KADOKAWAサイバー攻撃手法の考察

先日の記事で、KADOKAWAの情報漏洩の概要を記事にしました。

KADOKAWAサイバー攻撃の概要

2024年6月8日、大手出版社のKADOKAWAがランサムウェアによるサイバー攻撃を受け、大きな被害が発生しました。この事件は、ITシステムへの依存度が高い現代社会において、…

セキュリティ × 情報システムを導入します

今回は、報道されている情報をもとに、攻撃者であるBlackSuitはどのような手段でランサムウェアおよび情報漏洩を行ったのか、また、それに対してKADOKAWAのセキュリティ体制に問題がなかったのか、どうすれば被害を防げたのか、について解説します。

どれも、実際にどのような手法が用いられたかについては明らかになっていないため、また、今後も明らかになることはないことから、報道されているニュースをもとにしてセキュリティエンジニアから見た推察となることはお含みおきください。

ネットワーク監視と1.5TBの情報漏洩

ここでは、犯人はいったいどのようにして、個人情報などを外部に持ち出したのかを考察します。
まず、今回、漏洩のあったデータは1.5TBで以下のデータとされております。

BlackSuit（ブラックスーツ）が窃取ダウンロードしたデータの概要：

契約書
電子契約書類
各種法的文書
プラットフォームユーザー関連データ（メール、データ使用量、リンクのクリック、等）
従業員関連データ（個人情報、支払い、契約、メール、等）
事業計画（プレゼンテーション、メール、オファー、等）
プロジェクト関連データ（コーディング、メール、支払い、等）
財務データ（支払い、送金、計画、等）
その他の内部使用文書および機密データ

引用について - RocketBoys BlackSuitが犯行声明 KADOKAWA（ニコニコ動画）へのサイバー攻撃・ランサムウェア攻撃に関与か 抜粋

KADOKAWAのような巨大なデータを扱う組織から、1.5TBを盗み出すとすると、1. 大容量の外部機器HDDへのローカルコピー、あるいは2. ネットワーク経由のデータコピーのどちらかであろうと考えられます。

まず1.の外部機器へのローカルコピーは一般には難しいとされております。何らかの方法で従業員のPCを乗っ取り、USB機器へデータをコピーする場合であっても、ほとんどの大企業ではUSB機器にデータを書き込めないような仕組みを導入しております。個人情報を取り扱う大企業が、この点を考慮しなかったとは考えにくいです。

そうすると、攻撃者は2.のネットワーク経由でのデータコピーを行ったのでは、と考えられます。

KADOKAWAが受けたランサムウェア攻撃に関する報道によれば、攻撃者がネットワークを通じて機密情報をコピーした可能性は十分に考えられることです。

このようなサイバー攻撃に対する防御策として、現代のセキュリティ製品は大量データのネットワーク経由での転送を監視する機能を備えています。例えば、FortiGate Cloudのようなセキュリティソリューションを利用すれば、異常なデータ転送を検出し、ログを保存することが可能です。

しかし、KADOKAWAから1.5TBもの大容量データが盗まれたという事実は、こうした監視が十分に行われていなかった可能性を示唆しています。現実的なシステム運用を考えれば、適切な監視体制が整っていれば、異常なデータ転送を早期に発見し、被害を未然に防ぐことができたのでは、とも考えられます。

物理ケーブルの抜去が必要だった点

6/14のリリースで、攻撃者はデータセンター内のサーバーをシャットした後も遠隔からサーバーを起動させていたため、技術者がサーバー・ネットワークケーブルを抜去したとの報道がありました。これは、攻撃者が遠隔から複数回サーバーを起動させており、このためケーブルを抜去する必要があったとのことです。

今回の第三者によるサイバー攻撃は、発覚後も繰り返し行われ、遠隔でプライベートクラウド内のサーバーをシャットダウンした後も、第三者がさらに遠隔からサーバーを起動させて感染拡大を図るといった行動が観測されました。そのため、サーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖しました。これを受け、グループ企業が提供するデータセンターに設置されているサーバーはすべて使用不可となりました。また、さらなる感染拡大を防ぐため、当社社員の歌舞伎座オフィスへの出社を原則禁止とし、社内ネットワーク、社内業務システムも停止しています。

引用について - dwango 当社サービスへのサイバー攻撃に関するご報告とお詫びから抜粋

攻撃者は複数のサーバーにWake-On-LAN(WoL, ネットワークを介して遠隔地にあるコンピュータの電源をオンにする技術のこと、「マジックパケット」と呼ばれるネットワークパケットを対象のコンピュータに送信することで、自動的に電源を投入することが可能)を設定投入し、電源を制御していたと思われます。PCであっても、法人向けサーバーであっても、一般にほとんどのケースで、このWoL機能は受信側でデフォルトオフになっております。このWoLを受信側でONになっていたのであれば、犯人はこの設定も書き換えていたと考えられます。

以下の報道によると、リモートから何度も電源ONされていたとのことなので、このWoLを仕掛けられていたようにも見えます。WoLはごく一般的な技術ですので、ネットワークから孤立させ、電源ONし、WoL設定を確認するのがまず第一にするべきことだろうと思うのですが、そのあたりの情報は見受けられませんでした。

KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず | 日経クロステック（xTECH）

　出版大手のKADOKAWAが大規模なサイバー攻撃を受けた。ランサムウエアによって複数サーバーのデータが暗号化。子会社のドワンゴが運営する「ニコニコ動画」などがサービ…

日経クロステック（xTECH）

バックアップデータ

同じく、上記の日経 xTECHによると、サーバーのバックアップから復旧できなかったように推察されます。

　ドワンゴは攻撃後、「実質的にニコニコ動画やニコニコ生放送のシステムを1から作り直すような規模の作業」（同）を開始。1カ月以上かかる見込みで、ニコニコの多くのサービスは復旧のメドが立っていない。

引用について - 日経 xTECH KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できずより抜粋

ここからさらに想像してみると、KADOKAWAほどの大企業が商用に供するサーバーのバックアップを取っていなかった、ということは考えられません。だとすると、サーバーのバックアップを日々取得していたが、バックアップを取得するサーバーかバックアップ保存領域に侵入され、バックアップを消されてしまったか、のどちらかだろうと思われます。ドメインのパスワードを使いまわしていた、あるいはドメイン連携していたため、ドメインを支配されてしまったのち、ごく簡単にバックアップを消されてしまったのだろうと思われます。

このような運用をしている企業はかなり多いことを、私も各企業様のネットワークを見て存じておりますが、バックアップは企業の最重要インフラなのですから、ドメイン連携から外し、全く異なる別なパスワードで運用することが重要であったと考えます。AD連携していなければ、また別なパスワードで運用できていれば、攻撃者がフィッシングなどでコンピューターやドメインを支配できたとしても、バックアップサーバーには容易に侵入できるものではありません。

また、仮想・物理サーバーともにデータを消されていたとしても、バックアップから戻してしまえば、復旧させることはさほど難しくはなかっただろうと考えられます。

まとめ

今回、KADOKAWAに対するサイバー攻撃の考察を行いました。ネットワーク監視、ケーブルの物理断、バックアップサーバーの運用について、いくつか疑問があるように見受けられます。記事にするにあたり、公開情報をチェックしていたのですが、セキュリティ対策には十分すぎるほど気を付けて、細心の注意が必要であると改めて感じ取れました。

投稿者プロフィール

b2gnwp02

最新の投稿

• Windows 102024年9月12日Windowsのサンドボックス機能を利用する
• セキュリティ2024年9月11日KADOKAWAサイバー攻撃手法の考察
• セキュリティ2024年9月10日KADOKAWAサイバー攻撃の概要
• お知らせ2021年1月31日○○○フェアに登壇します！