを奪われないよう、以下の点を確認してください。
RDPやVPNへの不正アクセスを防ぐために、すべての管理者アカウントにMFAを必須化します。パスワードだけの認証では、クレデンシャルスタッフィング攻撃に対して無力です。
ランサムウェア対策の基本は、3-2-1ルールに基づくバックアップ体制の構築です。
3つのコピーを、2種類の異なるメディアに保存し、そのうち1つはオフライン環境に保管します。
ネットワークに接続されていないオフラインバックアップは、攻撃者がアクセスできないため、BitLocker悪用型ランサムウェアに対しても有効な防御手段となります。
こうした運用を効率よく実現するツールとして、AOMEI Backupper Professionalの導入をおすすめします。スケジュールによる自動バックアップに対応しており、3-2-1ルールの運用を無理なく継続できます。
さらにランサムウェア保護機能によりバックアップファイルへの不正な改ざんや暗号化をブロックし、バックアップデータ自体の暗号化機能も備えているため、万が一ファイルが盗まれた場合でも情報漏洩を防ぐことができます。
バックアップ手順:
AOMEI Backupper Professionalを起動 → 「バックアップ」 → バックアップ方式を選択 → バックアップ種類を選択 → 保存先を指定 → 「オプション」(バックアップの暗号化はここ)「バックアップスキーム」「スケジュール」でバックアップをカスタマイズ → 「開始」
ランサムウェア保護の有効化手順:
「ツール」 → 「ランサムウェア保護」 → 「ランサムウェア対策を有効にする」 → ニーズに応じて保護対象を設定(デフォルトでバックアップデータが保護対象に含まれています) → 「はい」
個人向けとビジネス向けのプランを提供しています。詳しくはバージョン比較ページをご確認ください。
BitLockerを悪用するランサムウェアは、正規のWindowsツールを武器に変えるため検知が難しく、一度被害に遭うと復旧はほぼ不可能です。回復キーの安全な管理、MFAの導入、オフラインバックアップ、EDRによる監視、最小権限の徹底という5つの対策を柱に、多層的な防御体制を構築することが重要です。