出版大手KADOKAWAがサイバー攻撃を受けて、およそ1カ月が経過した。子会社ドワンゴが運営する「ニコニコ動画」は完全復旧に至っていない。
同社が被害にあったのは「ランサムウェア攻撃」で、ランサムは身代金を意味し、データの盗難やファイルの暗号化によって使えなくさせ、元に戻す代わりに身代金を要求するコンピューターウイルスを指す。データ復元だけでなく、盗んだデータを公開するという「二重脅迫」が一般的とされている。
KADOKAWAは当初、本社ビルを封鎖して、サーバーをシャットダウンさせるなどの対策に追われた。犯行声明を出したのは、謎のサイバー犯罪集団「Black Suit(ブラックスーツ)」で、ロシア系のハッカー集団とみられている。KADOKAWAのネットワークに侵入し、「ダークウェブ」と呼ばれる、発信先の特定が困難な闇のサイトを通じて、取引先との契約書や、全従業員の個人情報、「ニコニコ生放送」で本名や年齢を伏せて活動してきた配信者の個人情報を流出させた。また、ドワンゴがシステム提供する通信制高校「N高校」「S高校」の生徒とみられる個人情報も流出した。
かつて企業を相手とした脅迫・身代金要求事件は、「グリコ・森永事件」や「三井物産マニラ支店長誘拐事件」など、人命と引き替えに身代金を要求していたが、最近は企業情報やシステムデータを人質に取る犯行が相次いでいる。
JAXA(宇宙航空研究開発機構)は2023年6月、サイバー攻撃により職員の個人データ約5000人分が盗まれ、1万を超えるファイルが流出した。2023年7月には、名古屋港がランサムウェアによってシステム障害を起こし、3日間にわたってコンテナが出し入れできない事態に。今年5月には、全国の自治体や企業から印刷業務を請け負うイセトー(京都市)がサイバー攻撃を受けて、市民や企業の情報など最低150万件近くの個人情報が漏えいした恐れがあると判明した。
サイバーセキュリティの専門家で、ランサムグループをリサーチし続ける、SBテクノロジーの辻伸弘氏は、報じられている事例は「氷山の一角だ」と指摘する。「こっそり身代金を払ったり、何事もなく戻せたりすれば、報告は上がってこない。ランサムグループを観察し始めた2020年の頭ごろから、比べものにならないくらいグループの数が増えている。10倍ではきかない」という。
今回のニュースで、たびたび登場するのが「ダークウェブ」だ。犯行グループが盗んだ情報を漏えいさせ、企業とのやりとりにも利用される闇サイトを指す。ランサムウェアに感染し、データが暗号化されると、犯行グループからランサムノート(脅迫状)が届き、そこへダークウェブへのリンクが張られる。辻氏は「どこにサーバーがあるか追跡しにくくするため、複数の端末を経由していく」と説明する。ダークウェブ上で、犯人と被害者はチャットで交渉し、脅しや交渉決裂によって、企業や個人の情報をさらす。
今回の首謀者とされるブラックスーツについては「集団かどうかもわからない。ひとりでやっている可能性もある。『旧ソ連圏の国に攻撃してはいけない』とルールを敷くランサムグループが多く、そこからロシア系の人々ではないかと言われている」と述べた。
アメリカ政府の専門機関によると、昨年5月にブラックスーツの存在を検知し、2021年には約200億円を身代金として脅し取ったと言われている。「攻撃者とのやりとりを公開した企業が過去にあったが、内情を知って交渉してくるのもざらにあるらしい」と紹介する。
「『病院は(身代金を)払ってもいい』と言う人がいるが、それは命に関わるから。『民間企業はアカン』という論調はよく見かけるが、身代金を払わずに復旧できない時間が長くなり、損害が大きくなれば、クビを切られる社員の人命にも関わる。復旧費用よりも、身代金の方が基本的に安い。ただ、積極的に支払った方がいいとは思わず、しっかりした備えが必要だ」(SBテクノロジー・辻伸弘氏)
感染経路の有効回路は、外部から社内の業務システムに接続するための「VPN機器」からの侵入が54%(41件)でトップだった。「認証情報が含まれる情報パッケージが10ドル程度で買える」という。会社サーバーにつながる個人PCがあれば、ハッカーは本丸のサーバーへ到達できる。
ITジャーナリストの三上洋氏は、今回のランサムウェア事件を「今まで企業が受けたサイバー攻撃では、最大規模に近い」と分析する。
「KADOKAWAはネットのサービス利用に優れていて、いろいろなサービスを1つのサーバーに入れて、より安全に、安く使うシステムを作っていた。そこにはニコニコ動画も出版も、予備校も、マンションのように同居していたが、その管理すら乗っ取られた」(三上洋氏)
ランサムウェアの被害とはわかっているものの、「侵入ルートがわからず、狙われたかどうかもわからない」。その上で、自宅と会社をつなぐVPNがアップデートされておらず、「古いから侵入できる」と判断した可能性を指摘する。一方で「偶然にKADOKAWAのVPNが古かった。もしくは偶然に社員が偽サイトにだまされて、IDやパスワードを盗み取られた」というパターンも考えられるという。
犯行グループには「分業体制で小さな企業を狙うところも、大企業を一気に狙うところもある」そうだ。大きく2つのパターンに分けられ、「信用第一のグループは『お金を払ったら、絶対にデータを戻す』と保証する。もうひとつが『やらずにぼったくり』。脅してお金を取って、逃げちゃう。今回は後者のグループに近いと思われる」とした。
また、ダークウェブについては「インターネットの中に、もうひとつネットワークがあるようなイメージ」と表現する。「ダークウェブはネットワークの仕組みで、それ自体をつぶすことはなかなかできない。警察などが入り込んで、おとり捜査はしている。犯罪や詐欺の場となっており、ウイルスに感染する可能性もあるので一般のユーザーが入るのはオススメできない」。
サイバー攻撃に巻き込まれないために、一般ユーザーでできる対策はあるか。「個人のパソコンでも、セキュリティソフトを入れる。Windowsには無料の『Windowsセキュリティ』が付いていて、ウイルス検知や、外からの攻撃を防御するファイアウォールの機能もある。それを有効にすると良い。また、メールに張られているリンクは、偽物や詐欺かもしれないので、不用意に押さないことが大事だ」と警鐘を鳴らした。
(『ABEMA的ニュースショー』より)
■Pick Up
・【インタビュー】ABEMA開発担当者が目指す“ユーザーフレンドリー”な広告体験とは
・【ABEMA】スポーツマーケティングにおける“ライブ特化型広告”の強みとは
