【情報収集】KADOKAWAグループにおける大規模ランサムウェア攻撃の概要と教訓

2024年7月3日

こんにちは、キクです。

本記事は、僕が情報収集で学んだことをアウトプットするシリーズになります。

今回は『KADOKAWAグループにおける大規模ランサムウェア攻撃』について書いていこうと思います。

それでは、よろしくお願いします。

注意事項

本記事の内容は個人レベルでの情報収集が目的です。

そのため、本記事には網羅性の欠如や誤った情報が含まれる可能性もありますが、ご了承ください。

はじめに

2024年6月8日、KADOKAWAグループは大規模なランサムウェア攻撃に見舞われました。

本記事では、この事件の概要とエンジニアとして学ぶべき教訓、そして再発防止のための対策について書いていこうと思います。

事件の概要

ニコニコを中心としたサービス群を標的としたKADOKAWAグループのデータセンター内のサーバがランサムウェアを含む大規模なサイバー攻撃にあった。

ニコニコはパブリッククラウドとプライベートクラウドを併用してサービス提供しているが、このうちプライベートクラウド環境が攻撃を受けた。
その中の相当数の仮想マシンがランサムウェアの影響で暗号化され利用不可の状態になった。

データセンター内には、ニコニコのサーバだけではなくKADOKAWA全体の業務用のサーバ等も稼働していた。

ランサムウェアの被害拡大およびデータ保全のために、暗号化された仮想マシンに限らずデータセンター内の全サーバを電源停止するなどの措置を実施した。

しかし、遠隔からサーバを起動させて感染拡大を図るなど攻撃は執拗に行われたことから、管理者はサーバを物理的に停止せざるを得ない状況となった。
これにより、ニコニコだけでなくKADOKAWSグループのサービス全体に大きな影響が出てしまった。

攻撃の種類

先述の通り、今回の攻撃はランサムウェアにより行われた。
ランサムウェアはシステム内のデータを暗号化し、復旧のために身代金を要求するマルウェアである。

KADOKAWAグループのサーバーが暗号化され、これにより様々な不具合が発生した。

影響範囲

ランサムウェア攻撃により、ニコニコの動画配信サービスやニコニコ生放送、ニコニコチャンネルなどの複数のオンラインサービスが影響を受け、一時的に利用不可となった。

また、KADOKAWA Game Linkageのebtenオンラインショッピングサイトなどその他のサービスについても同様に影響を受けた。

対応策

システム隔離と復旧

被害拡大を防ぐため、KADOKAWAグループは直ちに感染したシステムを隔離した。

復旧にあたり大切なポイントは「攻撃を受けた環境とは別の環境での復旧が必要」ということ。
なぜなら、攻撃を受けた環境での復旧(再構築)は、再攻撃を受ける可能性が高いためである。

このようなケースでは、今回のように既存サービスのソースコードが手元にあったとしても、新環境での再構築では「動作確認」やサービス間の「連携テスト」など確認事項も多くなることから復旧までには多くの時間を要する。

セキュリティ強化 / 専門機関の協力

攻撃後、KADOKAWAグループは、セキュリティ専門機関と協力して、攻撃の詳細な調査を行い、再発防止策を策定しました。

この協力により、より高度なセキュリティ対策を講じることが可能となった。

教訓と対策

バックアップサイトの重要性

今回の攻撃ではプライベートクラウド内の相当数のサーバがランサムウェアにより暗号化されたことで、システム停止を余儀なくされたというのが発端にある。

加えて、リモートからの電源操作なども行われていたことから物理的に停止せざるを得ない状況でもあった。
こうなると、1つのデータセンター内で冗長構成を組んでいたとしても復旧対応は難しくなってしまう。

バックアップ環境は金銭的な部分とトレードオフ的なことも多いと思うので一概には言えないが、今回のように「データセンター内のサーバをマルッと停止」というような状況が起こりえてしまうのであれば、あらかじめ物理的には別の「バックアップサイト」を準備しておくことも必要と感じた。

社員教育の徹底

ランサムウェアは思わぬ油断から標的になる可能性もある。
そのためこれを防ぐためには日頃からの社員教育の徹底が必要となる。

社員が不審なメールやリンクに対する警戒心を持つことで、攻撃の成功率を下げることができる。

インシデントレスポンス計画の策定

迅速な対応を可能にするため、インシデントレスポンス計画の策定と定期的な演習が必要。

攻撃を受けてから考え始めるのではなく、あらかじめ復旧ストーリーを考えておくこと。
これにより、攻撃発生時に慌てることなく、適切な対応が可能となる。

おわりに

今回のKADOKAWAグループのサイバー障害は、企業全体のセキュリティ対策の見直しと強化の重要性を再認識させるものでした。

エンジニアとして、システムの脆弱性評価、セキュリティパッチの適用、社員教育など、日常的なセキュリティ対策を徹底することが求められます。
今回の事件から得た教訓を活かし、同様のサイバー攻撃を防ぐための対策を講じることが重要です。

僕自身もセキュリティ対策というものにより一層注意を向け、必要に応じて強化していく心構えを持たなければと感じました。

参考情報

参考:KADOKAWAにサイバー攻撃、ニコニコなど複数Webサイトに障害発生中
参考:KADOKAWAのシステム停止はランサムウェアが原因、ニコニコなど復旧は1カ月以上先
参考:KADOKAWAがシステム復旧状況報告、ニコニコは臨時再開
参考:ランサムウェア攻撃による情報漏洩に関するさらなる犯行声明および当社グループの対応状況について
参考:Japanese vid-sharing site Niconico needs rebuild after cyberattack
参考:Kadokawa Posts Statement After Suspected Cyber Attack (Updated)
参考:Kadokawa Investigates Suspected Cyber Attack as Several Services Go Offline

-セキュリティ, 情報収集
-,