仮想化基盤は大きなリスクに?KADOKAWA事件に学ぶべき教訓を考える
2024年、世間を最も騒がせたサイバー攻撃事件として記憶に新しいのが、大手メディアグループのKADOKAWAに対して行われたランサムウェア攻撃です。
攻撃の規模もさることながら、特に関心を集めたのが同社が被った被害の全容です。金銭的な被害のみならず、社外秘の機密情報の多くが流出してしまったことで、同社は甚大なブランド毀損を被ることとなりました。
また、KADOKAWAのランサムウェア攻撃については複数回にわたって実施されており、今後も攻撃が発生する可能性はゼロではありません。一度でも攻撃を許してしまうことの危険性や、ランサムウェア攻撃を受けた際にはどうすべきなのか、この事件から学ぶべき教訓は多いと言えるでしょう。
KADOKAWAランサムウェア攻撃の概要
事の発端は、2024年6月に発生した大規模サイバー攻撃です。KADOKAWAグループを標的としたランサムウェア攻撃が行われ、同社のほぼ全てのサービスが停止する事態に発展しました。
ネット上でも話題になったのは、同社の主力サービスでもある動画共有プラットフォーム「ニコニコ」のサービス停止です。国内ではYouTubeと並んで人気の高い動画サービスであっただけに、サービスの全面停止は視聴者の生活様式に大きな影響を与えるとともに、同プラットフォームを中心に活動していたクリエイターにとっても、甚大な被害をもたらしました。この点については、後ほど詳しく解説します。
ランサムウェア攻撃による被害はこれだけにとどまりません。KADOKAWAグループが保有するあらゆる機密情報がこの攻撃によって流出し、各サービスユーザーの個人情報はもちろん、同社が運営する教育機関の生徒情報なども漏えいすることとなりました。後者の個人情報漏えいは特に深刻で、およそ25万人分の個人情報が外部に流出したとも言われます。
日本のエンターテイメントや教育など、幅広い業界を支える大企業ということもあり、同社へのサイバー攻撃は近年稀に見る損失をもたらしたと言えます。サイバー攻撃の被害は現在も禍根を残しており、安心して同社のサービスを利用できるようになるにはもう少し時間が必要でしょう。
深刻なリスクを抱えていたKADOKAWAのインフラ環境
これほどまでに大きな被害をもたらしたKADOKAWAに対するランサムウェア攻撃は、どのような脆弱性を狙ったものだったのでしょうか。攻撃に関する評価や分析が進む中、有力なのは犯行グループの声明により明らかになった、インフラ環境における問題です。
犯行グループが暴露した仮想化基盤の脆弱性
今回のKADOKAWA攻撃を行なったとされる犯行グループ「Blacksuit」が発表した声明によると、同社のネットワーク構成は1つの巨大なインフラストラクチャに統合される形で運用されていたということです。
近年のインフラ構築の中でトレンドとなっているのが、仮想化基盤を整備することによるネットワークの統合管理です。VMWareなどの製品を導入して、仮想化されたサーバーを複数立ち上げ、一つの仮想化基盤によってこれらを統合管理します。複数のサーバーを別個に管理する必要がなくなるため、巨大化したシステムの面倒を見るという意味では強力なソリューションとなるわけです。
ただ、このような仮想化されたシステム構成は、一歩間違えると重大なリスクを背負うことになる問題も抱えています。一つの仮想化基盤で全てのサーバーをコントロールできるということは、攻撃者によって仮想化基盤が乗っ取られてしまうと、全てのサーバーが攻撃者の管理下に置かれるということです。
今回のKADOKAWAの事件は、まさにこのリスクが表面化したものでした。仮想化された基盤の利便性を重視するあまり、セキュリティリスクについての見立てが甘く、想定される懸念事項の中でも、最悪の事態が起きたと言えるでしょう。
増加する仮想化基盤を狙った攻撃
仮想化基盤を狙ったサイバー攻撃は、KADOKAWAを狙ったものだけではありません。日本経済新聞の調べによれば、2020年にはわずか1件だった同様の攻撃は、2023年には63件にまで急増しているなど、被害の急速な拡大が見られます。
VMWareなど仮想化基盤を提供する各社は、今回の事件や増加する仮想化基盤を狙ったサイバー攻撃に対応すべく、安全性の強化に向けた声明やアップデートを進めているというところです。ただ、仮想化基盤を導入している企業におけるセキュリティ強化は、十分な水準にまで達していない問題も、日経とトレンドマイクロの共同調査によって浮き彫りになっています。
調査によると、2024年7月5日時点で仮想化基盤の脆弱性が依然として未修正の端末が、少なくとも世界で2,533社で見つかっており、その数はおよそ8万6000台にのぼると推定されるということです。また、そのうちの9割に該当する2,315社で見つかった脆弱性は、2023年6月時点で公表されているものであり、1年以上も対策が放置されているということもわかっています。
このような脆弱性が放置されている現状は、今後第二、第三のKADOKAWA事件に発展する可能性もあることから、早急に対策が必要であると言えるでしょう。
なお、今回のKADOKAWAグループに対するランサムウェア攻撃における、その明確な原因については同社から明かされていません。とはいえ犯行声明の内容がかなり具体的であるのに加え、同社における被害がグループ全体におよんでいる事実を踏まえると、今回の事件では仮想化基盤が有する脆弱性を突いたものである可能性は極めて高いと言えそうです。
攻撃原因に関する公式見解とIDaaSが有する脆弱性との関係
KADOKAWAグループが公式見解として発表しているのは、フィッシング詐欺に引っかかったことにより認証情報が攻撃者に流出してしまったというものです。仮想化基盤にアクセスされたかどうかは定かではありませんが、事態の経緯を踏まえると、VMWareの認証情報が窃取され、グループ全体のシステムが乗っ取られてしまったと推定できます。
調査会社のインターネットプライバシー研究所は、同社グループで採用しているIDaaSの「Auth0」がその脆弱性を突かれ、フィッシング被害に遭ったのではないかという考察を紹介しています。
もともとKADOKAWAグループでは、グループにおけるインフラ基盤の構築と運営を傘下のKADOKAWA Connectedが担当する形で運用を進めてきました。同社が構築したデータウェアハウス(DWH)へは、関連会社のさまざまな従業員がアクセスをするため、アカウント管理が煩雑化していた問題を抱えていたとのことです。
そこで採用されたのが、IDaaSのAuth0です。IDaaSを使うことでクラウドによるID管理を実現し、管理担当者の負担削減などに取り組んでいました。
Auto0はIDaaSの中ではポピュラーな製品ですが、一方で事件の直近に脆弱性も確認されていたことが分かっています。発見された脆弱性は、情報の取得や改ざんに関わるリスクもあるとされ、これらの問題が現場で修正されていなかったことで、フィッシングメールを排除しきることができなかったのかもしれません。
既存の脆弱性が修正されないまま放置されている会社が少なくないことは、上で紹介した仮想化基盤に関する調査においても明らかです。わずかなセキュリティの穴が、時として甚大な被害をもたらす可能性があることを、セキュリティ担当者は常に考えておくべきでしょう。
KADOKAWA事件がもたらした深刻な二次・三次被害
「ニコニコ」のサービス停止や、KADOKAWAが運営する教育機関「N高」の個人情報流出などが大々的に報じられる中、同社はそのほかの事業においても甚大な被害を受けています。
出版分野においては、システム停止の影響でほぼ全ての業務において遅延・停滞を招きました。書籍の受注や発送の停止、さらには書籍の編集や制作そのものも停止してしまったことで、KADOKAWAを中心とした経済圏が丸ごとストップしてしまったこととなります。決済システムも停止に追い込まれ、取引そのものが成立しない事態となりました。
同社運営のECにおいても同様です。商品の受注ができなくなり、出荷対応も行えなくなったことから、発送に遅延が生じました。ECサイトの閲覧までままならず、業界においてその存在の一切がいきなり消えてしまったような状況下に、同社は追い込まれていたわけです。
卸売や小売、消費者を問わず、KADOKAWAと何らかの取引が日頃からあった組織や個人にとっては、これほどの衝撃を被ったこともなかったでしょう。
KADOKAWAが被った損失額
2024年8月、KADOKAWAはサイバー攻撃による特別計上損益として、2025年3月期に36億円を計上することを発表しました。この支出はサイバー攻撃からの復旧に必要なサーバー費用や、クリエイターへの補償に充当されるとしており、連結純利益の見通しを前期比から15%減少した97億円と修正しています。
また、サイバー攻撃による営業利益への影響は64億円、売上高では84億円にものぼるとし、多大な減益が発生しうることを発表しました。今後さらに発生しうる間接的な損失を、どれだけ小さくできるかが、同社にとって重要な課題となるでしょう。
クリエイターに与えた影響も計り知れず
また忘れてはならないのが、KADOKAWAはクリエイター向けのプラットフォームの提供や、教育機会の提供事業者として重要な地位を占めていることです。「ニコニコ」やN高といった、デジタルとフィジカルの両方でコミュニティの形成と人材育成・発掘の場を強力に推進してきた事実は、計上されている以上の損失を社会にもたらしていると考えなければなりません。
例えば数ヶ月にも及ぶ「ニコニコ」のサービス停止は、同プラットフォームを中心に活動するクリエイターにとって、死活問題となった可能性があります。多様な形式でのコンテンツ投稿の機会を提供しているこのサービスは、ファンの獲得や直接的な収益獲得の空間として、代替不可能だったケースもあるかもしれないからです。
独自性の高いプラットフォームが一度サービスを停止してしまうと、クリエイターは情報発信の場やファンとの交流の場を失い、その間の活動がストップしたり、活動場所を転換するための負担に追われます。その際の機会損失や人的負担は決して小さくなく、彼ら一人一人の損失を踏まえると、上で紹介したような損失額にとどまらないと考えるべきでしょう。
また、漏えいしたクリエイターや生徒情報が不特定多数の人間の目にとまることで、彼らの生活が多方面で脅かされる可能性もあります。匿名で活動していたクリエイターのブランドが毀損したり、未成年者が安心して教育サービスを受けられなくなったりといったリスクが生じるからです。
複数のユーザーの交流が可能なプラットフォーマーは、単なる物品の生産や販売に限定した事業者よりも、間接的な被害が大きくなりやすい問題を抱えています。今回のような事件を起こしてはならないことを、KADOKAWAの事件から理解しておかなければなりません。
身代金の支払いリターンは「ゼロ」に終わる?
ランサムウェア攻撃は、ロックしたシステムを解除する代わりに、攻撃者が指示する身代金の支払いを要求するサイバー攻撃です。今回のKADOKAWAに対する攻撃においても、攻撃者から身代金の支払い要求があったと報道されています。
これに対し同社は、攻撃者に対して身代金の支払いを行ったかどうかについて公式には明らかにしていません。しかし一部報道によると、同社は攻撃者に対して身代金の一部を支払ったとも言われているものの、その結果は多くの人が知る通りでしょう。
つまり、ランサムウェア攻撃において身代金の支払いは、なんの解決にもつながっていないということです。システムの復旧には数ヶ月の期間を要しており、流出した内部情報はインターネット上で一部、あるいはそのほとんどが暴露されてしまう結果となりました。
冷静に考えると、ランサムウェア攻撃が発生した時点で攻撃者はシステムを掌握しており、彼らと取引を行う意味はありません。金銭を支払おうと支払わまいと、彼らの手にシステムの権限やデータはわたっているのであり、無事にロックされたシステムやデータが帰ってくる保証はどこにもないからです。
このような事実がありながらも、ランサムウェア攻撃に対してパニックを起こしてしまい、身代金を支払ってしまう事例は少なくありません。頭ではわかっていても、自分が被害者になると冷静な判断力が失われ「もしかすると丸く収められるかも」という期待にすがってしまいたくなるものです。
ランサムウェア攻撃の対策を考える上では、こういった不測の事態に対する現場のパニックも考慮した、一貫した態度を貫ける仕組みづくりが、重要であると言えるでしょう。つまり、サイバー攻撃はもはやいつでも仕掛けられるものであることの周知です。
KADOKAWA事件から学ぶべきセキュリティ対策の改善点
KADOKAWA事件を振り返るにあたり、まず学ぶべきはインフラ環境の見直しです。システムの巨大化が進めば進むほど、サーバーの仮想化や仮想基盤の導入によるパフォーマンス向上は期待できる反面、攻撃を受けた際の損失が甚大になるリスクも高まります。
仮想化基盤に対して絶対的な防御網を構築することは困難ですが、既知の脅威に対しては定期的なアップデートや修正により対応が可能です。KADOKAWAの事件においても、修正済みのパッチを迅速にあてていれば、回避できた可能性は否めません。
また、仮想化基盤へのアクセスをより厳密に制限することも大切です。多少の情報漏えいでは基盤にたどり着けないよう仕組み化することにより、システム全体が被害を被る事態を防ぐことができます。
ランサムウェア攻撃が発覚した場合、間違っても身代金支払いに応じないことも大切です。幸いなことに、日本は身代金の支払い率が他の国に比べて低く、攻撃に伴うリターンが低い国として認知されているデータもあります。ただ、KADOKAWAの事件をきっかけに、今後ランサムウェア攻撃が国内で増加していく可能性も否定はできません。攻撃に対して身代金を支払う企業が増えれば増えるほど、さらなる攻撃のリスクは大きくなってしまうものです。
ランサムウェア攻撃のリスクが小さい国という前提をひっくり返さないためにも、ランサムウェア攻撃には毅然とした対応を取れるよう、あらかじめ備えておくべきでしょう。