2024年6月8日の早朝、KADOKAWAグループのシステムは静かに崩壊し始めた。ニコニコ動画が停止し、N高等学校・S高等学校のオンライン授業が使えなくなり、グループ全体の業務が麻痺した。BlackSuitランサムウェアによるこの攻撃は、最終的に254,241人の個人情報漏洩・特別損失24億円・約2ヶ月のサービス停止という日本最大規模の被害をもたらした。身代金を支払ったにもかかわらずデータは戻らなかった。この事案から何を学べるのか。
組織概要
KADOKAWAグループは「魔法先生ネギま!」「ソードアート・オンライン」などの出版・映像・ゲーム事業を持つ日本最大級のメディアコングロマリットだ。グループには動画配信プラットフォームの「ニコニコ動画」「ニコニコ生放送」を運営するドワンゴ社が含まれる。教育事業として「N高等学校」「S高等学校」(2024年時点で生徒数約2万人以上)、オンライン予備校「N予備校」も擁する。東京証券取引所プライム市場上場。年間売上高は2,000億円規模。
こうした多角的な事業構造は、システム基盤の集中管理という観点から、今回の攻撃の「爆発半径」を大きくする一因となった。
何が起きたのか
タイムライン
- 2024年6月5日頃:後の調査でこの時点ですでに攻撃者がネットワーク内に侵入していたことが判明(確認済み)。社内のセキュリティチームは異常を検知したとの報告もあるが、ランサムウェアの暗号化実行を阻止するには至らなかった。
- 2024年6月8日 午前3時30分頃:ランサムウェアが起動し、グループ内の複数サーバーの暗号化を開始。
- 2024年6月8日 午前:ニコニコ動画・ニコニコ生放送・ニコニコチャンネルなどのサービスが相次いで停止。ドワンゴはシステム障害を公表。
- 2024年6月9日:KADOKAWAグループがランサムウェア攻撃の被害を受けたことを発表。
- 2024年6月13日:BlackSuitがダークウェブ上のリークサイトにKADOKAWAの名前を掲載し、身代金要求を示す。約1.5TBのデータを窃取したと主張。
- 2024年7月初旬:BlackSuitが一部のデータをリークサイトで公開。この時点で身代金交渉が失敗または決裂したことが示唆された。
- 2024年7月12日:KADOKAWAが個人情報漏洩の可能性を正式発表。
- 2024年8月5日:漏洩した個人情報が最大254,241人に上ることを確認・発表。ニコニコ動画の一部機能が約2ヶ月ぶりに再開。
- 2024年秋:KADOKAWAが2024年度第2四半期決算で特別損失24億円(セキュリティ対策費・システム復旧費等)を計上。売上高への影響は約39億円と試算。
攻撃経路の分析
侵入経路(未確認:推定)
KADOKAWAは侵入経路を公式に確認・発表していない。セキュリティ研究者やメディア報道によれば、VPN機器の脆弱性またはクレデンシャル窃取経由での侵入が有力視されている(あくまで推定であり、公式見解ではない)。BlackSuitが標的選定で多用するのはVPN機器へのゼロデイ・パッチ未適用脆弱性の悪用であることは業界的に知られており、この事案でも同様の経路の可能性が指摘されている。
内部侵害の拡大(確認済み)
侵入後、攻撃者はKADOKAWAグループが採用していたVMware ESXi/vSphereによる仮想化基盤を悪用して横展開を行ったと報告されている。ESXiホスト1台を制御下に置くことで、その上で動く多数の仮想マシン(業務サーバー・データベース・バックアップシステム)を一括して攻撃できるため、グループ全体への被害拡大が加速した。
後の調査によると、攻撃者はランサムウェア実行の少なくとも3日前(6月5日頃)にはシステム内に存在していた。この「滞留期間」中に攻撃者はネットワークの構造を探索し、最大効果をもたらす暗号化対象を選定したと考えられる。
BlackSuitの特徴
BlackSuitは2023年に登場したランサムウェアグループで、Royal/Conti系譜を引く洗練された攻撃者だ。二重脅迫(データ暗号化+データ公開脅迫)を基本戦術とし、身代金を払っても必ずデータが返ってくるとは限らない。CISAとFBIは2024年9月に共同勧告を発出し、BlackSuitが2023年9月以来米国の複数の重要インフラを攻撃したと警告している。
被害内容
サービス停止による直接被害
- ニコニコ動画・生放送・チャンネル等:約2ヶ月(6月8日〜8月5日頃)の完全停止。ニコニコプレミアム会員への返金・補償費用が発生。
- N高等学校・S高等学校・N予備校:オンライン学習システムに影響。一部授業がオフライン・代替手段に移行。高校生の学習機会に影響が及んだ。
- グループ全体の業務システム:経理・人事・社内コラボレーションツールへの影響。
個人情報漏洩
- 漏洩確認件数:最大254,241人
- 内訳:
- ニコニコ関連(ドワンゴ従業員・クリエイター・ビジネスパートナーの情報)
- N高等学校・N予備校関係者
- KADOKAWAグループ従業員・元従業員
- 漏洩情報の種類:氏名・住所・メールアドレス・電話番号・生年月日、一部では口座情報・給与情報も含まれた可能性がある
- 攻撃者が窃取したとするデータ量:約1.5TB
財務的被害
- 特別損失:約24億円(セキュリティ対策費・システム復旧費・弁護士費用等)
- 売上高への影響:約39億円の減収(ニコニコ停止による広告収入・プレミアム会員収益の消失)
- 営業利益への影響:約21億円
- 身代金支払い:複数の報道で支払いが行われたと報告されているが、KADOKAWAは公式に確認していない。支払った場合でもデータは回収されなかった
なぜ被害が拡大したのか
1. エンドポイントへのEDR未導入
報道によれば、KADOKAWAグループの多くのエンドポイントにはEDR(Endpoint Detection and Response)が導入されていなかった。EDRは攻撃者の横展開・プロセス実行・ファイル操作をリアルタイムで検知し、封じ込めを可能にするツールだ。EDRが不在の環境では、攻撃者がネットワーク内で3日間活動していても自動的なアラートが発生しにくく、人手による発見に頼ることになる。
2. ESXi/vSphereの集中管理が爆発半径を最大化
VMwareの仮想化基盤(ESXi/vSphere)は、物理サーバー1台の上で多数の仮想マシンを動かせる効率的なインフラだ。しかしESXiホストのアクセス制御が不十分な場合、そこを掌握した攻撃者はすべての仮想マシンを一括して暗号化できる。KADOKAWAの場合、グループ内の複数事業のサーバーが同一仮想化基盤上に集中していたため、被害が一事業に留まらずグループ全体に及んだ。
3. 異常検知から3日間阻止できなかった
攻撃者は暗号化実行の3日前にはシステム内にいた。この間に適切なインシデントレスポンスが機能していれば、被害を大幅に限定できた可能性がある(可能性がある、であって確実ではない)。3日間の滞留を検知しても封じ込めに至れなかった背景には、SOCの対応能力・プレイブックの整備状況・権限管理の問題があったと推定される。
4. バックアップへのアクセスが遮断されなかった可能性
ニコニコ動画の復旧に約2ヶ月を要したことは、本番データと同様にバックアップシステムも影響を受けた可能性を示唆している(公式に確認されていない)。ランサムウェア攻撃者がバックアップを暗号化対象に含めることは標準的な戦術であり、オフサイト・オフライン・エアギャップされたバックアップが存在しなければ復旧は長期化する。
5. 身代金を払ってもデータは戻らない現実
BlackSuitへの身代金支払いが行われたと報告されているが、データは回収されなかった。これは業界的に広く知られる事実だ——身代金を払うことは、データ返還の保証を意味しない。さらに支払いは攻撃者グループへの資金供与となり、次の攻撃を支援する結果にもなる。
同様の攻撃を防ぐ方法
VPN機器の管理強化
KADOKAWAの侵入経路は公式未確認だが、VPN経由の侵入はBlackSuit含む多くのランサムウェアグループの主要手口だ。以下を確認する:
- VPN機器のファームウェアを常に最新版に保つ(CISA KEVリストを購読し、KEVに記載された脆弱性は48時間以内に対応することを目標にする)
- VPNの多要素認証(MFA)を必須化。パスワード単体での認証を廃止する
- VPNアクセスの接続元IPアドレスを業務上必要なIPに限定(場合に応じて)
- VPNの認証ログを毎日確認し、異常な時刻・地域からの接続を検知する仕組みを整備する
ESXi/vSphereのセキュリティ強化
- ESXiホストへのアクセスを専用の管理ネットワーク(帯域外管理)から行い、通常のビジネスネットワークからは到達不可にする
- ESXiの管理インターフェースにMFAを実装する(vCenter経由の場合はvCenter側のMFAを強化)
- ESXiホストのログを一元管理し、仮想マシンの一括電源操作などの異常オペレーションを即座に検知する
- 各仮想マシンを事業単位・機密度に応じてセグメント化し、横展開の影響範囲を限定する
EDRの全端末展開
- WindowsサーバーおよびエンドポイントにEDRを導入し、リアルタイムの振る舞い検知を確立する
- 特にESXiホストへの接続に使用する管理端末は最優先でEDRを適用する
- EDRのアラートを24時間監視するSOC体制(自社またはMSSP委託)を整備する
バックアップの3-2-1ルール徹底
- 3つのコピー(本番+2バックアップ)、2種類の異なるメディア、1つはオフサイトまたはオフライン(エアギャップ)
- バックアップが実際に復元できることを定期的にテストする。バックアップの存在と復元可能性は別物だ
- バックアップシステムは本番ネットワークからセグメントを分離し、ランサムウェアが一括暗号化できないようにする
インシデントレスポンスの事前準備
- 攻撃を検知した際に即座に実行できるプレイブックを整備し、定期的に机上演習(Tabletop Exercise)を実施する
- 「封じ込めか継続監視か」の判断基準を事前に定めておく。攻撃者を検知してから暗号化まで数時間〜数日の猶予しかない
- 外部のIR(インシデントレスポンス)会社との事前契約(リテーナー契約)を検討する
情シス担当者が確認すべき項目
- VPN機器のファームウェアバージョンは現在最新か。最後に更新したのはいつか
- VPN認証にMFAは設定されているか
- ESXiホストの管理インターフェースはビジネスネットワークから到達できない設定になっているか
- 全エンドポイント・サーバーにEDRが展開されているか。特に管理端末・ジャンプサーバーは対象に入っているか
- バックアップは本番ネットワークからアクセスできないオフライン/オフサイトに保管されているか
- 最後にバックアップからの復元テストを実施したのはいつか
- ランサムウェア攻撃を検知した場合の最初の30分間に何をするか、担当者全員が把握しているか
- CISAのKEVカタログを購読またはモニタリングする仕組みがあるか
- グループ会社・子会社のネットワークは本社ネットワークと適切にセグメント化されているか
- ランサムウェア被害を想定した事業継続計画(BCP)は存在し、直近1年以内に訓練を実施したか
類似事例
- イセトー(2024年5月):BPO企業へのランサムウェア攻撃。3年間未更新のVPNが入口となり、委託元30社以上・307万件超の個人情報が漏洩。VPN脆弱性とサプライチェーンリスクが共通する。
- アサヒグループホールディングス(2025年9月):Qilinランサムウェアによる攻撃。VPN経由の侵入から10日間の潜伏後に37台のサーバー暗号化。OT/IT分離により工場製造ラインは守られた。
- 大阪急性期・総合医療センター(2021年10月):給食委託業者のVPN経由でランサムウェアが侵入。電子カルテシステムが約2ヶ月停止し、通常診療の回復に85日を要した。サプライチェーンとVPN管理の脆弱性が共通する。
参考情報
- KADOKAWA株式会社 プレスリリース「不正アクセスによる情報漏洩に関するお知らせ」(2024年8月5日)
- ドワンゴ株式会社「個人情報漏洩に関するご報告とお詫び」(2024年8月)
- CISA/FBI 合同勧告「BlackSuit Ransomware」(2024年9月)
- SecurityWeek: KADOKAWA Admits Data Stolen in BlackSuit Ransomware Attack(2024年7月)
- BleepingComputer: KADOKAWA discloses data breach after BlackSuit ransomware attack(2024年8月)
- 日本経済新聞「KADOKAWA、サイバー攻撃で特別損失24億円」(2024年秋)
- 個人情報保護委員会 報告事例(KADOKAWA関連)