KADOKAWAサイバー攻撃から学ぶオンプレミス型プライベートクラウドの脆弱性

KADOKAWAグループ内に異変が発生したのは2024年6月8日のことだった。グループ内の複数のサーバーにアクセスできないという障害が発生した。

午前3時30分、ドワンゴが運営するサービス「ニコニコ」と「N予備校」を含むウェブサービス全般で正常に利用できない不具合が発生。調査したところ、午前8時頃にランサムウェアを含むサイバー攻撃を受けたことが明らかになったという。

ちなみにランサムウェアとは、暗号化することでファイルを利用不可能な状態にした上で、そのファイルを元に戻すことと引き換えに金銭（身代金）を要求するマルウェア（悪意のあるソフトウェアの総称）のことだ。

漏洩したのは主に個人情報と契約書などの企業情報だ。①ドワンゴやその関係会社の個人情報② N中等部・N高等学校・S高等学校の在校生・卒業生・保護者などの情報③角川ドワンゴ学園の一部元従業員の個人情報④ドワンゴ関連の社内文書や契約書など。流出した個人情報は合計で25万4241人分だったという。

最初に侵入されたとみられる「ニコニコ」は不特定多数が共有して使うパブリッククラウドサービスとKADOKAWAグループ企業が提供するデータセンター内に構築されたオンプレミス型のプライベートクラウドサービスを利用しているが、狙われたのはオンプレミス型のプライベートクラウドだけで、パブリッククラウド上で運用されていたニコニコ動画のシステム、投稿された動画データ、動画の映像配信システムは被害はなかった。

なぜオンプレミス型のプライベートクラウドだけが狙われたのか。

パブリッククラウドプロバイダーは、巨額の投資を行って最新のセキュリティ技術を導入し、24時間365日の監視を行い、脅威を早期に検知し、迅速に対応することができる体制を構築している。だからオンプレミス型のプライベートクラウドに比べてパブリッククラウドのセキュリティは堅牢だ。

さらにランサムウエアはシステムに侵入すると、サーバーに長期間滞在しながら脆弱性を探しながら感染を拡大していくが、クラウドネイティブ（クラウド環境を「前提」として設計され、クラウドの特性を最大限に活かしていくためのアプリケーション開発手法）を推進する大手のパブリッククラウドでは、定期的にサーバー内の新陳代謝が行われ、脆弱性をなくし、マルウェアも駆除される。

クラウドのセキュリティに詳しいCloudbaseのCTO、宮川竜太朗氏は「攻撃者はマルウェアでパブリッククラウドをあまり狙いたがらない」のだという。

そこで狙われたのがオンプレミス型のプライベートクラウドだ。

KADOKAWAグループでもランサムウェアによって、相当数の仮想マシンが暗号化され、ウェブサービス全般が停止した。

KADOKAWAグループは即座に対策本部を立ち上げ、被害の拡大を防ぐために、グループ企業が提供するデータセンター内サーバー間の通信の切断とデータセンター内サーバーのシャットダウンを実施し、ウェブサービスの提供を一時停止した。

攻撃が社内のネットワークにも及んでいることが判明したため、社内業務システムの一部を利用停止し、社内ネットワークのアクセスを禁止した。

6月9日には警察へ連絡し、外部専門機関へ打診。歌舞伎座のオフィスを閉鎖、サイバー攻撃を受けた可能性が高いことを明らかにした。そして10日には個人情報保護委員会に報告。12日には関東財務局に障害発生を報告し、14日には謝罪の記者会見を行った。

しかしサイバー攻撃は、発覚後も繰り返し行われ、遠隔でプライベートクラウド内のサーバーをシャットダウンした後も、遠隔からサーバーを起動させて感染拡大を図るといった行動が観測された。

そのため、サーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖。これを受け、グループ企業が提供するデータセンターに設置されているサーバーはすべて使用不可となった。

事業および業務への主な影響

サイバー攻撃の波紋はさまざまな事業に及んだ。出版事業では、国内における紙書籍の受注システム、デジタル製造⼯場・物流システムの機能を停⽌、受注停⽌、⽣産量の減少と物流の遅延に伴い、出荷数量が減少した。

 ウェブサービス事業では 「ニコニコ動画」「ニコニコ⽣放送」「ニコニコチャンネル」などのニコニコファミリーのサービス全般が停⽌、ニコニコアカウントによる外部サービスへのログインが不可能となった。 MD（マーチャンダイジング）事業ではKADOKAWAグループが運営する複数のオンラインショップで、商品の受注不能や出荷の⼀部遅延が発⽣した。

経理業務では、経理システムに影響が及び、⼀時的に決済システムが機能停⽌状態となった。

その後「ニコニコ動画」は6月14日、「ニコニコ生放送」は6月19日、「NicoFT」は6月20日、「ニコニ・コモンズ」「ニコニコ漫画（スマートフォン版ウェブサービス）」は25日、臨時サービスなどを活用してサービスを再開した。

ランサムウェア攻撃を仕掛けてきたのはロシアや東欧系のハッカー集団「Black Suit（ブラックスーツ）」だといわれている。

「Black Suit」のルーツはトレンドマイクロの調査によると、2020年5月から2022年5月の間に活躍したロシア系の史上最悪といわれたハッカー集団「Conti」だ。しかしウクライナ侵攻をめぐり、賛成派と反対派が対立して分裂、複数のグループにリブランディングされた。

そのうちのひとつが「Black Suit」の前身となる「Royal」で、2022年1月ごろから活動が確認されるようになり、米国企業を攻撃、2023年5月に米テキサス州ダラスの攻撃以降、再びリブランディングされる形で「Black Suit」の存在が確認されている。

2023年5月から2024年7月までの間に95の組織で被害が確認されており、IT、ヘルスケア、製造業、教育、ホスピタリティー（ホテル業界など）などがターゲットになりやすいという。

KADOKAWAはなぜ「Black Suit」に狙われたのか。

「Black Suitは日本に限らず世界中のさまざまなところを攻撃していて、KADOKAWAは偶然その対象になったのだと思います。攻撃者が自身のツールで攻撃できる先を探索した可能性が考えられます」（宮川氏）

求められるのは「ゼロトラスト」という思想

ではKADOKAWAグループのケースではどのような経路で侵入されたのだろうか。

KADOKAWA グループが調査を依頼した社外の大手セキュリティ専門企業によると、「その経路および方法は不明であるものの、フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると推測される」という。窃取されたアカウント情報によって、社内ネットワークに侵入されランサムウェアの実行および個人情報の漏洩につながった。

「当社グループでは、これまでも情報セキュリティを重視し対策を講じてきましたが、今回のインシデントを防ぐことができませんでした。今後の対策においては、社外の大手セキュリティ専門企業の調査結果を基に主要な対策を既に講じ、その他についても計画通りに対応中です」（KADOKAWA IR・広報室）

フィッシングメール以外にもリモートデスクトッププロトコル（RDP、仮想デスクトップ）、一般向けのアプリケーション、ブローカーなどを経由して侵入してくるケースもある。

「BlackSuitが直接フィッシングなどで手を下さなくても、従業員が普段使用しているパスワードがダークウェブに流れ、それを活用して攻撃を仕掛けてくるような可能性もある」（宮川氏）

システムの脆弱性を見つけて侵入したマルウェアは企業や組織のネットワークに侵入し、内部の偵察や資格の窃取を行う。これを「ラテラルムーブメント」と呼ぶ。

「KADOKAWAグループのケースで『ラテラルムーブメント』を可能にしてしまったのは、何らかの不備があったのが要因かもしれません。全体のアーキテクチャーや構成の部分をより改善する余地があるのかもしれません」（宮川氏）

ただどれだけセキュリティを強化してもランサムウェアによるサイバー攻撃を完全に防ぐことはできない。

そのような中で必要とされるのが「ゼロトラスト」という考え方だ。「ゼロトラスト」とは「何も信頼しない」を前提に対策を講じるセキュリティの考え方のことだ。

ランサムウェア対策には「予防的統制」だけでなく「発見的統制」の併用が有効

ゼロトラストの思想でプライベートクラウドのセキュリティを構築する際に課題となるのが、企業の不正リスクをどのような形で管理するかということだ。

不正リスク管理には、「発生しないように予防する」という考え方の予防的統制と、「発生したものを発見し対処する」という発見的統制に大きく分かれる。

当初は予防的統制を中心にセキュリティが考えられていたが、ランサムウェアなどが台頭してくる中で、対策にかかるコストが高く、予期しないリスクに対する脆弱性がある予防的統制だけでなく、発見的統制が重要性を増している。

「予防的統制の考え方で『アクセスできる先をここだけにしましょう』とホワイトリスト化すると、ガチガチの管理になり大変です。一方、何かあったときに検知できる仕組み（発見的統制）は比較的自由度が高くできます。その代わり、何かあったときにすぐ遮断される。このチューニングをサーバーの管理者がしっかりやることで、安全性と従業員の利便性が同時に守られるのではないかと思います」（宮川氏）

ゼロトラストのアプローチでは、予防的統制と発見的統制を組み合わせて、セキュリティを強化することが推奨されている。

最近では、サーバーへのアクセスには多要素認証（MFA）やネットワークを細かく分割し、各セグメントの間の制御、データを保存するときや転送するときに行うデータの暗号化などでは予防的統制が使われ、サーバーやネットワークのログを収集し、異常な活動を検出したり、セキュリティイベントをリアルタイムで監視し、脅威を検出するSIEM（Security Information and Event Management）、ユーザーやエンティティの行動を分析し、異常なパターンを検出するUEBA（User and Entity Behavior Analytics）などでは発見的統制が活用されている。

こうした取り組みを進めていくことによって、セキュリティインシデントの発生を防ぎつつ、万が一の際には迅速に対応できる体制を整えることができるといわれている。

しかし予防的統制に発見的統制を併用したからといって万全というわけではない。

「システムにマルウェア解析ソフトウェアを入れたからといって安心はできない。攻撃者もどういうソフトが入っているかを検知しながら、回避しようとする。基本的にはイタチごっこになっていくので、仮に侵入されてもセグメントをきちんと分けて、感染が拡大しないようにする。そういう対策を『多層防御』と呼び、さまざまなレイヤーで防御していくことが、今回の事例から多くの企業が学ぶべきポイントではないでしょうか」（宮川氏）

では、個人情報などをパブリッククラウドに移行するにはどういった点に注意すればいいのだろうか。

「最初に個人情報のようなデータをクラウドに移行するには、ある程度のポリシーを決めたり、推奨設定したりすることが必要です。問題になりそうなことは、すべて潰しておくことが大事だと思います」（宮川氏）