【全文和訳】KADOKAWAとニコニコを襲ったBlack Suitの犯行声明は一体どんな内容だったのか 証拠として機密情報の一部も公開か
ありがとうございます!
出版大手KADOKAWAがロシア系ハッカー集団「Black Suit」による大規模なサイバー攻撃を受け、オンラインショッピングサイト「ebten」や動画配信サイト「ニコニコ動画」などを含む多数のサービスが停止に追い込まれるなどの影響が出ています。
ニコニコ側が公開した情報によると、この攻撃は2024年6月8日未明に発生し、サーバ間の接続や電源を物理的に切断したと説明していますが、ハッカー集団「BlackSuit」はサーバを暗号化する3日前にはKADOKAWA側がサーバの侵入に気づいていたことを明らかにし、ニコニコ側と説明が食い違っています。
本稿では27日にハッカー集団はダークウェブ上で犯行声明を発表した内容についてみていきます。
目次
ランサムウェア集団「Black Suit」がダークウェブ上に公開した犯行声明の中身
KADOKAWAに大規模なサイバー攻撃を仕掛けたとされる「Black Suit」がダークウェブ上に公開した犯行声明の全文は以下の通りです。
この犯行声明は英語で記されているものの、これには違和感のある表現が散見されます。
この「違和感」について詳しく分析してみました。詳細はあのかぼの「【分析】KADOKAWA/ニコニコを襲ったハッカー集団「BlackSuit」の犯行声明から読み解く犯人像 ―犯行声明はスラヴ語系の影響を強く受けている可能性」をご覧ください。
犯行声明原文
Our team gained access to the Kadokawa network almost a month ago. It took some time, because of the language, to figure out that Kadokawa subsidiaries’ networks were connected to each other and to get through all the mess Kadokawa’s IT department made there. We have discovered that Kadokawa networks architecture was not organised properly. It was different networks connected to the one big Kadokawas infrastructure being controlled through global control points, such as eSXI and V-sphere. Once we have gained access to the control center we have encrypted the whole network (Dwango, NicoNico, Kadokawa, other subsidiaries).
The second part of our Team downloaded about TB1,5 of data from the networks.
Quickscope of downloaded data:
-contracts
-DocuSigned papers
-various legal papers
-platform users related data (emails, data usage, links opened, etc)
-employee related data (personal info, payments, contracts, emails, etc)
-business planning (presentations, emails, offers, etc)
-projects related data (coding, emails, payments, etc)
-financial data (payments, transfers, planning, etc)
-other internal-use-only papers and confidential data
Once the network was encrypted we contacted Kadokawas management to make a deal with them regarding data protection and network decryption.
As everyone can see the company is suffering right now and its business processes are being interrupted. Kadokawa and its subsidiaries’ services were suspended and the approximate time of recovery was set to the end of July.
It is good to see that Kadokawas management is updating public announcements regarding this situation almost every day. It is very good that Kadokawas management decided to tell the “truth” to calm down the public.
But, it is not good that Kadokawa decided to hide some details. Maybe its own IT department decided not to tell all the truth to its own management, anyways, we can prove Kadokawa statements wrong.
First of all, Kadokawas IT department detected our presence within the network 3 days before we had encrypted the network. Admins tried to kick us out from the network, one of our server IP”s was blocked, they have tried to change admin credentials, but we have managed to set undetectable access to the network. We have continued downloading even after Kadokawa admins detected us. They were unable to detect and stop outgoing traffic, because our downloading scripts kept working even after the server’s IP was blocked. 1 day before encryption we have detected enormous Kadokawa admins activity trying to stop us unsuccessfully.
We still have more details to share with the public if needed, but we prefer not to show all the aces we have prepared within the sleeve.
Since we are people of business we are only interested in money. Kadokawa is trying to settle the deal, but the amount of money they have offered is extremely low for this company. This network incident will lead to full network architecture rework, that is why Kadokawas customers had to wait until the IT department reconfigures the whole network. The thing they didn’t know is that Kadokawas IT department doesn’t have enough experience in hacktivism to understand all the weak spots within its own network, which will lead to another cyber incident in the future. And the other thing is that in case if leaked data go public Kadokawa would have to change not just its network infrastructure, but the whole way they are doing business, because a lot of confidential business related data would be disclosed also.
We are offering our help to make Kadokawa’s network better, based upon our life lasting experience, in addition to network decryption and deletion of leaked data.
Long story short, we have gained access to very personal information regarding Japanese citizens. Those people would definitely like to keep the data related to their private life confidential, no one would like to see “things they are doing in the night” going public including their emails and browsing history.
Kadokawas’ management should understand one thing, is that everything will go public if we will not make a deal until the end of this week.
Right now the confidential life details of many Japanese citizens depend upon Kadokawas’ management decision.
We dont think that Kadokawa’s top management would like to spend the following few months bending in excuses. Such exercises do not fit them at all.
It would be much easier to pay and keep moving forward for such a company as Kadokawa is.
ALL DATA will be released on July 1st.
犯行声明の和訳
私たちのチームは約1か月前にKADOKAWAのネットワークにアクセスしました。言語の問題で少し時間がかかりましたが、KADOKAWAの子会社のネットワークが互いに接続されていることを突き止め、KADOKAWAのIT部門が作った混乱を通り抜けることができました。KADOKAWAのネットワークアーキテクチャが適切に整理されていないことが分かりました。異なるネットワークが1つの大きなKADOKAWAのインフラストラクチャに接続され、eSXIやV-sphereといったグローバルな制御ポイントを通じて制御されていました。制御センターにアクセスした後、ネットワーク全体(ドワンゴ、ニコニコ、KADOKAWA、その他の子会社)を暗号化しました。
チームの第二部はネットワークから約1.5TBのデータをダウンロードしました。
ダウンロードしたデータの概要:
-契約書
-DocuSignedの書類
-各種法的書類
-プラットフォームユーザー関連データ(メール、データ使用量、開いたリンクなど)
-従業員関連データ(個人情報、支払い、契約書、メールなど)
-ビジネス計画(プレゼンテーション、メール、提案など)
-プロジェクト関連データ(コーディング、メール、支払いなど)
-財務データ(支払い、送金、計画など)
-その他の内部使用専用の書類および機密データ
ネットワークを暗号化した後、データ保護とネットワークの復号化に関する取引を行うためにKADOKAWAの経営陣に連絡しました。
ご覧の通り、現在、会社は苦しんでおり、業務プロセスが中断されています。KADOKAWAとその子会社のサービスは停止しており、復旧の目安は7月末までとされています。
KADOKAWAの経営陣がこの状況についてほぼ毎日公表していることは良いことです。KADOKAWAの経営陣が公衆を落ち着かせるために「真実」を伝えることを決めたのは非常に良いことです。
しかし、KADOKAWAがいくつかの詳細を隠しているのは良くありません。もしかしたら、KADOKAWAのIT部門が自分たちの経営陣にすべての真実を伝えなかったのかもしれませんが、私たちはKADOKAWAの発表が間違っていることを証明できます。
まず第一に、KADOKAWAのIT部門はネットワーク内の私たちの存在を暗号化する3日前に検出しました。管理者は私たちをネットワークから追い出そうとし、私たちのサーバーのIPの一つをブロックし、管理者の資格情報を変更しようとしましたが、私たちは検出されないアクセスを設定することに成功しました。KADOKAWAの管理者が私たちを検出した後もダウンロードを続けました。サーバーのIPがブロックされた後も、ダウンロードスクリプトは動作し続けたため、彼らは送信トラフィックを検出して停止させることができませんでした。暗号化の1日前、私たちはKADOKAWAの管理者が私たちを停止しようとする大規模な活動を検出しましたが、失敗しました。
必要に応じて公衆に共有する詳細はまだありますが、手持ちのカードをすべて見せるつもりはありません。
私たちはビジネスの人間なので、お金にしか興味がありません。KADOKAWAは取引を試みていますが、彼らが提示した金額はこの会社にとって非常に低いものです。このネットワークインシデントはネットワークアーキテクチャの全面的な再設計を必要とするため、KADOKAWA顧客はIT部門がネットワーク全体を再構成するのを待たなければなりません。KADOKAWAのIT部門は、自分たちのネットワークの弱点を理解するハッキングの経験が不足しているため、将来的に別のサイバーインシデントが発生するでしょう。また、漏洩したデータが公開されると、KADOKAWAはネットワークインフラだけでなく、ビジネスのやり方全体を変えなければならなくなります。なぜなら、多くの機密ビジネス関連データが公開されるからです。
私たちは、長年の経験に基づいて、ネットワークの復号化と漏洩データの削除に加えて、KADOKAWAのネットワークを改善するための支援を提供しています。
要するに、私たちは日本市民に関する非常に個人的な情報にアクセスしました。これらの人々はプライベートな生活に関するデータが公開されるのを望まないでしょう。誰もが「夜に何をしているか」やメールや閲覧履歴が公開されるのを望まないでしょう。
KADOKAWAの経営陣は、今週末までに取引が成立しなければすべてが公開されるということを理解するべきです。
現在、多くの日本市民の生活上の機密の詳細はKADOKAWAの経営陣の決定に依存しています。
KADOKAWAのトップ経営陣が今後数か月を弁解に費やしたいとは思わないでしょう。そのようなことは彼らには全く合わないでしょう。
KADOKAWAのような会社にとっては、支払って前進する方がはるかに簡単です。
すべてのデータは7月1日に公開されます。
流出したデータの中身は
Black Suit側は同声明内で以下のデータを入手したとしています。
- 契約書
- DocuSignedの書類
- 各種法的書類
- プラットフォームユーザー関連データ(メール、データ使用量、開いたリンクなど)
- 従業員関連データ(個人情報、支払い、契約書、メールなど)
- ビジネス計画(プレゼンテーション、メール、提案など)
- プロジェクト関連データ(コーディング、メール、支払いなど)
- 財務データ(支払い、送金、計画など)
- その他の内部使用専用の書類および機密データ
ユーザとして特に気になるのは「プラットフォームユーザー関連データ」として挙げている「プラットフォームユーザー関連データ」で声明の中では「私たちは日本市民に関する非常に個人的な情報にアクセスしました。」としたうえで、「誰もが「夜に何をしているか」やメールや閲覧履歴が公開されるのを望まない」などとニコニコユーザの極めて個人的な情報を所持していることを示唆しました。
ただ、一方で、ニコニコ側は個人情報などが攻撃者の手に渡ったかについては調査中としており、流出が確定したわけではありません。
関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?
データを盗んだことを証明するために一部の機密情報を公開?
一方で、Black Suitはこれらの主張を裏付けるように入手したデータの一部をインターネット上に公開しました。
公開したデータ圧縮されており、展開すると115MBほどのサイズとされ、160個を超えるファイルが保存されているとのことです。データの真偽は不明なものの、これには取締役の免許証の写しや社員データ、その他の機密データが含まれているとされています。
ただ、Black Suitが公開したデータはあくまでも不正な方法で入手したデータである可能性が高いうえに、ダウンロードにはリスクがあるため、ダウンロードはしないようにしましょう。
ユーザは冷静に状況を見守るように
今回Black Suitがダークウェブ上に公開した犯行声明には「多くの日本市民の生活上の機密の詳細はKADOKAWAの経営陣の決定に依存」などとユーザの不安を煽るような言及もありますが、KADOKAWA側は流出したデータについては確認中としており、Black Suitが挙げたすべてのデータを持っているとは限りません。
関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?
ユーザとしては不安な思いがありますが、今後のKADOKAWA/ドワンゴの発表を待ちたいと思います。
続報が入り次第、弊メディアと「あのかぼ」でお伝えします。
なお、あのかぼとおんかぼでは、引き続きニコニコサービスの最新情報をまとめています。
記事の更新については、かぼしーのTwitterアカウントやHumin.meで紹介しますので、ぜひフォローいただけると幸いです。
関連記事 (おんかぼ/あのかぼ)
関連> 【分析】KADOKAWA/ニコニコを襲ったハッカー集団「BlackSuit」の犯行声明から読み解く犯人像 犯行声明は機械翻訳?
関連> KADOKAWA、サイバー攻撃により情報の流出を認める ハッカー集団Black Suitが公開したデータについてダウンロードしないよう要請
関連> KADOKAWA/ニコニコへのサイバー攻撃 東ヨーロッパ系ハッカー集団BlackSuitが犯行声明をダークウェブに公開
関連> KADOKAWAへのサイバー攻撃 BlackSuitが犯行声明を発表 ニコニコ側の説明と食い違いも
関連> KADOKAWA社長 夏野氏のXアカウントは乗っ取られていなかった
関連> KADOKAWA社長 夏野氏のXアカウントが乗っ取られる 原因にはNewsPicksの報道という指摘も 両社の対立深く
関連> KADOKAWA、サイバー攻撃に関する一部報道に強く抗議 – 攻撃者のメッセージ掲載に対する法的措置を検討
関連> ニコニコを襲った大規模なサイバー攻撃「時間をかけて計画的に攻撃」はどのようなものだったのか
関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?
関連> ニコニコ、復旧までに1ヶ月以上の見込みと発表 ニコニコ(Re:仮)が提供開始
関連> KADOKAWAグループが大規模サイバー攻撃を受け、ニコニコを含む複数のウェブサイトが停止
関連> KADOKAWAグループの複数ウェブサイトに大規模サイバー攻撃依然続く、ニコニコはシステム再構築へ 影響はニコ動やN高、各アニメ公式サイトにも波及。
前後の記事
関連記事
-
【230GB分のデータ流出か】NTTデータ ルーマニアがランサムウェア集団「RansomHub」の「犯行リスト」に入ったと複数のセキュリティ企業が報告
-
KADOKAWA、ダークウェブ上に流出したデータの拡散行為に法的措置の準備
-
Bluesky、招待制廃止から1日で100万人の新規ユーザを獲得した発表
-
OpenAI、ChatGPTに対し画像生成が可能な「DALL·E 3」の展開を開始したと発表、テキストから思い通りの画像を作成可能に
-
KADOKAWA社長 夏野氏のXアカウントが乗っ取られる 原因にはNewsPicksの報道という指摘も 両社の対立深く
-
ECサイト大手「Shopify」から約18万件分の顧客データが流出か 海外メディアが報じる
-
KADOKAWAが明かす事業活動の回復状況について
-
ニコニコ/KADOKAWAを攻撃したハッカー集団「BlackSuit」ダークウェブ上で予告通り個人情報を公開と報道 「ニコニコ超開示」がトレンド入り
コメントを残す