皆さんこんにちは。
プライバシーザムライ中康二です。
6月8日、「ニコニコ動画」の運営を行っている株式会社ドワンゴならびに親会社の株式会社KADOKAWAに対して、大規模なランサムウェア攻撃が行われ、グループ全体の業務が停止しました。同社では犯行グループへの対処、二次被害の拡大の防止、業務の立て直しなどを並行して進めている中で、8月5日、25万人分の個人情報流出を正式に発表しました。
ランサムウェア攻撃により、業務システムに大きな被害が出る事態は、ここ数年相次いでいます。今回はそれが一般の人が利用している大規模なクラウドサービスにまで被害が及ぶ事態となり、影響範囲が広くなっています。
何度も情報共有していますが、今の「ランサムウェア攻撃」は、単に「ランサムウェア」という名のウイルスを送り込んでくるものではありません。
今のランサムウェア攻撃とは、不正アクセスで利益を上げることを目的とする犯罪集団が、特定の企業を標的に選び出し、その企業の脆弱性をついてネットワークに侵入し、社内のパソコンやサーバーを乗っ取っていって、最後には会社全体の管理者権限を取得し、社内のデータを暗号化したり、データを持ち出したり、サービスを停止したりするものです。
今回のニコニコ・KADOKAWAグループに発生している事態は、まさにそれです。6月の事件発生、同社のサービスと業務の停止以来、同社では様々な方向に向けて様々な対応を取ってきましたので、今回の記事ではそれをまとめたいと思います。
目次
(1)侵入経路はやはりVPN?
同社の8月5日付リリースによると、「フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因である と推測される」としています。やはり犯行グループにVPNのアカウントがばれてしまったために社内ネットワークへの侵入を許してしまったのではないかと考えられます。
しかし、一般社員が使用する業務用のVPNに侵入されただけであれば、今回のような基幹システムを含む全社のシステムがダウンすることには直結しないと考えられます。
①ばれてしまったアカウントが管理者のものであった
②同社の社内ネットワークの分離が不十分であった
③犯行グループがVPNで侵入した後、時間をかけて基幹システムのネットワークにも侵入した
などの可能性が考えられます。
リモートワークの普及以降、多くの会社でVPNが導入されていますが、IDパスワードだけで認証しているような場合、今回のように簡単に侵入を許してしまう結果となりかねません。二要素認証など認証を強化したり、またネットワークに侵入されたとしても、その先の乗っ取りを許さないような対策が強く求められます。
(2)25万人の個人情報流出を発表
また同社は8月5日付で、今回のランサムウェア被害における個人情報の流出を発表しました。社内・社外合わせて25万4241人で、全社員の個人情報(人事情報含む)、取引先(個人事業主含む)の個人情報、同社が運営するN中等部・N高等学校の生徒の個人情報としています。
今回公表された25万人分というのは、犯行グループによってダークウェブ上に公開されたものを指しているものと思われます。しかし、これは同社から持ち出された個人情報の一部だけである可能性が高いです。報道などによると、同社は犯行グループと何らかの交渉を行ったようで、身代金を一部支払ったのではないかという未確認情報もあります。その交渉の過程で「脅し」として今回のダークウェブへの公開が実施され、それがこの25万人分ということだと考えられますが、これ以上の個人情報の公開が行われる可能性も残っているはずです。
もしそれがないとすれば、
①犯行グループが持ち出した情報の中にこの25万人分以外には個人情報がなかった
②同社が犯行グループと何らかの合意に達していて、これ以上のダークウェブ上への公開をしないという確約が取り付けられた
③犯行グループの間で合意には達していないが、現状公開された分だけを報告した
という三つの可能性しかないと考えられます。
(3)個人情報の二次流出に対しては厳格な措置を実施
今回の事件は、多くのネットユーザーが集まるニコニコ動画が狙われたことから、一般の関心も高く、「ダークウェブ」という言葉が広まるきっかけにもなったと思います。そしてその危険なダークウェブ上に公開された25万人分の個人情報をわざわざ見に行って、ダウンロードしたり、それをWeb上で公開するような人が沢山現れたようです。
これら二次流出に対して、同社では下記の通り厳格に対処する方針を明らかにしています。
①二次流出が行われている場合には、SNS運営者などに対して削除要請と発信者情報開示請求
②悪質性が高いものについては刑事告訴・刑事告発も行う
以前から、個人情報が流出した場合には同様の事態が繰り返されてきていますが、「個人情報の入ったUSBメモリを拾ったからと言って、その内容をWeb上で公開して他人に迷惑をかけてはいけない」というのと同じことです。民法上の不法行為に問われる可能性は高いと思われますし、刑法上の業務妨害などで告訴される可能性もあると思います。
(4)8月5日に「帰ってきたニコニコ」動画サービス再開
ニコニコ動画を運営する株式会社ドワンゴでは、8月5日からニコニコ動画のサービスを再開すると発表しました。新バージョン名は「帰ってきたニコニコ」という、今回の事件の暗い影を吹き飛ばすようなかわいらしいネーミングとなっています。
KADOKAWAの出版部門も少しずつ回復していっているようですし、同社としては時間をかけながら、事業の再開を進めていくようです。
私たちとしては、今回の事件を教訓として、自社の情報セキュリティ対策に今以上に真剣に取り組むことが求められます。
ランサムウェア攻撃に対する対策については、下記の記事をご参照ください。
この内容が皆さんにとって何かの参考になればと思います。
今後も新しい情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
