2025年7月17日、警察庁は、「Phobos」および「8Base」ランサムウェアによって暗号化されたファイルに対応する復号ツールを公開しました。
企業・組織の情報システム担当者向けに、ツールの利用方法と注意点を以下に詳しく解説します。
目次
対象となる暗号化ファイルの特徴
この復号ツールは、以下のような特徴を持つ暗号化ファイルに対応しています。
ファイル名の形式
以下のような形式でリネームされているファイルが対象です:
主な拡張子の例
-
.phobos -
.8base -
.elbie -
.faust -
.LIZARD
※その他の拡張子でも、上記のファイル名規則に当てはまる場合は復号可能性があります。
注意事項
-
暗号化の過程でファイルが破損している場合、復号は不可能です。
-
復号ツールを使って得られたファイルについて、完全なデータ整合性は保証されません。
-
一部ウイルス対策ソフトが本ツールを誤検知する可能性があります。
復号の手順:6ステップで実行可能
Step1:復号ツールのダウンロードと起動
以下の警察庁Webサイトからツールをダウンロードします:
警察庁 サイバー警察局(外部サイト) →
「個別事案への対策」→「ランサムウェア被害防止対策」→「被害回復」
復号ツール名:Phdec_gui_v*.exe**
Step2:利用規約への同意
利用規約を読み、「同意する」ボタンをクリック。
※警告やパスワード入力が求められる場合は、画面の指示に従って操作してください。
Step3:復号対象のファイルまたはフォルダを指定
-
フォルダを復号する場合:「…フォルダ」ボタン、またはドラッグ&ドロップ
-
個別ファイルを復号する場合:「…ファイル」ボタン、またはドラッグ&ドロップ
Step4:出力先フォルダの指定
復号後のファイルを保存するフォルダを指定します。
Step5:復号の開始
「復号開始」ボタンをクリックして処理を開始します。
Step6:復号の完了
復号処理が終了すると「完了」と表示され、ファイルが指定したフォルダに保存されます。
復号結果のログ出力
復号処理の結果は以下の形式で保存されます:
-
output_{日時}.txt -
output_{日時}.csv -
error.log
CSVファイルの「decrypted」列には各ファイルの復号結果が記録されます:
| 値 | 意味 |
|---|---|
yes |
復号成功 |
no |
復号失敗(詳細はerror.logに記録) |
no_keys |
鍵情報が破損しているため復号不可 |
corrupted |
ファイル自体が破損しているか暗号化未完了 |
8Baseの概要
8Base(エイトベース)とは、2022年頃から活動が確認されているランサムウェアグループで、企業や自治体などを標的に「二重脅迫型攻撃(Double Extortion)」を仕掛けることを特徴としています。
このグループは、ファイルを暗号化するだけでなく、盗んだ情報をリークサイトに公開すると脅迫することで身代金を要求するという手口を用います。
2025年、ユーロポール、米国連邦捜査局、警察庁、バイエルン州警察、タイの法執行機関と連携しプーケットの4か所において「Operation PHOBOS AETOR」を実施。スイスおよび米国当局の国際協力のもと、ランサムウェア攻撃を行っていたとされる欧州出身の男女4人を逮捕しました。
彼らは、2023年4月30日から2024年10月26日の間に、スイス国内の17社に対して「Phobos」ランサムウェアを使用したサイバー攻撃を仕掛け、ネットワークへ不正アクセス、データ窃取、ファイル暗号化を実行。
被害者には仮想通貨での身代金を要求し、応じない場合は盗み出したデータを公開すると脅迫していました。
なお、この数時間後、8Baseのサイトが閉鎖され8Baseとフォボス・ランサムウェアのつながりを示唆されています。
8Baseがサイバー攻撃と不正アクセスを行った日本の事例
8Baseは日本でも活発にサイバー攻撃と不正アクセスを行っており、以下の企業への犯行声明を発表していました。
・イセトー
・太陽工業
・株式会社ISEKI Japan北海道カンパニー(旧:ヰセキ北海道)
一部参照
https://www.npa.go.jp/bureau/cyber/countermeasures/ransom/PhDec_GuideLine_ver1.0_JA.pdf








