KADOKAWA/ニコニコへのサイバー攻撃 東ヨーロッパ系ハッカー集団BlackSuitが犯行声明をダークウェブに公開
ありがとうございます!
出版大手KADOKAWAが、動画配信サービス「ニコニコ動画」などの複数のサービスが利用できなくなるという深刻なサイバー攻撃に見舞われました。今回の攻撃について、ロシア系ハッカー集団「ブラックスーツ」(BlackSuit)が犯行声明を発表し、大量のデータを盗んだと主張しています。
サイバー攻撃の発端と影響
2024年6月8日未明、KADOKAWAおよびその子会社の複数のサーバーにアクセスできなくなる障害が発生しました。この影響で、動画配信サービス「ニコニコ動画」や書籍の出版など、KADOKAWAグループ全体の事業に深刻な支障が生じました。
関連> ニコニコ、復旧までに1ヶ月以上の見込みと発表 ニコニコ(Re:仮)が提供開始
ハッカー集団「ブラックスーツ」の犯行声明
6月27日、匿名性の高いダークウェブ上において、「ブラックスーツ」(BlackSuit)を名乗るハッカー集団が犯行声明を発表しました。声明によると、約1カ月前にKADOKAWAのネットワークに侵入し、1.5テラバイトに及ぶ大量のデータをダウンロードし、ネットワーク全体を暗号化したとされています。盗まれたデータには以下の情報が含まれています。
- 契約書類および署名済み書類
- ユーザー関連データ(メール、データ使用状況、アクセス履歴など)
- 従業員の個人情報(支払い情報、契約、メールなど)
- 事業計画やプロジェクト関連データ
- 財務データ(支払い、振替、計画など)
- その他の内部資料および機密データ
身代金要求と脅迫
ブラックスーツは、KADOKAWAに対して身代金の支払いを要求し、応じなければ7月1日にすべての盗まれたデータを公開すると脅迫しています。KADOKAWAの経営陣は、当初提示された金額に対して不満を持ち、金額を上乗せするよう要求されています。
KADOKAWAの対応と声明
KADOKAWAは、日本経済新聞などのメディアに対し、「現時点で当社としてはお答えできることはない」とコメントしています。また、クレジットカード情報の漏洩はなく、外部の専門機関の支援を受けて調査を進めていると述べています。より正確な情報は7月中に得られる見通しであり、判明次第公表する予定としています。
ブラックスーツの詳細と対策
ブラックスーツは、ランサムウェアを使用する有力なサイバー犯罪集団の一つとされており、これまでに医療、教育、金融など幅広い業界を標的にしてきました。特にアメリカでの被害が多く、日本での事例はこれが初めてです。
サイバーセキュリティ専門家である三井物産セキュアディレクションの吉川孝志氏によると、ランサムウェア攻撃の対策として、以下の点を挙げました。
- リモートからアクセスできる機器の見直し
- 端末やソフトウェアを最新の状態に保つ
- 重要なデータの定期的なバックアップ
- 攻撃を受けた際の手順や計画を事前に決めておく
まとめ
Our team gained access to the Kadokawa network almost a month ago. It took some time, because of the language, to figure out that Kadokawa subsidiaries’ networks were connected to each other and to get through all the mess Kadokawa’s IT department made there. We have discovered that Kadokawa networks architecture was not organised properly. It was different networks connected to the one big Kadokawas infrastructure being controlled through global control points, such as eSXI and V-sphere. Once we have gained access to the control center we have encrypted the whole network (Dwango, NicoNico, Kadokawa, other subsidiaries).
The second part of our Team downloaded about TB1,5 of data from the networks.
Quickscope of downloaded data:
-contracts
-DocuSigned papers
-various legal papers
-platform users related data (emails, data usage, links opened, etc)
-employee related data (personal info, payments, contracts, emails, etc)
-business planning (presentations, emails, offers, etc)
-projects related data (coding, emails, payments, etc)
-financial data (payments, transfers, planning, etc)
-other internal-use-only papers and confidential data
Once the network was encrypted we contacted Kadokawas management to make a deal with them regarding data protection and network decryption.
As everyone can see the company is suffering right now and its business processes are being interrupted. Kadokawa and its subsidiaries’ services were suspended and the approximate time of recovery was set to the end of July.
It is good to see that Kadokawas management is updating public announcements regarding this situation almost every day. It is very good that Kadokawas management decided to tell the “truth” to calm down the public.
But, it is not good that Kadokawa decided to hide some details. Maybe its own IT department decided not to tell all the truth to its own management, anyways, we can prove Kadokawa statements wrong.
First of all, Kadokawas IT department detected our presence within the network 3 days before we had encrypted the network. Admins tried to kick us out from the network, one of our server IP”s was blocked, they have tried to change admin credentials, but we have managed to set undetectable access to the network. We have continued downloading even after Kadokawa admins detected us. They were unable to detect and stop outgoing traffic, because our downloading scripts kept working even after the server’s IP was blocked. 1 day before encryption we have detected enormous Kadokawa admins activity trying to stop us unsuccessfully.
We still have more details to share with the public if needed, but we prefer not to show all the aces we have prepared within the sleeve.
Since we are people of business we are only interested in money. Kadokawa is trying to settle the deal, but the amount of money they have offered is extremely low for this company. This network incident will lead to full network architecture rework, that is why Kadokawas customers had to wait until the IT department reconfigures the whole network. The thing they didn’t know is that Kadokawas IT department doesn’t have enough experience in hacktivism to understand all the weak spots within its own network, which will lead to another cyber incident in the future. And the other thing is that in case if leaked data go public Kadokawa would have to change not just its network infrastructure, but the whole way they are doing business, because a lot of confidential business related data would be disclosed also.
We are offering our help to make Kadokawa’s network better, based upon our life lasting experience, in addition to network decryption and deletion of leaked data.
Long story short, we have gained access to very personal information regarding Japanese citizens. Those people would definitely like to keep the data related to their private life confidential, no one would like to see “things they are doing in the night” going public including their emails and browsing history.
Kadokawas’ management should understand one thing, is that everything will go public if we will not make a deal until the end of this week.
Right now the confidential life details of many Japanese citizens depend upon Kadokawas’ management decision.
We dont think that Kadokawa’s top management would like to spend the following few months bending in excuses. Such exercises do not fit them at all.
It would be much easier to pay and keep moving forward for such a company as Kadokawa is.
ALL DATA will be released on July 1st.
BlackSuitがダークウェブで公開した犯行声明
KADOKAWA株式会社
我々のチームは約1ヶ月前にKADOKAWAのネットワークにアクセスしました。言語の問題で時間がかかりましたが、KADOKAWAの子会社のネットワークが互いに接続されていることを理解し、KADOKAWAのIT部門が作った混乱を乗り越えました。我々は、KADOKAWAのネットワークアーキテクチャが適切に組織されていないことを発見しました。複数の異なるネットワークが、eSXIやV-sphereなどのグローバル制御ポイントを通じて一つの大きなKADOKAWAインフラストラクチャに接続されていました。我々が制御センターにアクセスした後、ネットワーク全体(Dwango、ニコニコ、KADOKAWA、その他の子会社)を暗号化しました。
我々のチームのもう一つの部分は、ネットワークから約1.5テラバイトのデータをダウンロードしました。
ダウンロードしたデータの概要:
- 契約書
- DocuSignedの書類
- 各種法的書類
- プラットフォームユーザーに関連するデータ(メール、データ使用量、アクセスしたリンクなど)
- 従業員に関するデータ(個人情報、支払い、契約、メールなど)
- ビジネス計画(プレゼンテーション、メール、提案など)
- プロジェクト関連データ(コーディング、メール、支払いなど)
- 財務データ(支払い、送金、計画など)
- その他内部使用専用の書類および機密データ
ネットワークを暗号化した後、データ保護とネットワーク復号化に関してKADOKAWAの経営陣と取引を開始しました。
ご覧の通り、現在会社は苦しんでおり、ビジネスプロセスが中断されています。KADOKAWAおよびその子会社のサービスは停止されており、回復の見込みは7月末とされています。
KADOKAWAの経営陣がこの状況についてほぼ毎日公表していることは喜ばしいことです。経営陣が「真実」を伝えて公衆を落ち着かせようとしているのは良いことです。
しかし、KADOKAWAがいくつかの詳細を隠しているのは良くありません。もしかすると、IT部門が経営陣に全ての真実を伝えていないのかもしれません。いずれにせよ、我々はKADOKAWAの声明が間違っていることを証明できます。
まず、KADOKAWAのIT部門は我々がネットワークを暗号化する3日前に我々の存在を検知しました。管理者は我々をネットワークから追い出そうとし、我々のサーバーIPの一つをブロックし、管理者の資格情報を変更しようとしましたが、我々は検出されないアクセスを設定することができました。我々はKADOKAWAの管理者に検出された後もダウンロードを続けました。彼らはアウトゴーイングトラフィックを検出して止めることができませんでした。我々のダウンロードスクリプトはサーバーのIPがブロックされた後も動作し続けました。暗号化の1日前に、KADOKAWAの管理者が我々を止めようとする大規模な活動を検知しましたが、成功しませんでした。
必要であれば、まだ公表していない詳細を共有する用意がありますが、すべての手札を公開するつもりはありません。
我々はビジネスの人間であり、金銭にしか興味がありません。KADOKAWAは取引を試みていますが、彼らが提示した金額はこの会社にしては非常に低いものです。このネットワークの事件は完全なネットワークアーキテクチャの再設計を必要とし、KADOKAWAの顧客はIT部門がネットワーク全体を再構築するまで待たなければなりません。KADOKAWAのIT部門は自社ネットワークのすべての弱点を理解するのに十分な経験がないため、将来的に再びサイバー事件が発生することになるでしょう。また、漏洩したデータが公になる場合、KADOKAWAはネットワークインフラだけでなく、ビジネスの運営方法全体を変更する必要があります。
我々はKADOKAWAのネットワークを改善するための支援を提供しています。我々の長年の経験に基づいて、ネットワークの復号化と漏洩データの削除も行います。
要するに、我々は日本市民に関する非常に個人的な情報にアクセスしました。これらの人々はプライベートな生活に関するデータが公になることを望まないでしょう。メールや閲覧履歴を含む「夜に行っていること」が公になることを望む人はいません。
KADOKAWAの経営陣は、今週末までに取引が成立しなければすべてのデータが公開されることを理解すべきです。
現在、多くの日本市民の機密生活の詳細はKADOKAWAの経営陣の決定にかかっています。
我々は、KADOKAWAのトップマネジメントが次の数ヶ月間言い訳をし続けることを望んでいないと思います。そんなことは彼らには似合いません。
KADOKAWAのような会社には、支払って前進する方がはるかに簡単でしょう。
すべてのデータは7月1日に公開されます。
弊メディアによる抄訳
ESET HOME セキュリティ エッセンシャル| 5台3年 |オンラインコード版|ウイルス対策|Win/Mac/Android対応|…
【公式】マカフィー アンチウイルス プラス|3年10台|ウイルス対策|Win/Mac/Android対応|オンラインコード版
関連記事 (おんかぼ/あのかぼ)
関連> KADOKAWAへのサイバー攻撃 BlackSuitが犯行声明を発表 ニコニコ側の説明と食い違いも
関連> KADOKAWA社長 夏野氏のXアカウントは乗っ取られていなかった
関連> KADOKAWA社長 夏野氏のXアカウントが乗っ取られる 原因にはNewsPicksの報道という指摘も 両社の対立深く
関連> KADOKAWA、サイバー攻撃に関する一部報道に強く抗議 – 攻撃者のメッセージ掲載に対する法的措置を検討
関連> ニコニコを襲った大規模なサイバー攻撃「時間をかけて計画的に攻撃」はどのようなものだったのか
関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?
関連> ニコニコ、復旧までに1ヶ月以上の見込みと発表 ニコニコ(Re:仮)が提供開始
関連> KADOKAWAグループが大規模サイバー攻撃を受け、ニコニコを含む複数のウェブサイトが停止
関連> KADOKAWAグループの複数ウェブサイトに大規模サイバー攻撃依然続く、ニコニコはシステム再構築へ 影響はニコ動やN高、各アニメ公式サイトにも波及。
前後の記事
関連記事
-
ニコニコ/KADOKAWAを攻撃したハッカー集団「BlackSuit」ダークウェブ上で予告通り個人情報を公開と報道 「ニコニコ超開示」がトレンド入り
-
OpenAI、ChatGPTで画像分析機能を可能にするGPT-4Vを発表、マルチモーダルに。
-
KADOKAWA社長 夏野氏のXアカウントが乗っ取られる 原因にはNewsPicksの報道という指摘も 両社の対立深く
-
KADOKAWA、ダークウェブ上に流出したデータの拡散行為に法的措置の準備
-
ECサイト大手「Shopify」から約18万件分の顧客データが流出か 海外メディアが報じる
-
サム・アルトマン氏、OpenAIのCEOに復帰。 Microsoftとのより強固なパートナーシップを目指す
-
【230GB分のデータ流出か】NTTデータ ルーマニアがランサムウェア集団「RansomHub」の「犯行リスト」に入ったと複数のセキュリティ企業が報告
-
Microsoftが検索エンジンに「Prometheusモデル」を搭載した新バージョンを発表
コメントを残す