2024年6月、KADOKAWAは大規模なランサムウェア攻撃を受け、1.5TBものデータが暗号化されました。
この攻撃を行ったのは、ロシアや東欧に拠点を持つとされるサイバー犯罪グループ「Black Suit」です。
彼らは、KADOKAWAが提示した金額が「会社規模に比べると非常に低い」として、ダークウェブで声明を発表しました。
本記事では、この攻撃の詳細とその影響について詳しく解説します。
Contents
Black Suitの正体は?Black Suitランサムウェアとは何か?
Black Suitは、2023年に出現したランサムウェアグループで、主に米国の企業をターゲットにして活動しています。
このグループは、データの暗号化と漏洩を組み合わせた「二重脅迫」戦略を用いており、過去には教育機関や医療機関なども攻撃しています。
Black Suitは、その活動をダークウェブ上で公表し、要求に応じない被害者のデータを公開することで更なる圧力をかけます。
Black Suitの正体について、以下の情報が明らかになっています。
Black Suitの概要:Black Suitは、2023年4月から5月にかけて活動を開始した比較的新しいランサムウェアグループです。
このグループは、データの暗号化と窃取を行い、被害者が要求に応じない場合にはデータを公開する「二重恐喝」戦術を採用しています。
起源と関連グループ:Black Suitは、ロシアや東欧に拠点を持つハッカーグループであり、かつて悪名高いContiランサムウェアグループの後継であるRoyalランサムウェアと密接な関係があるとされています。
Contiは、2022年から2023年にかけて350以上の組織を攻撃し、2億7500万ドル以上の身代金を要求したことで知られています。
攻撃手法とターゲット:Black Suitは、WindowsおよびLinuxシステムを標的とし、AES暗号化アルゴリズムを使用してデータを暗号化します。
攻撃はフィッシングメールや悪意のあるトレントファイルを通じて行われ、VMware ESXiサーバーを操作する能力も持っています。
彼らの攻撃対象は、医療、教育、IT、政府、小売、製造業など多岐にわたります。
最近の活動:Black Suitは、最近ではCDK GlobalやKADOKAWAに対する大規模なランサムウェア攻撃を行い、これらの企業から多額の身代金を要求しています。
CDK Globalに対しては、数千万ドルの身代金を要求し、KADOKAWAに対しては1.5TBのデータを暗号化し、公開を脅迫しています。
Black Suitは、ロシアや東欧に拠点を持つサイバー犯罪グループであり、Royalランサムウェアと密接な関係があります。
彼らは、データの暗号化と窃取を行い、被害者に対して身代金を要求する「二重恐喝」戦術を採用しています。
最近の攻撃では、CDK GlobalやKADOKAWAなどの大企業を標的にし、多額の身代金を要求しています。
CDK Global Inc.とは、アメリカ合衆国イリノイ州ホフマンエステーツに本社を置く多国籍企業であり、自動車、重トラック、レクリエーション、重機産業向けにデータと技術を提供しています。この企業は、ディーラーサービス部門として1973年にAutomatic Data Processing (ADP)の一部として設立されましたが、2014年10月1日に独立企業としてスピンオフされました。
KADOKAWAへの攻撃詳細
KADOKAWAは6月8日に攻撃を受け、多くのサービスが停止しました。
この攻撃は同社の中央サーバーに対するもので、特にNiconicoサービスが大きな影響を受けました。
現時点では情報漏洩の有無は確認されていませんが、調査は継続中です。
被害を最小限に抑えるため、KADOKAWAは影響を受けたサーバーを停止し、復旧作業を進めています。
ダークウェブでの声明と要求額はいくらか?
Black Suitは、ダークウェブ上で声明を発表し、KADOKAWAに対して身代金を要求しました。
ダークウェブ(Dark Web)とは、インターネットの一部であり、通常の検索エンジンではアクセスできないウェブサイトやサービスが存在する領域です。ダークウェブは、匿名性を保つために特別なソフトウェアや設定が必要であり、一般的にはTor(The Onion Router)やI2P(Invisible Internet Project)などのネットワークを通じてアクセスされます。
KADOKAWAが提示した具体的な金額については、一部の情報の中で、すでに298万ドル(約4億7000万円)のビットコインを、ハッカー側に送金したとされています。
しかし、Black Suitは、この金額は、「会社規模に比べると非常に低い」と述べており、KADOKAWAが提示した金額が彼らの要求に対して不十分であることを強調しています。
このような状況から、KADOKAWAが提示した金額は、Black Suitの期待に遠く及ばないものであったと推測され、Black Suitは、追加で825万ドル(約13億円)を要求しているとみられています。
KADOKAWAのような大規模企業に対するランサムウェアの要求額は、一般的には数百万ドルに及ぶことが多いです。
セキュリティ対策と教訓
今回の攻撃を受けて、企業は以下のセキュリティ対策を強化する必要があります:
- 定期的なバックアップの実施と保管
- 最新のセキュリティパッチの適用
- マルチファクター認証の導入
- 社内教育と意識向上
これにより、将来的な攻撃に対する防御力を高め、被害を最小限に抑えることが可能です。
black suitのKADOKAWAへの犯行声明全文
以下は、サイバー犯罪集団「BlackSuit」がKADOKAWAに対して行った犯行声明の全文です。
我々のチームが角川ネットワークにアクセスできるようになったのは、ほぼ1カ月前のことです。 言語の問題から、角川のIT部門が作ったネットワークを理解するのに時間がかかりました。 そして我々は次のことを発見しました。 角川の内部ネットワーク・アーキテクチャはきちんと管理されていませんでした。異なるネットワークが eSXIやV-sphereのような制御環境を通して制御されていました。 この制御センターに侵入した後は、内部ネットワーク全体を暗号化しました。 結果的に、内部ネットワーク全体(ドワンゴ、ニコニコ、角川、その他の子会社)を暗号化しました。
我々のチームは、角川の内部ネットワークから約1.5テラバイト(約1500GB)のデータを、ダウンロードしました。
ダウンロードしたデータに含まれる物
- 契約書
- 署名済みの契約書
- 法的文書
- ユーザーのデータ (連絡先, 利用状況, ユーザーが閲覧したリンク, 等々)
- 従業員関連データ (個人情報, クレジットカード・銀行, 契約書, 連絡先, 等々)
- ビジネス計画書 (プレゼンテーション, 連絡先, オファー, 等々)
- プロジェクト関連データ (コード, 連絡先, クレジットカード・銀行, 等々)
- 財務状況 (クレジットカード・銀行, 取引書, 計画書, 等々)
- その他の社内専用書類および機密データ
ネットワークが暗号化された後、我々は角川の経営陣と連絡を取り、彼らと取引を行い
データ保護とネットワークの復号化について取り決めた。
誰もが知っているように、会社は今苦しんでおり、ビジネス・経営が中断されている。
復旧の目処は7月末とされている。
角川の経営陣が、毎日のようにこの事態に関する広報を更新しているのは良いことだ。
そして、角川の経営陣が国民を落ち着かせるために "真実"を話すことにしたのは、とても良いことだ。
しかし、角川が詳細を隠そうとしたのは良くない。角川の言い分が間違っていることは証明できる。
まず第一に、角川のIT部門は、我々がネットワークを暗号化する3日前に、角川のIT部門はネットワーク内の我々の存在を検知した。 そして管理者は我々をネットワークから追い出そうとしました。 彼らは認証情報(パスワード, 秘密鍵)を変更しようとしましたが、我々にブロックされました。 そして、我々はネットワークへの検出不可能な侵入をすることに成功しました。角川の管理者が我々を発見した後も、我々はダウンロードを続けました。 彼らは、我々の発信トラフィックを検知して止めることができなかった。 なぜなら、サーバーのIPがブロックされた後でも、我々のダウンロードスクリプトは動き続けていたからです。暗号化の1日前、 角川の管理者は、我々を止めようとする膨大な活動を検知しましたが、うまくいきませんでした。。
しかし、秘密裏に用意したすべての情報を公開することは避けたい。
我々は商売人なので、お金にしか興味がない。角川は和解しようとしている。 しかし、彼らが提示した金額は、この会社にとっては極めて低いものだ。 このネットワークの問題は、ネットワーク・アーキテクチャの全面的な再構築につながる。 IT部門がネットワーク全体を再構築するまで待たなければならない。彼らが知らなかったのは 角川のIT部門はハクティビズムの経験が乏しく、自社のネットワーク内の弱点をすべて把握していないということだ。 もうひとつは、万が一流出したデータが公開された場合、角川はネットワーク・インフラだけでなく、ビジネスのやり方全体を変えなければならない。 ビジネス関連の多くの機密データも公開されることになるからだ。
ネットワーク復号化、流出データの削除に加え、長年の経験に基づき、角川のネットワークをより良いものにするためのお手伝いをさせていただきます。
手短に言えば、我々は日本国民に関する個人情報にアクセスできるようになった。 そのような人たちは、自分の私生活に関するデータは絶対に秘密にしておきたいはずだ、 メールや閲覧履歴を含め、「夜中にやっていること」が公になることを望む人はいない。
角川の経営陣はひとつだけ理解しておくべきことがある。 今週末までに契約を結ばなければ、すべてが公になるということだ。
今、多くの日本国民の機密情報が角川の経営判断にかかっている。
角川の経営トップが、この先数ヶ月を言い訳を言う事に費やすことを、望むとは思えない。
そのような方法は彼らに全く合わない。
角川のような企業にとっては、支払いをして前進し続けることもずっと簡単だろう。*翻訳は完全に正確ではなく、意訳も含まれることをご承知ください。
𝔹𝕃𝔸ℂ𝕂 𝕊𝕌𝕀𝕋 - 翻訳済み by Evex *全データは7月1日に公開される。
まとめ
今回のランサムウェア攻撃は、KADOKAWAにとって大きな試練となっています。
Black Suitの要求に対する対応が今後の鍵となるでしょう。
企業は、サイバー攻撃に対する防御策を強化し、同様の被害を防ぐための対策を講じる必要があります。
KADOKAWAは現在、被害の全貌を明らかにし、復旧作業を進めています。
この事件は、ランサムウェア対策の重要性を再認識させるものであり、企業全体での防御体制の強化が求められています。
将来的な攻撃を防ぐためには、定期的なバックアップの実施、最新のセキュリティパッチの適用、マルチファクター認証の導入、そして社内教育と意識向上が不可欠です。
企業はこれらの対策を実施することで、ランサムウェア攻撃のリスクを大幅に減らすことができます。
