KADOKAWAはサイバー攻撃とどう戦ったのか

KADOKAWAはサイバー攻撃とどう戦ったのか

　2024年6月8日、このカクヨムを運営している、KADOKAWAのサーバがサイバー攻撃を受けました。

　幸い、カクヨムへの影響はほとんどありませんでしたが、やはり気になった方も多いはずです。 そこで、半年近く経った今、改めて振り返ってみようと思います。

　このような攻撃があったとき、我々が気をつける事についても解説します。

【1. 攻撃の概要】

　攻撃を行ったのは、ロシア系のハッカー集団『BlackSuit』とのことです。

　彼らが行う攻撃は、ランサムウェアというソフトによって、その企業や団体が保有しているデータを人質にして金銭を要求するという手法です。

　具体的には、データを勝手に暗号化することで、データを使用できなくしてしまいます。 復号化に必要な鍵は彼らが持っているので、鍵を入手するまでデータを見ることができないという訳です。

　どうやら、KADOKAWAは早い段階で４億円以上支払い、データの復号を依頼していたようです。 ですが、結局はデータが戻って来ることはありませんでした。 相手は犯罪集団なので、絶対にデータが戻って来るという保証はありません。

　ハッカー集団の中には、確実にデータを戻すことを謳っている所もあるようですが、そうすることで身代金を払う敷居を下げる狙いがあると思われます。

　『犯罪集団に身代金を支払うなんて、けしからん！』と思う方もいらっしゃるかもしれません。 国であれば、『テロリストの要求には従わない』と言って拒否するのが当たり前ですが、企業の場合は事情が異なります。 抵抗することで企業が潰れてしまえば、従業員は露頭に迷いますし、KADOKAWAくらいの大企業であれば、その影響は相当なものとなるためです。 決して良い判断とは言えませんが、金銭的な被害を抑えるために支払うという決断をしたとしても、やむを得ないと私は思います。

　BlackSuitとの交渉は決裂に終わったようです。 彼らの特徴として、交渉中に値段をつり上げたり、おかわりを要求することがあるようです。 結局800万ドルを要求されたため、KADOKAWAは拒否したとのこと。

【2. 攻撃当初の対応】

　サイバー攻撃が報じられたのは6月9日でした。 当初の発表では『外部から攻撃を受けている』というもので、ランサムウェアが原因だと認識できていなかったようです。

　その頃、DoS攻撃を仕掛けているという犯行声明がXに出まして、私は彼の発言を注意深く見ておりました。 DoS攻撃というのは、ピンポンダッシュを大量に繰り返すようなもので、その対応のためにサーバの負荷がどんどん増えていくというものです。 不正アクセスなどで他のサーバから攻撃をさせることで、自分の手を汚さずに世界中から攻撃することができるのです。

　その彼が言っていたのは、『KADOKAWAのシステムに大規模な障害が起きていたので、それにつけ込んで攻撃を仕掛けた（要約）』というものです。 まだランサムウェアの情報が出ていない時期でしたので、その頃は意味が分かりませんでしたが、数日後にその意味を知ることになりました。

　KADOKAWAのエンジニアがランサムウェアで混乱している時期に、別の攻撃者も出現していた可能性があった訳です。 もしそうであれば、DoS攻撃とランサムウェアの両方の対応をせねばならず、初動対応が混乱した一因だったのかもしれません。

　さて、技術的な話となりますが、ランサムウェアの攻撃を受けた場合は、ネットワークケーブルを抜く、サーバをシャットダウンするといった対応を行います。 これは、物理的に遮断することで、さらなる被害の拡大を防ぐことが目的です。 KADOKAWAもサーバのシャットダウンを行ったとのことです。

　ところが、シャットダウンされたはずのサーバが、攻撃者によって再起動されたそうです。 被害をさらに広げるためなのでしょう。

　ここでポイントとなるのが、『攻撃者がシャットダウンしたサーバを再起動できる権限を確保している』ということです。 この事実から推測されるのが、『攻撃者はシステムの奥深くまで入り込むことができるようになっている』というシステムの現状です。

【3. システム再構築へ】

　このあと、BlackSuitからの脅迫メールが届いたようです。

　最初に説明したとおり、KADOKAWAは最終的に拒否しています。 その判断材料となったのが、先ほど説明した『攻撃者はシステムの奥深くまで入り込むことができるようになっている』という状況だと私は考えます。

　Youtubeで『バックアップをとってないから、こんな目にあった』と言っていた人もいましたが、恐らくバックアップはしていると思います。 ただ、システムが継ぎ接ぎだらけで復旧が大変だったり、バックアップから復元したところで、攻撃に必要な穴もバックアップから復元されますから、再度攻撃される可能性が高いのです。

　こういった状況の中、KADOKAWAが出した決断は『システムの再構築』でした。

　システムセキュリティのあるべき姿を改めて検証し、システム全体を再構築し直すことで、より強固なシステムとするということです。 私がKADOKAWAの対応で一番評価しているのは、この決断でした。

　この決断にはリスクがあります。 復旧までに時間がかかりすぎるということです。 それまでシステムを停止しなければならず、機会損失は相当な額となるはずです。 ですが、再発防止を考えると、このタイミングしかないのかもしれません。

　この決断に対し、BlackSuitは予め入手していた情報を公開し始めました。 交渉が決裂するということは、こういうことですね。

【4. システム再構築後】

　再構築後、新たな攻撃が行われた話は無いようです。

　これは、システムの再構築が成功したと考えて良さそうです。

　２ヶ月という短期間でシステム復旧ができたことは本当に驚きです。

　エンジニアさんの技術力の高さと、努力は本当に素晴らしいです。

【5. 流出した情報について】

　流出した情報の中にクレジットカード番号、パスワードは含まれていないと発表されています。

　ですが、ネットではMicrosoftへの不正ログインが大量に発生しているなどの状況から、パスワードが流出しているとの情報もありました。

　この情報を見て、私もMicrosoftのログイン履歴を確認してみました。 実際、大量の不正ログインの履歴がありましたが、これはKADOKAWAへの攻撃が行われる前からであり、因果関係は無いと考えます。 もちろん、パスワードはサービス毎に変えるなどの対応を行った方が良いです。

　通常、システムを構築する際、パスワードを平文で保持することはありません。 パスワードをハッシュ関数というもので変換した文字列を保持しますが、ハッシュ化された文字は復号化できないため、もし流出したとしても元のパスワードを入手することは困難です。

　次にクレジットカード番号ですが、カード決済は決済会社で行いますので、その決済会社のIDとか決済番号のみをシステムで保存します。 これだけで決済履歴も取得することが可能なので、流出リスクの大きいクレジットカード番号をシステムで保存する必要が無いのです。 システムで保持していないので流出することもありません。

　さすがにKADOKAWAほどの大企業であれば、このくらいの対応は行っていると思われるので安全だとは思いますが、そうでない会社も存在していますので、安易にあちこちでクレジットカード番号を入力しないようにしましょう。

【6. 我々が気をつけること】

　災害時と同じく、慌てないことが重要です。

　・公式以外からの情報を鵜呑みにしない。

　・公式以外からの情報をSNSなどで広めない。

　・流出した情報を確かめようとしない。

　今回、流出した情報はダークウェブという領域で公開されていたようですが、ここに出入りするのはウィルス感染などのリスクが高いので、気になっていてもやらないほうが良いです。

　落ち着いて公式の情報を待ちましょう。

　――

　以上です。

　KADOKAWAの皆様、いつも快適なカクヨムのサービスを提供してくださって、ありがとうございます。

　これからも強固なシステムを守り続けてください。