ブログランキングに参加しています。よろしければ応援クリックお願いします。
1.カドカワ内部情報漏洩
6月28日、KADOKAWAは、6月8日からシステム障害が継続している中、傘下のドワンゴにおいてランサムウエア攻撃によって全従業員の個人情報が漏洩したと発表しましたた。
発表によると、流出した情報は次の通りです。
◆外部流出を確認した情報の種類(2024年6月28日時点)KADOKAWAは対策本部を立ち上げ事実確認などを進めている。2024年7月中には、外部専門機関の調査に基づく正確な情報が得られる見通しとしています。
【取引先情報】
● 楽曲収益化サービス(NRC)を利用している一部のクリエイターの個人情報
● 一部の元従業員が運営する会社の情報
● 取引先との契約書、見積書など
【社内情報】
● 株式会社ドワンゴ全従業員の個人情報(契約社員、派遣社員、アルバイト、一部の退職者含む)
● 株式会社ドワンゴの関係会社の一部従業員の個人情報
● 社内向け文書
そして、7月2日、KADOKAWAは、ランサムウェア攻撃を行ったとされる組織が、KADOKAWAグループの保有する情報をさらに流出させたと主張していることを確認したと発表。これに関する外部専門機関による調査結果が7月中には得られる見通しとし、調査結果が判明次第、速やかに公開するとしています。
7月1日、件のランサムウェア攻撃を行ったとする組織は、KADOKAWAから搾取した情報を公開。ネットでは検証および議論が行われています。
情報セキュリティに関する情報提供とコンサルティングを手掛ける合同会社「ロケットボーイズ」は、流出した情報について検証を行い、その結果を発表しています。
それによると、流出した情報の概要は次の通りです。
・Vtuberの個人情報(本名、住所、電場番号)ロケットボーイズによると、KADOKAWAやニコニコ動画の利用ユーザーの個人情報について、一部有名配信者の個人情報は確認されているものの、一般ユーザーの個人情報やニコニコ動画の閲覧履歴は今のところ確認されていないということです。
・ニコニコ超会議の振り込み履歴
・ニコニコ動画のNGワードリスト
・有名配信者への依頼書・企画書
・業務マニュアル
・契約書
・N高に関する契約書類や業務書類、学生と思われる一部個人情報
【速報】ついにKADOKAWAに身代金を要求したロシアのハッカー集団BlackSuit、情報のアップロードを開始
— ロアネア@最多情報源バズニュース (@roaneatan) July 1, 2024
KADOKAWAの学校であるN高の生徒情報まで公開されている。ニコニコや超会議のファイルなど、合計数千はある pic.twitter.com/hwKzdtFDPc
2.犯行声明
今回の犯行を行ったのはBlackSuit(ブラックスーツ)と名乗る組織なのですけれども、彼らは、今回に関する犯行声明を発表しています。
声明の概要翻訳は次の通りです。
私たちのチームは、およそ1ヶ月前にKADOKAWAのネットワークに侵入した。言葉の問題で少し時間がかかったものの、KADOKAWAの子会社のネットワークは相互に接続されていることを把握し、複雑なKADOKAWAのIT部門が構築した複雑なしくみを横断することができた。そして、この犯行声明どおりに、7月1日に情報が公開されたという訳です。
私たちは、KADOKAWAのネットワーク構成が、適切に管理されていないことに気付いた。異なるネットワークが、eSXIやV-sphereのようなグローバルコントロールポイントを介して、1つの巨大なKADOKAWAのネットワークに接続され、制御されている。ひとたびコントロールセンターにアクセスできたら、私たちはネットワーク全体(ドワンゴ、ニコニコ動画、KADOKAWA、そして他の子会社など)を暗号化できた。
私たちのセカンドチームは、当該ネットワークから1.5TBのデータをダウンロードした。
ざっと見た感じ、以下のようなデータが含まれる。
ー契約書
ーDocuSign済みの書類
ーさまざまな法的文書
ープラットフォームのユーザに関するデータ(Eメール、データ(通信?)の利用用途、アクセスされたリンク(URL?)その他)
ー社員に関連したデータ(個人情報、支払いデータ、契約、Eメールその他)
ー事業計画(プレゼンテーションデータ、Eメール、提案その他)
ープロジェクト関連データ(コード、Eメール、支払いデータその他)
ー財務データ(支払い、送金、計画その他)
ー他の内部で使う書類や機密データ
KADOKAWAのデータが暗号化された後、私たちはKADOKAWAの経営陣と連絡を取り、データ保護とネットワークのデータの復号化について、取引をもちかけた。
ご覧の通り、会社は現在苦境に立たされており、業務継続できない状態にある。KADOKAWAとその子会社のサービスは中断されていて、復旧するまでに7月いっぱいかかるとされている。
KADOKAWAの経営陣が、本件に関する情報をほぼ毎日公開しているのは良いことだ。角川の経営陣が、世間を落ち着かせるために「真実」を伝える決断をしたのは非常に良いことだ。
しかし、KADOKAWAが一部の詳細について伏せる判断をしたのはよろしくない。KADOKAWAのIT部門が経営層にすべての真実を伝えないようにしたのかもしれないが、いずれにしても、私たちはKADOKAWAからの情報に誤りがあることを把握している。
まず最初に、KADOKAWAのIT部門は、ネットワークに侵入している私達の存在を、暗号化を行う3日前に検知している。管理者は我々をネットワークから排除しようとし。私たちが使うコンピュータのIPアドレスの1つは通信ブロックされ、彼らは管理者権限を変更しようとした。しかし私たちは、ネットワークへの侵入を、検出できない方法でやるようにした。その結果、彼らは外向けの通信を検出し、止めることができなかった。というのも、私たちの持ち出し用のスクリプトは、コンピュータのIPアドレスが通信ブロックされても稼働を続けたためだ。暗号化の1日前、私たちは、KADOKAWAの管理者による私たちを止めるための大規模な対応が失敗に終わったことを確認した。
私たちは、必要に応じてさらなる詳細を公開できるが、全ての手の内を晒すことはしたくない。
というのも、私達はあくまで商売人であり、お金にしか興味がないからだ。KADOKAWAは取引をしようとしたが、彼らが提示した金額が彼らのビジネス規模からしたらとても低い水準のものであった。このインシデントは、ネットワーク構成そのものの見直しを必要とする。そしてそれは、KADOKAWAの顧客はIT部門がネットワーク全体を作り直すまで待たされることを意味する。
彼らが知らなかったことは、KADOKAWAのIT部門が、自社ネットワークに存在するすべての脆弱な箇所を把握するだけのHacktivismに関する十分な経験を持っておらず、将来また別のインシデント発生につながることだ。それ以外には、漏洩データが公開された際には、KADOKAWAのは自社のネットワークのみならず、ビジネスの仕方全体を変更する必要が出てくるだろう。なぜなら多くの機密データも公開されるからだ。
私たちは、これまでの経験に基づいて、KADOKAWAのネットワークをよりよくする支援を行える旨提案している。この提案には、データの復号と漏洩データの削除も含まれる。
手短に言うと、私たちは日本国民の機微な個人情報にアクセスできた。私たちがこのような情報にアクセスできた人たちは、自分のプライベートに関するデータを伏せておきたいと考えているのは間違いない。Eメールや閲覧履歴を含む「夜間に行っていること」が公開されるのを誰も望んでいない。
KADOKAWAの経営陣は、「今週末までに取引が成立しない場合は、すべてを公開する」ということを認識しなければならない。
現在、多くの日本国民の生活に関連した情報の機密が守られるかどうかは、KADOKAWAの経営陣の決定にかかっている。
私たちは、KADOKAWAの経営陣は、その後の数か月を釈明に費やすとは思っていないし、そのようなアクションは、彼らにはまったく似合わない。
KADOKAWAのような会社ならば、お金を払って前に進み続けるほうがずっと簡単だろう。
「全ての情報」は、7月1日に公開される。
3.ブラックスーツ
今回犯行を行ったとする「Blacksuit(ブラックスーツ)」とは、一体、どんな組織なのか。
今のところ、「BlackSuit」は「Royal(ロイヤル)」というロシアのハッカー集団だとされています。Royalは2022年1月に「Zeon(ジオン)」という名で始動。後にRoyalへと改名しています。
始動以降は、主にアメリカの企業を攻撃。急速に知名度をあげ、2023年はじめ頃には「最も活発なハッカー集団(ランサムウェアグループ)」として認知され、2023年5月頃から「BlackSuit」という暗号化ツールを使い始めたとされています。
「Royal」が「BlackSuit」に改名した時期は定かではありませんけれども、アメリカの連邦捜査局(FBI)とサイバー・インフラ安全局(CISA)が共同発表している「サイバーセキュリティアドバイザリー(CSA)」の2023年11月の更新では、次のように記載されています。
2023年11月13日更新度々名称変更するのは、捜査の目を誤魔化すためとか、関係性を分かりにくくするためなどが指摘されているのですけれども、CSAの報告によると、彼らが求める身代金は、約100万ドル(1億3千万90万円)から1100万ドル(14億3990万円)に及ぶそうです。
2022年9月以降、Royalは世界中で350人以上の既知の被害者を標的としており、ランサムウェアの要求額は2億7,500万米ドルを超えています。Royalは暗号化の前にデータの流出と恐喝を行い、身代金が支払われない場合は被害者のデータを漏洩サイトに公開します。フィッシングメールは、Royalの脅威行為者が最初にアクセスするための最も成功したベクトルの1つです。Royalがブランド再構築やスピンオフの亜種を準備している可能性が示唆されています。Blacksuitランサムウェアは、Royalに類似した多くの識別されたコーディング特性を共有しています。Royal ランサムウェアに関する以前の共同CSA は、2023年3月2日に公開されました。この共同 CSA では、FBI の調査を通じて特定された最新のIOCを提供しています。
「BlackSuit」は各地で活発に活動していて、6月18日から19日にかけ発生した、アメリカの自動車ディーラー向けソリューションプロバイダー「CDK Global」に対する大規模サイバー攻撃も、「BlackSuit」の仕業ではないかと海外の報道では伝えられています。
4.身代金は払わない
KADOKAWAへのサイバー攻撃のざっくりとしたこれまでの経緯は次のとおりです。
6月8日(土)未明……KADOKAWAオフィシャルサイトやエビテン、ニコニコサービス全般でシステム障害が発生。ドワンゴ側は同日中に第1報を公開。6月22日にNewsPicksがKADOKAWAグループと犯人との間で交わされたメールの内容をスクープし、KADOKAWAの幹部がBlacksuitに多額の身代金を払ったものの、受け取った犯罪者側が、さらなる支払いをするよう脅迫して、交渉が難航していると報じたため、騒ぎとなっています。
6月9日(日)……KADOKAWAグループ名義でシステム障害に関する第1報を公開。原因については「外部からの不正なアクセス」を挙げる。ドワンゴは歌舞伎座オフィスを閉鎖。
6月14日(金)……KADOKAWAおよびドワンゴ名義でシステム障害第2報および各社役員による謝罪・解説動画をYouTubeに公開。KADOKAWAグループ内のデータセンターサーバーが「ランサムウェア」を含む大規模なサーバー攻撃を受けた旨を公表。
6月22日(土)……ユーザベース傘下のNewsPicksがKADOKAWAグループと犯人との間で交わされたメールの内容を報道。KADOKAWAは「サイバー攻撃を助長させかね ない報道を行うメディアに対して強く抗議」と損害賠償を含めた法的措置の検討を進めるとコメント。
6月27日(木)……ドワンゴが復旧状況等についてリリース。KADOKAWAはシステム障害に関する第3報を公開。犯人グループとの交渉内容についてはコメントをせず。個人情報漏洩の可能性については「外部専門機関等の支援を受けながら調査を実施」に留める(クレジットカード情報は同社内に保管していないことを公表)。
6月28日(金)……KADOKAWA・ドワンゴ両社が情報漏洩に関するお詫びを掲載。正確な情報は7月中公開としつつ、外部流出を確認したという一部の情報(従業員やクリエイターの個人情報を含む)の種類を明記。
7月1日(日)……「Blacksuit」がデータを公開
身代金要求に対する対応について、企業のセキュリティーインシデントに詳しい、MS&ADインターリスク総研のインシデントレスポンス事業でリーダーを務める遠藤宣孝氏 は、「日本国内の標準的な認識は、『払わない』というのが基本スタンス」だとし、その理由として「身代金を支払っても確実に復旧できるという保証はないので、一般的に身代金支払いは正しいアプローチではない」からだと説明しています。
遠藤氏は「海外企業のチェンジヘルスケア社が、ブラックキャット(BlackCat、ALPHVとも呼ばれる)というランサムウェア集団に、身代金2200万ドルを支払ったのではないかという話があります。この事例では、グループ内の誰かが2200万ドルを持ち逃げしたとされています。サイバー犯罪者集団といえども、ある種の顧客との信頼関係の中で、1回払えばおしまいというケースもある一方、持ち逃げや再度の恐喝は起こり得ます」と述べています。
前述したFBIとCISAも同じ理由で身代金の支払いは推奨していないようです。
5.逃れられないサイバー対策
ただダークウェブにデータが流出した以上、その被害補償と再発防止対策は非常に重要になってきます。
今回のデータ流出について「2ちゃんねる」開設者のひろゆき氏は、自身の動画チャンネルで次のように述べています。
・僕はもうKADOKAWA・ドワンゴのスタッフではなくて。赤の他人として見てる……当事者だったらマジできつい…何人に謝っていいかわからない。全員に謝るの相当きつい。おいらが関わってたら普通に土下座してる。ひろゆき氏は、その被害の影響度合いが想像できないとした上で、犯行グループに日本人が絡んでいるのではないかと述べています。
・もちろん僕が盗んだわけじゃないし、僕のミスではないんだけど…本当に気まずすぎる
・社員とかだったら同じ会社を運営する同士だから仕方ないよねって言えるけど、クリエイターとかはさKADOKAWAドワンゴを信じて個人情報渡してたわけじゃん
・個人情報出ちゃってすいません1万円渡しますごめんなさいて話じゃないからね
・おいらは人の個人情報を集めないってポリシーでやっている。2ちゃんやってる時も一切取ってなかった
・ID制にして名前住所とっても儲からないんですよ。なんとなくとってる会社がほとんど。リスクと売上がペイしない
・漏洩したデータを見たがファイル名の付け方が日本人っぽい
・海外のハッキンググループの名前を使ってる日本人グループの可能性が結構あると思う
・NewsPicksに上がってた英文見る限りネイティブ英文ではない感じがする
前述した、「BlackSuit」が6月に「CDK Global」に大規模サイバー攻撃を仕掛けた際も、従業員になりすましたハッカーに顧客のルートなどを使って社内システムにアクセスされたと言われています。
KADOKAWA関係者は「一刻も早くランサムウェアから復旧をするために内部ではありとあらゆる手を使って対策に動いている状態」だそうですけれども、KADOKAWAは、1日サービスが止まるだけでも多額の損失を生むのに、それに加えて情報流出による被害補償を加えると、いったいどれだけの損失がでるのか想像つきません。
東京に拠点を置くサイバーセキュリティ企業「トレンドマイクロ」の調査によると、過去3年間にサイバー攻撃を経験した組織は56.8%に上り、被害コストが最も大きかったサイバー攻撃はランサムウェアで、法人組織の累計被害額は平均1億7689万円になるそうですけれども、KADOKAWAの損失はそれを大きく上回るのではないかと思います。
今後、サイバー攻撃に対する防御や対応について、もっと深い対策が必要になるのではないかと思いますね。
この記事へのコメント