BitLockerを悪用するランサムウェアの防止方法

BitLockerは、MicrosoftがWindows Vista以降に搭載しているディスク暗号化機能です。AES暗号化（128／256ビット）とTPMチップを組み合わせることで、PCの紛失・盗難時のデータ漏洩を防ぎます。

正規ユーザーは普段通り利用できる一方、回復キー（48桁）がなければ暗号化ドライブへのアクセスは不可能です。

ただし、本来はデータ保護のために設計されたBitLockerが、近年ランサムウェア攻撃の道具として転用されるケースが急増しています。正規のWindowsツールであるため、セキュリティソフトに検知されにくいという点が、攻撃者にとって大きな利点となっています。

ランサムウェアがBitLockerを悪用する手口

BitLockerを悪用するランサムウェアは、従来型とは異なるアプローチで被害を拡大させます。

まずフィッシングメールやVPNの脆弱性、RDPへの不正アクセスでネットワークに侵入し、管理者権限を取得した後、複数端末へ感染を広げます。

次にPowerShellなどを使いBitLockerをリモートで強制有効化し、回復キーを攻撃者のサーバーに送信することで、被害者を自分のドライブから締め出します。

最後にPCを再起動してアクセスを完全に遮断し、画面に身代金メモを表示して復号キーと引き換えに金銭を要求します。

代表的な攻撃グループとしては「ShrinkLocker」が知られており、Windowsの管理スクリプト（VBScript）を活用してBitLockerを悪用し、世界中の企業・医療機関・政府機関を標的にした攻撃が確認されています。

BitLocker悪用型ランサムウェアの被害の特徴

最大の特徴は、回復キーなしではデータ復旧がほぼ不可能な点です。

従来型であればセキュリティ研究者が復号ツールを公開するケースもありましたが、BitLockerの堅牢な暗号化に対しては総当たり攻撃も現実的ではありません。

攻撃対象は個人よりも企業・医療機関・公共機関が中心です。

Windows端末が多数存在して大規模な暗号化が容易なうえ、業務停止による損害が大きいため身代金を支払いやすく、Active Directory環境を通じた横展開も狙いやすいためです。

さらに近年は、データロックに加えて機密情報を窃取する二重脅迫が増加しています。

身代金未払いの場合はダークウェブでデータを公開すると脅すことで、被害者への圧力をさらに強めています。

BitLockerを悪用するランサムウェアの防止策

1.BitLockerの設定と回復キーを適切に管理する

BitLockerを使用している場合、回復キーをActive DirectoryまたはAzure ADに安全に保管することが重要です。攻撃者に回復キーを奪われないよう、以下の点を確認してください。

• 回復キーのバックアップ先を定期的に確認する
• 不審なBitLocker有効化操作をログで監視する
• グループポリシーでBitLockerの設定変更を制限する

2.多要素認証（MFA）の導入

RDPやVPNへの不正アクセスを防ぐために、すべての管理者アカウントにMFAを必須化します。パスワードだけの認証では、クレデンシャルスタッフィング攻撃に対して無力です。

3.定期的なバックアップの実施（3-2-1ルール）

ランサムウェア対策の基本は、3-2-1ルールに基づくバックアップ体制の構築です。

3つのコピーを、2種類の異なるメディアに保存し、そのうち1つはオフライン環境に保管します。

ネットワークに接続されていないオフラインバックアップは、攻撃者がアクセスできないため、BitLocker悪用型ランサムウェアに対しても有効な防御手段となります。

こうした運用を効率よく実現するツールとして、AOMEI Backupper Professionalの導入をおすすめします。スケジュールによる自動バックアップに対応しており、3-2-1ルールの運用を無理なく継続できます。

さらにランサムウェア保護機能によりバックアップファイルへの不正な改ざんや暗号化をブロックし、バックアップデータ自体の暗号化機能も備えているため、万が一ファイルが盗まれた場合でも情報漏洩を防ぐことができます。

AOMEI Backupper

高性能ランサムウェア対策付きバックアップソフト

• 万全のデータ保護：システム・ディスク・パーティション・ファイルをバックアップし、システム障害やハードウェア故障、誤削除によるデータ損失を防ぎます。
• バックアップの改ざん防止：攻撃時でもバックアップファイルがロック・暗号化・削除されないよう保護し、バックアップデータの安全性を確保します。
• バックアップの暗号化：パスワードでバックアップイメージを保護し、不正アクセスや情報漏えいを防止します。
• スマート＆自動バックアップ：日次・週次・月次・イベントトリガー・USB接続時など、柔軟にスケジュール設定が可能。増分／差分バックアップで時間とストレージを節約できます。
• 迅速なシステム復旧：PCを正常な状態へ素早く復元できるため、システム停止時間を最小限に抑えられます。

無料ダウンロード Windows 11/10/8.1/8/7

100%安全

バックアップ手順：

AOMEI Backupper Professionalを起動 → 「バックアップ」 → バックアップ方式を選択 → バックアップ種類を選択 → 保存先を指定 → 「オプション」（バックアップの暗号化はここ）「バックアップスキーム」「スケジュール」でバックアップをカスタマイズ → 「開始」

ランサムウェア保護の有効化手順：

「ツール」 → 「ランサムウェア保護」 → 「ランサムウェア対策を有効にする」 → ニーズに応じて保護対象を設定（デフォルトでバックアップデータが保護対象に含まれています） → 「はい」

4.エンドポイントセキュリティとログ監視の強化

• EDR（Endpoint Detection and Response）ツールを導入し、異常な管理者権限の操作やBitLocker関連のコマンド実行を検知する
• PowerShellやWMIの不審な実行をリアルタイムで監視する
• SIEMを活用して、複数端末にわたる異常な動作パターンを検出する

5.最小権限の原則とネットワーク分離

• 一般ユーザーにBitLockerの設定変更権限を付与しない
• 重要なシステムはネットワークセグメントを分離し、横展開を防ぐ
• ゼロトラストアーキテクチャの考え方を導入し、「信頼しない、常に検証する」を徹底する

まとめ

BitLockerを悪用するランサムウェアは、正規のWindowsツールを武器に変えるため検知が難しく、一度被害に遭うと復旧はほぼ不可能です。回復キーの安全な管理、MFAの導入、オフラインバックアップ、EDRによる監視、最小権限の徹底という5つの対策を柱に、多層的な防御体制を構築することが重要です。