BlackSuitが犯行声明 KADOKAWA（ニコニコ動画）へのサイバー攻撃・ランサムウェア攻撃に関与か

2024年6月27日　脅威監視会社の「HackManac」によると、ロシア系のランサムウェア攻撃グループ「BlackSuit(ブラックスーツ)」が直近で発生したKADOKAWAグループやニコニコ動画へのサイバー攻撃・ランサムウェア攻撃に関与し、データを窃取したと発表しました。

なお、ランサムウェア攻撃グループは自身の実績を誇張・吹聴する事もあり、KADOKAWAの公式声明もないため、現在真偽不明情報となります。

2024年6月28日追記：株式会社KADOKAWAは取引先の法人やクリエイターの個人情報、社内情報などが漏洩した事を公表しました。しかし、漏洩件数や攻撃したグループに関しては明言していません。

2024年7月1日追記：ランサムウェア攻撃グループのBlackSuit（ブラックスーツ）がKADOKAWA（ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開しました。

ランサムウェア攻撃グループ BlackSuit(ブラックスーツ)の犯行声明

私たちのチームはほぼ1か月前にKADOKAWAのネットワークにアクセスしました。

言語の問題もあり、KADOKAWAの子会社のネットワークが互いに接続されていること、そしてKADOKAWAのIT部門が作った混乱を通り抜けることに時間がかかりました。

KADOKAWAのネットワークアーキテクチャが適切に構成されていないことが判明しました。大きなKADOKAWAのインフラストラクチャは、例えば、eSXIやV-sphereのようなグローバルコントロールポイントを通じて接続された別々のネットワークでした。

コントロールセンターにアクセスできたので、全ネットワークを暗号化しました（ドワンゴ、ニコニコ、KADOKAWA、その他の子会社）。

窃取したデータ量

私たちの第2チームは、ネットワークから約1.5TBのデータをダウンロードしました。

BlackSuit(ブラックスーツ)が窃取したデータの概要

BlackSuit(ブラックスーツ)が窃取したとするデータの概要は以下です。

• 契約に関する情報
• 電子契約に関する情報
• さまざまな法的文書
• プラットフォームのユーザー関連データ（電子メール、データ使用、開いたリンクなど）
• 従業員関連データ（個人情報、支払い、契約、電子メールなど）
• 事業計画（プレゼンテーション、電子メール、オファーなど）
• プロジェクト関連データ（コーディング、電子メール、支払いなど）
• 財務データ（支払い、振替、計画など）
• その他の内部使用専用の文書および機密データ

身代金の期限

身代金の期限: 2024年7月1日と設定しています。

ネットワークを暗号化した後、KADOKAWAの管理部門に連絡し、データ保護およびネットワークの復号化に関する取引を持ちかけました。

誰もが見ることができるように、現在会社は苦しんでおり、ビジネスプロセスが中断されています。KADOKAWAおよびその子会社のサービスは中断され、回復にかかる時間は7月末と設定されました。

画像引用：H4ckManac　X投稿

リークデータの中身が日本でも確認され始める

リークデータをダウンロードされた方が複数あり、SNSなどの投稿で確認したところ以下のようなデータがリークされています。

・経営層と思われる人物の免許証画像

・イベントの見積もりや請求書

・契約書類

BlackSuit（ブラックスーツ）がリークデータを公開(2024年7月1日)

2024年7月1日　ランサムウェア攻撃グループのBlackSuit（ブラックスーツ）がKADOKAWA（ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開しました。

なお、この記事の中には具体的な個人情報やリークされたデータの中身などは一切掲載していません。

KADOKAWAがクリエイターなどの個人情報漏洩を発表

2024年6月28日　株式会社KADOKAWAはニコニコ動画などのKADOKAWAグループのサービスへのランサムウェア攻撃とサイバー攻撃により、取引先の法人やクリエイターの個人情報、社内情報などが漏洩した事を公表しました。

なお、漏洩元や攻撃元は引き続き明言されていません。

ロシア系ランサムウェアグループ BlackSuit(ブラックスーツ)とは

BlackSuit(ブラックスーツ)が初めて登場したのは 2023 年 5 月で、悪名高いランサムウェア攻撃グループ「Conti」の残党から生まれた ランサムウェア攻撃グループ「Royal」とも強い繋がりを指摘されています。

米国保健福祉省（HHS）は医療および公衆衛生部門に対し、BlackSuit(ブラックスーツ)に関する勧告を出し、「Royal」との「著しい類似点」を述べ、

さらにBlackSuit(ブラックスーツ)は「悪名高いロシア関連の「Conti」の直接の後継者」であると述べました。

彼らは積極的に活動しており、2024年6月には、米国の自動車ディーラー向けSaaSを提供しているCDK Globalへのサイバー攻撃を行い全米のディーラーのシステムを停止させ、さらに数千万ドルの身代金を要求しました。

ランサムウェアグループのキルネット(KillNet)や リーダーのキルミルク（killmilk）との関連は不明

一部報道によると、KADOKAWAとの交渉にはキルミルク（killmilk）という人物が関与していたとしています。

キルミルク（killmilk）はランサムウェアグループのキルネット(KillNet)のリーダーの名称でしたが、初代のキルミルク（killmilk）は引退を表明しており、今回のBlackSuit(ブラックスーツ)との関連性は今のところ不明です。

リークデータのダウンロードはしない

リークデータをダウンロードすると、ダウロードファイルの中にマルウェアが混入している場合も、あります。

また、個人情報の保護に関する法律についてのガイドラインついては公式のQAで以下の通り記載されています。目的問わず、リークデータのダウンロードは控える事をお勧めします。

、例えば、二次被害防止のために自社から漏えいした個人情報を含むデータをダークウェブから取得する場合、社会的に影響のあるサイバー攻撃の解析等のために研究機関等が必要最小限の範囲で個人情報を含むデータをダークウェブから取得する場合には、法第20 条第１項には違反しないものと考えられます（ただし、その取得したデータに上記の取扱いの必要性が認められない個人情報も含まれていた場合には、直ちにこれを削除する必要があります）。

他方、みだりに個人情報を含むデータをダークウェブから取得する場合には、法第20 条第１項に違反するおそれがあると考えられます。