KADOKAWAサイバー攻撃の概要

2024年6月8日、大手出版社のKADOKAWAがランサムウェアによるサイバー攻撃を受け、大きな被害が発生しました。この事件は、ITシステムへの依存度が高い現代社会において、サイバー攻撃が企業に壊滅的なダメージを与える可能性を改めて示すものとなりました。今回は、セキュリティの専門家として、KADOKAWAのサイバー攻撃を題材に、企業が取るべきセキュリティ対策について解説します。

KADOKAWAサイバー攻撃の時系列

2024年6月8日午前3時頃、KADOKAWAグループの複数のサーバーにアクセスできない障害が発生しました。 その後の調査で、BlackSuitと呼ばれるランサムウェアを使った組織的なサイバー攻撃を受けていたことが判明しました。攻撃者はKADOKAWAのシステムに侵入後、機密情報などを暗号化し、その解除と引き換えに身代金を要求してきました。

KADOKAWAが受けた被害を時系列でまとめると以下の通りです(Wikipediaからの引用をもとに作成)。

2024/6/8 ニコニコサービス全体が利用できなくなる。ランサムウェアを含むサイバー攻撃を受け、サービス停止との分析
2024/6/10 個人情報保護委員会に報告
2024/6/22 NewsPicksが『【極秘文書】ハッカーが要求する「身代金」の全容』という記事をネット上に掲載。
2024/6/27 ランサムウェアグループ「BlackSuit」からの犯行声明がダークウェブ上に公開されたことが判明
2024/7/2 複数専門家が、ダークウェブ上で情報流出していることを確認

引用について - Wikipedia

ここまでくると、相当に社会的な信用を落とす問題ととらえられました。

今回発生した被害

今回のサイバー攻撃によるKADOKAWAの被害は多岐に渡ります。

サービスの停止

まず、重要なシステムが停止したことで、動画配信サービスや書籍の受注・物流など、多くの事業が停止に追い込まれました。この時点で、KADOKAWAは甚大な経済的損失を被っただけでなく、エンドユーザーからの信頼を失ってしまう結果となりました。

情報漏洩

また、従業員の個人情報や、パートナーの個人情報、各種社内文書が以下の通り漏洩されたとされております。経済的な損失も大きかったと思われますが、それよりもむしろ、企業の社会的信用を失墜させてしまったことの方が大きいだろうと考えます。

具体的には、楽曲収益化サービスを利用する一部クリエーターの個人情報や元従業員が運営する会社の情報、取引先との契約書や見積書などの取引先情報、ドワンゴ全従業員の個人情報や社内向け文書といった社内情報、「N高等学校」などの在校生や卒業生、保護者の個人情報の流出を確認したという。

引用について - 日経XTECH KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できずから抜粋

漏洩したデータは、SMSデータテックによると、1.5TBのデータサイズと言われております。膨大な量の情報が盗まれたことになります。

今回の被害が発生した原因

今回の攻撃では、「フィッシングメール」によって従業員のアカウント情報が盗み取られ、それを起点に社内ネットワークに侵入された可能性が指摘されています。

明らかにされている情報がないとはいえ、外部環境からリモートでランサムを起動することなど、色々な観点から見て不可能といってよいかと考えられます。おそらくは、フィッシングによりオフィス内部へのアクセスを許してしまったのでしょう。

フィッシング

攻撃者は偽装したフィッシングメールを従業員に送信し、IDやパスワードなどのアカウント情報を盗み取ります。そのうえで、入手した情報を使ってネットワークに侵入したと報じられております。現代のビジネス環境において、フィッシング攻撃は企業にとって深刻な脅威となっています。フィッシング攻撃とは、攻撃者が本物に見せかけたメールやWebサイトを用いて、クレジットカード情報や電話番号などの個人情報を不正に取得する詐欺手法です。このような攻撃は、年々巧妙化しており、企業とその従業員を標的にしています。

よく知られている通り、フィッシング攻撃を無視することは、個人情報の流出、金銭的損失、アカウントの乗っ取り、そしてマルウェア感染といった直接的なリスクを伴います。企業においては、顧客や取引先からの信用失墜、規制上の問題、機密データの流出、さらにはランサムウェア攻撃のきっかけとなる可能性もあります。

巧妙なソーシャルエンジニアリング手法を利用するフィッシング攻撃は、ユーザーの不注意や知識不足を突いてきます。標準的なネットワーク監視ツールや技術では未然に防ぎづらく、特に休日やイベント時期に合わせて攻撃が増加する傾向にあるため、常に警戒が必要です。

横移動

攻撃者は、従業員のPCなどを乗っ取ったうえで、次は「横移動」と呼ばれる手法で、権限を昇格させながら重要システムにアクセスしていったと推測されます。

ここからは推察ではありますが、おそらく攻撃者は、管理者のIDを何らかの脆弱性をついて、管理者の権限を奪取、その後自分用の管理者アカウントを作成し、そのアカウントでランサムウェアなどを動かしたのではないかと考えられます。

この脆弱性というのも、例えば、Netlogonプロトコルの特権昇格の脆弱性(CVE-2020-1472)などが挙げられます。これらを用いれば、AD連携しているのであれば、管理者権限でサーバーにログインし、アンチウイルスをOFFにすることなどたやすくできてしまいます。

この部分の方法については、別途記事で書かせていただきたいと考えております。

フィッシング及びADサーバーの対策

フィッシングへの対策

仮に今回の攻撃がフィッシングによるものであった場合、フィッシングサイトへのアクセスを行わせないような対策が効果があったでしょう。

例えば、Cisco Umbrellaなどはソリューションになり得ます。本機能は、DNSとの連携により、そのようなサイトへのアクセスを遮断させることができます。

それ以外にも、安易にID・パスワードを任意のサイトで入力しない、仮に入力してしまった場合には、すぐにパスワードリセットをかけるといったことを教育していくことも効果があります。

また、Eメールなどからフィッシングサイトへ誘導があった場合には、Microsoft Defender for Office 365も対抗手段となります。

ADサーバーの見直し

Active Directory（AD）サーバーは、多くの企業で利用されている、ユーザー認証やアクセス権管理を行う重要なシステムです。攻撃者は、ADサーバーを掌握することで、組織全体にアクセスできる権限を手に入れることができてしまいます。

ADサーバーのセキュリティ対策としては、定期的な脆弱性診断やアクセス権の見直し、管理者権限の棚卸などが有効となります。具体的には、使われていない管理者アカウントがあれば停止する、必要なアカウントのみを残す、などを定期的に行う必要が出てきます。

まとめ

本記事では、一連のKADOKAWAのサイバー攻撃の情報をまとめました。今回のKADOKAWAに対するランサムウェア攻撃は、企業がITセキュリティにおける万全の対策を怠ることがいかに危険であるかを如実に示しています。しかし、事件から学んだ教訓を生かし、適切な技術的および人的対策を講じることで、同様の被害を予防することは可能です。安全なパスワード管理、二段階認証の実施、そして従業員に対する継続的なセキュリティ教育の強化が、今後の防衛戦略として極めて重要であることは間違いありません。

また、本問題の根本的な原因などは、明らかにされておりませんし、これからも明らかにされることはないだろうと思われます。ですが、外部環境からプロダクション環境のサーバーを攻撃することなどはほぼ不可能であり、おそらくはフィッシング攻撃などにより、内部へのアクセスを一時的にでも確保したのだろうと推察されます。その後、横展開などを通じて、管理者権限を奪取し、情報漏洩やサーバー攻撃などを成功させたのだと思われます。

次回の記事では、ニュースでは報告されていないKADOKAWAのセキュリティの体制、犯罪者の攻撃パターンを考察してまいります。

投稿者プロフィール

b2gnwp02

最新の投稿

• Windows 102024年9月12日Windowsのサンドボックス機能を利用する
• セキュリティ2024年9月11日KADOKAWAサイバー攻撃手法の考察
• セキュリティ2024年9月10日KADOKAWAサイバー攻撃の概要
• お知らせ2021年1月31日○○○フェアに登壇します！