大手出版社KADOKAWAに迫るサイバー攻撃の実態と影響
6月8日早朝、大手出版社KADOKAWAの子会社である株式会社ドワンゴが運営する動画プラットフォーム「ニコニコ動画」がサイバー攻撃を受け、サービスが停止しました。
この攻撃はニコニコ動画だけでなく、オンラインショッピングサイトの一部やチケット販売サービス、物流システムにも障害を引き起こしました。さらに、KADOKAWAの社内ネットワークにも侵入され、全社員を支えている基幹システムにも影響が出ています。
この影響で、オンラインの承認システムなどが停止し、給与の支払いや経費精算、取引先への支払いなども一部でフリーズしている状況です。これにより、業務に大きな支障が出ているとのこと。
サーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖、ドワンゴ社員の「歌舞伎座オフィス」への出社を原則禁止とし、社内ネットワーク、社内業務システムも停止したという。
サイバー攻撃の影響で、KADOKAWAの株価も一時下落しました。
KADOKAWAのCEO(夏野 剛)によれば、データセンターにあるサーバーがランサムウェアの被害を受けたためだと述べています。
データセンターには、ニコニコのサーバーだけでなく、KADOKAWAグループ全体の業務用サーバーや他のサービスのサーバーもあるとのこと。
サービス再開まで1か月以上かかるとのことです。
攻撃者(killmilk)からのメール
既にドワンゴには6月8日に、攻撃者のkillmilkからドワンゴのCOO(栗田 穣崇)に脅迫メールが届いていたそうです。
killmilkはロシア系ハッカー集団、KillNetのリーダーと呼ばれている人物です。
killmilkによれば、ブラックスーツ・ランサムウェア(BlackSuit Ransomware)でネットワーク全体を暗号化した上で、1.5テラバイトのデータをダウンロードしたとのこと。
killmilkを装ったBlackSuitのアフェリエイトな可能性が考えられます。
BlackSuitは2023年5月から登場したグループで、悪名高いContiグループの残党から生まれたRoyalランサムウェアギャングと強いつながりがあるそうです。
BlackSuitのリークサイトでは、BlackSuitがKADOKAWAを攻撃したことが確認出来ます。
盗んだデータには、下記のようなデータがあると述べています。
契約書
契約書類
各種法的書類
プラットフォーム・ユーザー関連データ(電子メール、データ使用量、開いたリンクなど)
従業員関連データ(個人情報、支払い、契約書、Eメールなど)
事業計画(プレゼンテーション、Eメール、オファーなど)
プロジェクト関連データ(コーディング、Eメール、支払いなど)
財務データ(支払い、送金、計画など)
その他社内使用のみの書類や機密データ
NewsPicksのリークによれば、KADOKAWAが流出データなどと引き換えに、17億円相当のビットコインを要求されているとのことで、6月13日までに一度、KADOKAWAは298万ドル(約4億7000万円)相当のビットコインを、攻撃者に送金しているとのこと。
これは、ドワンゴの栗田COOが攻撃者に宛てたメールで確認されている。
「私は取締役会の同意なしに、(ビットコインの)支払いをするという大きなリスクを冒している。これ以上の要求は、とんでもない事態を引き起こす」(KADOKAWA)
この金額は、ドワンゴ側で単独決済できるギリギリの金額であった可能性があるとされています。
ですが、攻撃者はこの金額に満足がいかず、さらに金額を上乗せしたとのこと。
「298万ドル(約4億7000万円)は2日以内に支払った場合の割引価格である。KADOKAWAはさらに825万ドル(約13億円)を払わないといけない」(BlackSuit)
これには、KADOKAWAは受け入れられるはずもなく、栗田COOは返信で怒りを露わにしています。
「上場企業として、300万ドル以上を支払うことができないと説明したはずだ。取締役会に、これ以上の金額を承認させることなど不可能だ」(KADOKAWA)
6月末までに支払わなければ全てのデータを7月1日に公開すると攻撃者は述べています。
ですが、本当に身代金を支払ったのかは現段階では分かりません。
また、攻撃者はKADOKAWAのネットワークへの侵入を、いかにやり遂げたかの経緯も述べています。
攻撃者によれば、KADOKAWAの子会社のネットワークは、KADOKAWAの大きなインフラにすべて接続されて、繋がっていたという。
そのため一つの制御ポイントに侵入すると、ニコニコ動画だけではなく、その他のサービスであったり、基幹インフラなども暗号化できたそうです。
KADOKAWAの詳細なシステム環境が分からないのでなんとも言えないですが、Active Directory関係の設定ミスでしょうか。
狙われた環境はVMware ESXiだということです。BlackSuitはESXiベースのシステムをターゲットにしているそうです。
LockBitやAkiraなどの他のランサムウェアギャングも、同様にVMware ESXiを標的としています。
攻撃者はKADOKAWAのIT部門が経営陣に対して真実を全て話していないとも述べています。
KADOKAWAのIT部門は、我々がネットワークを暗号化する3日前に、ネットワーク内に我々の存在を検知していた。管理者は私たちをネットワークから追い出そうとし、私たちのサーバーのIPの一つはブロックされ、彼らは管理者の認証情報を変更しようとしましたが、私たちはネットワークへの検出不可能なアクセスを設定することに成功しました。KADOKAWAの管理者が私たちを検知した後も、私たちはダウンロードを続けていました。サーバーのIPがブロックされた後でもダウンロードスクリプトが動作し続けたため、彼らは発信トラフィックを検知して停止させることができなかった。暗号化の1日前、私たちはKADOKAWAの管理者が私たちを止めようとする膨大な活動を検知し、失敗しました。
終わりに
ランサムウェアを行うハッカー集団の動機は、ほぼお金です。
我々はビジネスの人間なので、お金にしか興味がない。KADOKAWAは和解しようとしているが、彼らが提示した金額はこの会社にしては極めて低い。
攻撃者側からすれば、大きなリターンが得られる企業をターゲットにしていると思います。
身代金を払ったところで攻撃者が復元してくれる保障はありませんし、データを盗まれているため、公開されるリスクがあります。身代金を払う行為は、独断で判断するのは危険ですし、推奨出来かねる行為です。
攻撃者による侵入経路が、まだ明らかにされていません。昨今のランサムウェアによる被害の侵入経路がVPNから侵入することが多いので、そうかも知れません。
また、公開されたデータをX(旧Twitter)で諭している方がいますが、これは全く容認出来ませんし、公開したデータの中にマルウェアが仕掛けられている可能性があるので危険です。
最後に、私の記事では攻撃者視点で述べることが多いです。何故ならクライアントのセキュリティを向上させるために、攻撃者ならどうするかを推測する必要があるからです。
ですので、攻撃者がしていることを擁護している訳ではありません。誤解しないようにしていただきたいです。
今回はここまでにしたいと思います。ではまた・・・
以下引用