KADOKAWA ランサムウェア攻撃 詳細レポート|BlackSuit・2024年6月
secure① インシデント概要
| 発生日 | 2024年6月8日(未明) |
| 攻撃種別 | ランサムウェア攻撃(二重脅迫型) |
| 攻撃者 | BlackSuit(ロシア系ハッカー集団) |
| 侵入経路 | フィッシングによるVPN認証情報の窃取(MFA未設定) |
| 潜伏期間 | 約1ヶ月 |
| 窃取データ量 | 約1.5TB |
| 漏えい件数 | 254,241件(2024年8月5日 最終確定) |
| 影響サービス | ニコニコ動画・ニコニコ生放送ほか多数 |
| サービス停止期間 | 最大約4ヶ月(ニコニコ動画:6月8日〜10月) |
| 財務的影響 | 特別損失 約23億円 |
| 悪用された基盤 | VMware ESXi / vSphere(仮想化基盤) |
② 発生から復旧までの時系列
2024年5月上旬【侵入】フィッシングによりドワンゴ従業員のVPN認証情報を窃取。MFA未設定のため不正ログイン成功。
6月8日未明【発症】ESXi/vSphereを経由してランサムウェアを一斉展開。ニコニコ動画等が停止。
6月9日【公表】KADOKAWAがサイバー攻撃によるシステム障害を公表。
6月下旬【脅迫】BlackSuitがリークサイトにKADOKAWA情報を掲載。二重脅迫を開始。
6月28日【第1報】個人情報漏えいを正式発表。詳細件数は「調査中」。
7月3日【対策チーム】KADOKAWA・ドワンゴ・角川ドワンゴ学園の横断対策チームを組成。
8月5日【最終確定】漏えい件数254,241件を確定。根本原因をフィッシングによる認証情報窃取と特定。
8〜9月【段階的復旧】公式サイト・書籍関連サービスが復旧。ニコニコ動画は停止継続。
10月【ほぼ復旧】発生から約4ヶ月でニコニコ動画再開。
2025年【法的対応】漏えい情報を拡散した悪質なユーザーへの刑事告訴・告発を実行。
③ 技術的詳細:BlackSuitの手口と侵入経路
BlackSuitとは
BlackSuitはロシア系の組織的ランサムウェアグループで、「Royal Ransomware」の後継・改良版と分析されている。RaaS(Ransomware-as-a-Service)モデルで運営され、「二重脅迫型」—暗号化+データ公開脅迫—が標準的な手口だ。
ターゲット選定:VMware ESXi/vSphereを優先して狙う。ESXiホスト1台掌握で複数VMを一括暗号化できる。
初期侵入:フィッシング・RDP・VPN認証情報窃取・公開アプリ脆弱性悪用が主な経路。
潜伏と横展開:数週間〜数ヶ月間LotL戦術でネットワーク内を探索。特権昇格後にESXi管理コンソールを掌握。
データ窃取先行:暗号化前に大量データを外部持ち出し(KADOKAWA事案:推定約1.5TB)。二重脅迫の証拠として利用する。
KADOKAWA事案での具体的な侵入ステップ(推定)
| フェーズ | 内容 | 技術的ポイント |
|---|---|---|
| Step 1:初期侵入 | フィッシングでVPN認証情報を窃取。MFA未設定のVPNに不正ログイン。 | MFAがなければ認証情報のみで突破可能。 |
| Step 2:内部探索 | LotL戦術でActive Directory等を約1ヶ月探索。特権アカウントを入手。 | 正規ツール悪用のため検知が困難。 |
| Step 3:仮想化基盤制圧 | ESXi/vSphere管理コンソールを掌握。多数のVMを一括制御。 | セグメンテーション不足が被害を拡大。 |
| Step 4:データ持ち出し | 約1.5TBを外部持ち出し後にランサムウェア実行。 | DLPがなければ検知困難。 |
| Step 5:暗号化・脅迫 | 6月8日未明に一斉展開。リークサイトで犯行声明。 | 仮想化基盤への一括攻撃で短時間に全体停止。 |
④ 中小企業への教訓
KADOKAWA事案の出発点は「よくある侵入経路(フィッシング)」と「よくある設定ミス(MFA未設定)」の組み合わせだった。
本件の直接的な侵入口はMFA未設定のVPNだった。VPN・リモートアクセス環境には必ずMFAを導入する。MicrosoftEntraやDuoなど低コストのサービスも普及している。
- VPN製品の管理画面でMFAを有効化する
- Microsoft 365やクラウドサービスへのアクセスにも適用する
- コスト上限がある場合はまず経営幹部・IT管理者から優先適用する
ESXi/vSphere等の管理コンソールへのアクセスが一般ネットワークから到達できる状態は危険だ。管理系ネットワークを業務系から物理・論理的に分離する。
- 管理コンソールへのアクセスは管理用PCからのみ許可する
- 業務ネットワークとサーバーネットワークをVLANで分離する
ランサムウェアは接続されたバックアップも暗号化する。3-2-1ルール(3コピー・2メディア・1オフサイト)を基準にする。定期的な復元テストも必須だ。
根本原因はフィッシングによる認証情報窃取だ。年1回の研修だけでは不十分で、半年〜1年に1回以上の模擬フィッシング訓練と組み合わせることが有効だ。
- VPN・リモートアクセスにMFAが設定されているか確認する
- バックアップがネットワーク非接続の場所に存在するか確認する
- ESXi等の仮想化管理コンソールへのアクセス経路を確認する
- パスワードの使い回しがないか確認し変更する
- インシデント発生時の連絡先(IPA・JPCERT/CC)を手元にまとめておく
⑤ KADOKAWAの対応状況
初動対応
6月8日の障害検知後、KADOKAWAは直ちにサーバーをシャットダウンし外部の大手セキュリティ専門企業に調査を依頼した。書籍出版・ECなど別系統のシステムは比較的早期に復旧。
情報開示の経緯
6月9日(第一報)→ 6月28日(個人情報漏えい発表)→ 8月5日(最終確定・254,241件)と段階的に開示した。漏えい件数確定に2ヶ月を要した点は課題として指摘された。
再発防止策
外部専門機関の助言のもと、VPN/MFA強化・ネットワークセグメンテーション見直し・仮想化管理アクセス制限・横断対策チーム組成・漏えい情報拡散への刑事告訴を実施。特別損失として約23億円を計上した。
⑥ 続報
本セクションは新たな事実・続報が入り次第、更新します。現時点で追記すべき続報はありません。
編集部まとめ
KADOKAWAへの攻撃で特筆すべきは、「よくある侵入経路(フィッシング)」と「よくある設定ミス(MFA未設定)」の組み合わせが出発点だったことだ。BlackSuitの高度な技術に対抗するより前に、入口の鍵をかけていれば被害の起点を防げた可能性がある。
ESXi仮想化基盤を軸にした横展開・一括暗号化は、オンプレミス型プライベートクラウドを使う組織特有のリスクを示している。中小企業でも小規模なHyper-V・ESXiを運用しているケースは存在し、同様の被害を受けうる。
254,241件の漏えい・23億円の損失・4ヶ月のサービス停止。基本対策が後手に回った組織に起きた話だ。
