ビズサプリの三木です。
2024年6月8日、ドワンゴが運営するニコニコ動画およびKADOKAWAグループが大規模なサイバー攻撃を受けました。
この攻撃によりニコニコ動画を始めとしてドワンゴが運営していた多くのサービスが長期間の停止を余儀なくされているほか、社員や外部クリエイターの個人情報の流出も確認されています。
ドワンゴによる対応については外から見ていて反省すべきところも、逆にドワンゴから学ぶべきところもあるように感じています。
ということで今回のメルマガは、ドワンゴへのサイバー攻撃とその後の動きを紹介していきます。
なお、本メルマガは進行中のトピックを取り上げていますので、読むタイミングにより情報が古くなっている場合もあることをご了承ください。
ニコニコ動画とは2006年に開始された動画共有プラットフォームで、運営はドワンゴが行っています。単なる動画共有の仕組みのみならず独自の文化をはぐくんできたことに特徴があり、画面上にリアルタイムでコメントが字幕として流れる仕組みによる一体感から、YouTubeに比べると規模は小さいものの、熱烈なファンを獲得しています。そんなニコニコ動画/ドワンゴに、2024年6月8日、サイバー攻撃が仕掛けられました。
今回の攻撃はランサムウェアとのその他の攻撃を組み合わせたものだったようです。
ランサムウェアは感染したシステムのデータを暗号化して使えなくし、暗号解除の条件として身代金を要求するサイバー攻撃に用いられます。攻撃を食い止めるため、ニコニコ動画側はシステムの電源ケーブルや通信ケーブルを物理的に抜いて強制的にシステムを/再起動不可にしていきました。
このようにシステムを動かせなくすることで攻撃の拡大は防げますが、システムの設定情報等までランサムウェアに暗号化されてしまうと再起動ができなくなります。ニコニコ動画も単純に再起動できない状況に陥ったようで、再度システムを構築しなおすために長期間のシステム停止に至っています。
また、ランサムウェアによる暗号化/身代金要求だけでなく、情報流出もあったことが判明しています。クレジットカード情報は流出していないものの、社員や外部クリエイターの個人情報の流出が確認されています。人事評価情報なども流出している模様で、対象の人にとってはたまったものではありません。
今回の事件を見て、まず思い出したのが2021年に起きたニップンへのサイバー攻撃です。ニップンもランサムウェアに感染し、サーバーの起動に必要なボリューム情報までも暗号化されてしまったため再起動ができない事態に陥り、なおかつバックアップまで暗号化されて復元できなくなってしまいました。
経理システムも暗号化決算ができず、再度構築しなおした点も今回のドワンゴのケースを思い起こさせます。オンラインバックアップは便利だが危険な面もあること、ハードウェアやその設定も含めたトータルでのシステム継続を考える必要があることが如実に示された事例でした。
また、ドワンゴほど注目はされていないものの、株式会社イセトーという会社でもドワンゴに類似したランサムウェア被害が同時進行で発生し、こちらは業務委託を受けていた豊田市や和歌山市などの住民の個人情報が流出する事態となっています。イセトーの事件でドワンゴと似ているのは、まずランサムウェアで混乱させて裏で情報を流出させている点です。おそらく暗号化と情報漏洩の両面で圧力をかけて身代金を要求しているのでしょう。
ドワンゴ側は、このサイバー攻撃を受けて様々な対応を行っています。良い点も悪い点も見え隠れしていますので、いくつか私が注目している点をご紹介します。
1.出社禁止措置
サイバー攻撃を受けて、オフィスへの社員の出社を禁止しました。これは、内部犯行の可能性(あるいは内部者が攻撃者と共謀)を考慮し、問題点の切り分けを行うためと推測されます。
注目したのは、これだけの攻撃の最中にその決断ができた点です。普段からこうした事態を考えていたのか、とっさの判断だったのか分かりませんが、なかなかできることではないと感じます。
2.動画説明
ニコニコ動画は6月14日に現状と対応状況に関する説明動画を公表しています。個人的には、この動画による対応はなかなか良かったと感じています。
まず説明主体が社長とCTOであり、きちんと責任者が顔を出していました。そして、当然謝罪はするのですが、謝罪だけでなく原因、復旧状況と見通し、保障のあり方など、分かっているところ、決まっているところについてはかなりの情報量を伝えていました。
ただし、動画公開後に情報漏洩が判明して騒ぎが拡大したのも事実のため、全貌が分かる前の説明が良いかどうかは難しいところです。私は、多くの人が疑心暗鬼となっている中で一定の情報を分かりやすく伝えたことは評価すべきだと感じる一方で、イセトーの事例を見ても分かるように、ランサムウェアによる攻撃では情報漏洩も狙われるケースが多いため、とも感じました。
3.システム再構築
ニコニコ動画は、仮復旧として昔の動画のみ、そして最低限の機能のみ実装した「ニコニコ動画(Re:仮)」をリリースします。しかしながら、その後の復旧はかなり苦戦している様子が伺えます。
ニコニコ動画のリリースによると、
「「ニコニコ」は数百以上のシステムが連携して動作するサービスです。復旧には、封鎖したサーバーの中身を1つずつ確認して、無事なデータを救出し、救出したデータを使って安全な環境下でニコニコ動画とニコニコ生放送のシステムを再構築するといった作業を要します」
との記載があります。
建て増しを重ねた温泉旅館は廊下が迷路のようになりますが、その場その場での付け足しを繰り返したシステムも構成が複雑になり、復旧や新システムへの移行が難しくなりがちです。ニコニコ動画はファンを集めては少しずつ機能を拡充してきた歴史があるため全体構成を見直すタイミングが無かったのかもしれません。いずれにせよ、複雑で独自色が強いシステムは新システムへの移行に苦戦することが多く、それはサイバー攻撃の際の復旧速度にも影響することは改めて認識したほうが良いかなと思います。
セキュリティというと、従来はいかに攻撃を防ぎきるかに軸足がありました。しかしながら、これだけの攻撃になると一般企業が防ぎきることは困難な面もあり、防止手段と共に以下のような被害軽減策も合わせて考える必要がありそうです。
・オフラインバックアップ
・システムと業務の緊急時対応方法の確保
・緊急時の報告や意思決定ルートの整理
・BCP(事業継続計画)訓練
もちろん専門業者に頼めば、より詳細にダークウェブのチェックをしてもらうこともできます。
ハッカーはダークウェブ等を徘徊しながらターゲット企業を探しています。例えばシステム管理者のIDやパスワードがダークウェブに漏れている、古いIDリストが漏れているが退職者のIDが長く削除されていない等の状況は攻撃を招く原因となりかねません。狙われにくい状態にすることもセキュリティ対策の一部と言えるかもしれません。
ESG投資の説明される際、よく「持続可能性(サステナビリティ)」というキーワードが出てきますが、ESG投資の「持続可能性」とは何の持続可能性のことを指すのでしょうか。公認会計士が解説します。