KADOKAWA社のサイバーテロに見るSplashtop Secure Workspaceの可能性について
はじめに
日本は、他国に比べてランサムウェアの感染被害が少ない国として知られています。実際に、米国のプルーフポイントが発表した「State of the Phish 2024」レポートによると、15か国の社会人7500人およびセキュリティ担当者1050人を対象に行われた調査では、日本の社員の36%が「被害を受けた経験がある」と回答しました。この割合は、調査対象15か国の平均である69%に比べて非常に低く、日本が最も被害の少ない国であることが示されています。
一般的に、日本の企業や組織が身代金を支払う率は非常に低く、その割合は32%と報告されています。この割合は調査対象となった15か国中で13位の低さに位置しています(出典:同上)。そのため、攻撃者から見て、日本は割に合わないターゲットと見なされることが多いようです。
これは、日本が反社会的勢力に対して金銭的な便宜を図ることが法的にも社会的にも強く非難される国であることに由来します。また、日本では、国際的なテロ行為に関与しないという教育が広く社会に行き渡っています。さらに、身代金を支払って復旧したケースの割合は17%で、世界平均の41%と比較して最も低い数値です。これにより、「身代金を支払っても復旧しない」という認識が広がっており、交渉が不得意であることも影響していると考えられます。
今回のKADOKAWA社の事件は、日本のサイバーセキュリティの現状において、いくつかの重要な点で画期的な出来事であったと考えられます。現時点では、いくつかの報道を基に推測せざるを得ませんが、次の点を挙げてみます。
-
業界トップ企業が業務停止に追い込まれたこと
現在(2024年7月8日時点)、被害額の算定すら進めることができない状況にあります。 -
巨額の身代金を払ったとされるが、データが復旧していない
KADOKAWA社からの公式発表ではありませんが、複数の報道によると、同社はすでに約4億円の身代金を支払ったものの、追加の要求には応じなかったため、データの復旧が行われていないとされています。この被害額は、日本におけるランサムウェア問題としては最大級のものです。 -
子会社が攻撃を受けたことにより、親会社を含めたグループ全体の業務停止
一連の報道によれば、今回の攻撃の標的となったのは、KADOKAWA社の子会社であるKADOKAWA Connected社のデータセンターでした。特にドワンゴ社のサーバーが主な攻撃対象と見られています。この攻撃により、親会社であるKADOKAWA社の出版事業にも影響が出ており、書籍などの受注停止や生産量の減少、物流の遅延が発生し、一部の取引先への支払いも遅延しています。
また、漏洩した個人情報は254,241人分に上り、ドワンゴ関連の取引先や元従業員、N中等部・N高等学校・S高等学校の在校生・卒業生・保護者などの情報が、企業情報としてはドワンゴの一部取引先との契約書や社内文書などが含まれています。
また、専門企業の調査によると、本事案は「現時点ではその経路および⽅法は不明であるものの、フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因である」と推測しています。以下の情報が流出したことが確認されており、上場企業グループとしての管理責任が問われることになると考えられます。
外部漏洩が発⽣したことを確認した情報
1. 個⼈情報 合計: 254,241⼈
【社外情報】(株式会社ドワンゴ関連)
・同社および同社の⼀部関係会社の⼀部取引先(クリエイター、個⼈事業主含む)の個⼈情報(⽒名、⽣年⽉⽇、住所、電話番号、メールアドレス、活動名、⼝座情報など)
・同社、同社の⼀部関係会社および同社の⼀部兄弟会社の⼀部元従業員の個⼈情報(⽒名、⽣年⽉⽇、住所、電話番号、メールアドレス、学歴・⼝座情報などの属性情報、社員番号・勤怠などの⼈事情報など)
・同社および同社の⼀部関係会社の⾯接を受けた⼀部の⽅の個⼈情報(⽒名、⽣年⽉⽇、住所、電話番号、メールアドレス、選考履歴など)
【社外情報】(学校法⼈⾓川ドワンゴ学園関連)
・N中等部・N⾼等学校・S⾼等学校の在校⽣・卒業⽣・保護者・出願者・資料請求者のうち、⼀部の⽅々の個⼈情報(⽒名、⽣年⽉⽇、住所、電話番号、メールアドレス、学歴などの属性情報、⼊学年・担任・進学先などの学⽣情報など)
・学校法⼈⾓川ドワンゴ学園の⼀部元従業員の個⼈情報(⽒名、メールアドレス、⼝座情報などの属性情報、社員番号・所属組織などの⼈事情報など)
【社内情報】(株式会社ドワンゴ関連)
・同社全従業員(契約社員、派遣社員、アルバイト含む)の個⼈情報(⽒名、⽣年⽉⽇、住所、電話番号、メールアドレス、学歴・⼝座情報などの属性情報、社員番号・勤怠などの⼈事情報など)
・同社の⼀部関係会社および同社の⼀部兄弟会社の⼀部従業員の個⼈情報(⽒名、⽣年⽉⽇、住所、電話番号、メールアドレス、学歴・⼝座情報などの属性情報、社員番号・勤怠などの⼈事情報など)
【社内情報】(学校法⼈⾓川ドワンゴ学園関連)
・学校法⼈⾓川ドワンゴ学園の⼀部従業員の個⼈情報(⽒名、メールアドレス、⼝座情報などの属性情報、社員番号・所属組織などの⼈事情報など)
2. 企業情報など(株式会社ドワンゴ関連)
【社外情報】
・同社の⼀部取引先との⼀部の契約書
・同社の過去および現在の⼀部関係会社における⼀部の契約書
・同社の⼀部の元従業員が運営する会社の情報
【社内情報】
・株式会社ドワンゴの法務関連をはじめとした社内⽂書
参考記事:https://news.yahoo.co.jp/articles/7119f4bae4e4f1fe1a037ff5c38f41dc23c8e3ab
KADOKAWA社について
KADOKAWAは1945年に設立された出版社で、日本国内で最大手の一角を占めています。出版業にとどまらず、映像制作やゲーム開発にも力を入れています。特に注目すべきは、日本最大のオンライン動画サービス会社である株式会社ドワンゴを完全子会社(100%出資)として持ち、国内有数のオンラインエンターテイメント企業でもある点です。
時系列
6月8日 未明にKADOKAWA社オフィシャルサイト、エビテン、ニコニコサービス全般でシステム障害が発生しました。ドワンゴ社側は同日中に第一報を公開しました。
6月9日 KADOKAWA社グループ名義でシステム障害に関する第一報が公開され、その中で「外部からの不正なアクセス」が原因であると発表されました。また、ドワンゴ社は歌舞伎座オフィスを閉鎖しました。
6月14日 KADOKAWA社およびドワンゴ社名義でシステム障害に関する第二報が公開され、各社役員による謝罪と解説動画がYouTubeに投稿されました。KADOKAWA社グループ内のデータセンターサーバーが「ランサムウェア」を含む大規模なサーバー攻撃を受けたことが公表されました。
6月22日 ユーザベース傘下のNewsPicksが、KADOKAWA社グループと犯人との間で交わされたメールの内容を報道しました。KADOKAWA社は「サイバー攻撃を助長させかねない報道を行うメディアに対して強く抗議し、損害賠償を含めた法的措置の検討を進める」とコメントしました。
6月27日 ドワンゴ社が復旧状況等についてリリースを行い、KADOKAWA社はシステム障害に関する第三報を公開しました。犯人グループとの交渉内容についてはコメントせず、個人情報漏洩の可能性については「外部専門機関等の支援を受けながら調査を実施中」としました。クレジットカード情報は同社内に保管していないことも公表されました。
6月28日 KADOKAWA社とドワンゴ社の両社が情報漏洩に関するお詫びを掲載し、正確な情報は7月中に公開予定であるとしつつ、一部の情報(従業員やクリエイターの個人情報を含む)が外部に流出したことを確認したと明記しました。犯行グループは、要求が通らない場合、7月1日より1.5TB相当の情報をリークすることを通告しました。
7月1日 上記の情報がダークウェブに公開されました。
推測される原因
KADOKAWA社は詳細を発表していないため、以下の情報は報道を基にした推測です。今回攻撃を受けたサーバーはプライベートクラウドで構成されていました。同社のサーバーは、パブリッククラウド(AWS)とプライベートクラウド(KADOKAWA Connectedのデータセンター)で構成されていますが、攻撃を受けたのは後者です。2024年4月から「ニコニコ動画(以下ニコ動)」の主なデータをAWSに移管しており、不幸中の幸いとして、ニコ動のデータは暗号化されずに保全されていました。
サイバー攻撃以前から、KADOKAWA本社や一部のグループ会社では、クライアントパソコンやサーバーにEDR(エンドポイントでの検知・対応)が導入されていました。EDRは、パソコンやサーバー上の各種プログラムの動作を監視し、サイバー攻撃を検出するツールです。今回のサイバー攻撃では、KADOKAWA社のADやサーバーは無事だったと見られています。
一方、ドワンゴ社のパソコンやサーバーにはEDRが導入されていませんでした。関係者によると、ドワンゴ社のVPN(仮想私設網)を含む社内ネットワークと、ニコ動などを運用するサーバー環境との間でアクセス管理が十分ではなく、セキュリティリスクの検討が不十分だったとの指摘があります。
侵入経路などの原因は判明していませんが、サーバーが電源を落とされた後も、wake on LAN (ウェイクオンラン)で再起動され、物理的な抜線が行われました。2024年7月8日現在、事件以降オフィスへの従業員の出社は禁止されています。セキュリティホールが存在したのか、内部犯行者がいたのかは明らかになっていませんが、少なくとも後者の可能性も考えられています。
また、攻撃者からの声明には、以下のような激励の言葉も含まれていました。
「せめてセグメント分割くらいしなさい。そのような状況だとまたハッカーに狙われるよ」(意訳)
ネット上の情報によると、ドワンゴでは新入社員もベテラン社員も同じ権限で社内データにアクセスできたようです。
犯人側の声明から推測される原因と今後の展開
・KADOKAWAのネットワークアーキテクチャは適切に整理されていませんでした。
・異なるネットワークが、eSXIやV-sphereといったグローバルな制御ポイントを通じて、一つの大きなKADOKAWAのインフラストラクチャに接続されていました。
・KADOKAWAのIT部門は、侵入者がネットワーク内に存在することを暗号化される3日前に検出していました。
・管理者は侵入者をネットワークから排除しようとし、侵入者の使用していたIPアドレスの一つをブロックし、管理者の資格情報を変更しようと試みました。しかし、侵入者は検出されないアクセスを設定することに成功していました。
・KADOKAWAの管理者が侵入者を検出した後も、侵入者はデータのダウンロードを続けました。
・このネットワークインシデントは、ネットワークアーキテクチャの全面的な再設計を必要とするため、KADOKAWAの顧客はIT部門がネットワーク全体を再構成するのを待たなければならない状況にあります。
・KADOKAWAのIT部門は、ネットワークの弱点を理解するためのハッキング経験が不足しており、将来的に別のサイバーインシデントが発生する可能性があります。
出典:https://on.kabocy.com/blog/web-service/kb859
今回の事件に見るSplashtop Secure Workspaceの市場潜在力
- KADOKAWA社のような大企業であり、国内有数のオンラインサービスを提供する企業であっても、リスクの高い環境下でオンプレミス(自社運用)でシステムを運用していることが分かりました。社内ネットワークは、VPNを利用して社内外からアクセスできる状態にあったと考えられます。このような運用方法を取っている企業は他にも多く存在すると考えられます。今回の事例は、もしSplashtop Secure Workspaceでシステムを構築していれば、防げた可能性が高いと考えられます。
- KADOKAWA社は、連結子会社49社、持ち分法適用子会社17社を擁する巨大な企業グループです。以前PMIの資料でも指摘されたように、各子会社でネットワークやサーバーの運用、使用するソフトウェアが異なっていることが考えられます。このような状況を改善するために、Splashtop Secure Workspaceを導入することで、クラウド上に「KADOKAWA WAN」を構築することが可能です。
- 犯人グループからの声明にあった「セグメント分割が為されていなかった」という問題も、Splashtop Secure Workspaceを導入することで解決できます。Splashtop Secure Workspaceでは、階層を設定することで、アクセス範囲を制限することが可能です。この機能により、各ユーザーやグループに対して適切なアクセス権を設定し、セキュリティリスクを大幅に軽減できます。
- 先述の通り、現在の日本では、身代金を支払うケースは少なくなっています。また、ネットワークセキュリティに関しては、情報システム部門が単独で管理しているか、経営者が関わっていても末席の取締役や総務部門を所管する役員が片手間で担当しているケースが多いのが現状です。今回のKADOKAWA社の事件は、企業の経営を揺るがす大規模な災害であり、セキュリティに関する問題が経営上の重要事項の一つであることが社会的に認識される契機となった可能性があります。このため、Splashtop Secure Workspaceのような強固なセキュリティをワンストップで提供できるサービスの需要が、事件前よりも高まっていると言えるでしょう。
- 総じて、今回の事件を契機に日本企業のセキュリティ意識が再評価されることで、VPNやオンプレミス運用の危険性が改めて注目されています。このような状況下で、企業が強固なセキュリティ対策を導入する必要性が高まる中、Splashtop Secure Workspaceは信頼性の高いソリューションとしておすすめです。このサービスは、セグメント分割によるアクセス制限やクラウド上でのセキュリティ強化を実現し、企業の情報資産を効果的に守ることができます。是非この機会にSplashtop Secure Workspaceの導入をご検討下さい。