BlackSuitがKADOKAWA(ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開

BlackSuitがKADOKAWA(ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開

2024年7月1日 ランサムウェア攻撃グループのBlackSuit(ブラックスーツ)がKADOKAWA(ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開しました。一部ネットでは「ニコニコ超開示」という揶揄も飛び交っています。

2024年7月2日:KADOKAWA(ニコニコ動画)がBlackSuitのデータ公開に関しての声明を発表

2024年7月10日:KADOKAWAが悪質な473件の情報拡散を確認し削除要請を開始

BlackSuit(ブラックスーツ)が公開したKADOKAWA(ニコニコ動画)の情報

2024年7月1日、以下ネットのオープン情報から、調査したBlackSuit(ブラックスーツ)が公開したKADOKAWA(ニコニコ動画)の情報の概要です。

・Vtuberの個人情報(本名、住所、電場番号)

・ニコニコ超会議の振り込み履歴

・ニコニコ動画のNGワードリスト

・有名配信者への依頼書・企画書

・業務マニュアル

・契約書

・N高に関する契約書類や業務書類、N高の学生と思われる個人情報(電話番号、住所、保証人の名前や住所)と保護者の情報

・ドワンゴ従業員のマイナンバーや免許証情報を含む個人情報

KADOKAWAやニコニコ動画の利用ユーザーの個人情報は確認できず

一部有名配信者の個人情報は確認されていますが、一般ユーザーの個人情報やニコニコ動画の閲覧履歴は今のところ確認されていません。

ただ、N高生の個人情報や従業員の個人情報と思われる情報も公開されており重大な二次被害の懸念も発生しています。

N高生の個人情報 漏えいは重大インシデント

当初KADOKAWAグループは各社のインターネット環境は分離されており、N高生の情報漏えいに関しては軽微もしくは、発生しないと明言していました。

しかし今回N高生の個人情報や保証人、保護者の名前、住所、連絡先などが漏洩しました。
リークデータのフォルダ構成を確認したところ、ある1名の重大インシデントである可能性が高いです。

・特定の1名が別サーバにある、N高生の個人情報を自分のフォルダへコピーし削除せず放置
 なお一般的に、別会社に保存されている重要性情報はアクセスできなかったり
 自社にある重要な個人情報をコピーした際は、目的利用を実施した後に、コピーした内容を削除する必要があります。

・BlackSuit(ブラックスーツ)によりKADOKAWAグループへランサムウェア攻撃が発生

・N高生の個人情報が漏洩

となったと予測されます。これは一般企業でも発生しうるインシデントですので非常に注意が必要です。

KADOKAWA N高の個人情報や従業員情報の漏洩を発表

2024年7月3日 KADOKAWAはN高の個人情報や従業員情報の漏洩を公式に発表しました。

KADOKAWAは有名配信者への補償をどこまで行うのか?

2024年6月27日 株式会社Brave group のグループ会社である株式会社バーチャルエンターテイメントが運営する、「ぶいすぽっ!JP オーディション」の応募情報が漏洩しました。さらに、Brave groupの運営する「Brave group総合オーディション」および株式会社ENILISの運営する「HareVare VLiverオーディション」においても同様の個人情報漏洩の可能性を発表しました。

その際に漏洩した方には必要に応じて引っ越し費用も負担すると発表していますので、KADOKAWAがどこまで費用を負担するのか注視する必要があります。

BlackSuit(ブラックスーツ)のリークデータに目新しい情報はない

クリエイターの情報漏洩は先んじてKADOKAWAが声明を発表していましたので、

BlackSuit(ブラックスーツ)の犯行声明に記載されていた「誰も夜間に行われていることを公開されることを望みません。これにはメールやブラウジング履歴が含まれます。」といった一般ユーザーの情報は今のところ確認されていません。

関連記事:ランサムウェア グループ BlackSuit (ブラックスーツ)とは 概要や事例、国などを解説

BlackSuit(ブラックスーツ)の犯行声明

BlackSuit(ブラックスーツ)の犯行声明

引用:https://imgur.com/HqQOvF9

私たちのチームは約1ヶ月前にKADOKAWAのネットワークにアクセスしました。言語の問題もあり、KADOKAWAの子会社のネットワークが相互に接続されており、IT部門が作り出した混乱を通り抜けるのに時間がかかりました。KADOKAWAのネットワークアーキテクチャが適切に整理されていないことが判明しました。

異なるネットワークが、eSXIやV-sphereのようなグローバル制御ポイントを通じて制御されている大規模なKADOKAWAのインフラに接続されていました。一度制御センターにアクセスすると、私たちはネットワーク全体を暗号化しました(Dwango、NicoNico、KADOKAWA、その他の子会社)。

BlackSuit(ブラックスーツ)が窃取ダウンロードしたデータの概要:

  1. 契約書
  2. 電子契約書類
  3. 各種法的文書
  4. プラットフォームユーザー関連データ(メール、データ使用量、リンクのクリック、等)
  5. 従業員関連データ(個人情報、支払い、契約、メール、等)
  6. 事業計画(プレゼンテーション、メール、オファー、等)
  7. プロジェクト関連データ(コーディング、メール、支払い、等)
  8. 財務データ(支払い、送金、計画、等)
  9. その他の内部使用文書および機密データ

ネットワークが暗号化された後、私たちはKADOKAWAの管理者と連絡を取り、データ保護とネットワークの復号化についての取引を持ちかけました。

ご覧の通り、会社は現在困難に直面しており、業務プロセスが中断されています。KADOKAWAとその子会社のサービスは停止され、復旧の見込みは7月末までとされています。

KADOKAWAの管理者がほぼ毎日この状況に関する公の発表を行っているのは良いことです。これは真実を伝えて公衆を落ち着かせるために良い決断でした。

しかし、KADOKAWAが詳細を隠すことを選んだのは良くありません。もしかすると、彼ら自身のIT部門が真実を全て伝えなかったのかもしれませんが、私たちはKADOKAWAの声明が誤っていることを証明できます。

まず第一に、KADOKAWAのIT部門は、暗号化する3日前に私たちの存在を検出しました。管理者はネットワークから私たちを追い出そうとしましたが、サーバーIPがブロックされても、私たちはネットワークへのアクセスを維持することに成功しました。KADOKAWAの管理者が私たちを検出した後も、ダウンロードは続けられました。彼らはアウトゴーイングトラフィックを検出して停止することができませんでした。なぜなら、ダウンロードスクリプトはサーバーIPがブロックされた後も動作し続けたからです。暗号化の1日前には、KADOKAWAの管理者が私たちの活動を止めようとしていることを検出しましたが、成功しませんでした。

必要に応じて、さらに詳細を公表する準備がありますが、全ての手の内を見せたくはありません。

目的は金のみ

私たちはビジネスとしてお金にしか興味がありません。KADOKAWAは取引を結ぼうとしていますが、提示された金額はこの会社にとっては非常に低いです。

このネットワークインシデントは、ネットワーク全体の再構成につながるため、KADOKAWAの顧客がIT部門がネットワークを再構成するまで待たなければならないということです。彼らが知らなかったのは、KADOKAWAのIT部門が内部ネットワークの弱点を理解するためのハッキング経験が不足していることです。これにより、将来別のサイバー事件が発生する可能性があります。そして、もう一つ重要な点は、データが公開された場合、KADOKAWAはネットワークインフラ全体を変更するだけでなく、ビジネス方法全体を変更しなければならないということです。なぜなら、多くの機密ビジネス関連データが公開されるからです。

私たちは、長年の経験に基づいて、ネットワークの復号化と漏洩データの削除に加えて、KADOKAWAのネットワークを改善するための支援を提供しています。

夜間に行われていることを公開されることを望みません

要約すると、私たちは日本の市民に関する非常に個人的な情報にアクセスしました。これらの人々はプライベートライフに関するデータを機密に保つことを望んでいます。

誰も夜間に行われていることを公開されることを望みません。これにはメールやブラウジング履歴が含まれます。

KADOKAWAの管理者は理解するべきです。私たちが今週末までに取引を成立させなければ、全てが公開されるということを。

現在、多くの日本市民の機密生活の詳細はKADOKAWAの管理決定に依存しています。

私たちは、KADOKAWAの上層部が言い訳をし続ける数ヶ月を過ごしたいとは思いません。そのような言い訳は彼らには合わないでしょう。

KADOKAWAのような会社にとっては、支払いを行い、前進する方がはるかに簡単でしょう。

身代金の支払い期限

全データは7月1日に公開

NewsPicksのKADOKAWA 身代金の支払い問題について

NewsPicksがKADOKAWAが身代金を支払ったのではないか?という報道を行いましたが、

BlackSuit(ブラックスーツ)の犯行声明には、身代金が支払われていた事の記載がありません。

ランサムウェアグループのキルネット(KillNet)や リーダーのキルミルク(killmilk)との関連は不明

一部報道によると、KADOKAWAとの交渉にはキルミルク(killmilk)という人物が関与していたとしています。

キルミルク(killmilk)はランサムウェアグループのキルネット(KillNet)のリーダーの名称でしたが、初代のキルミルク(killmilk)は引退を表明しており、今回のBlackSuit(ブラックスーツ)との関連性は今のところ不明です。

リークデータのダウンロードはしない

リークデータをダウンロードすると、ダウロードファイルの中にマルウェアが混入している場合も、あります。

また、個人情報の保護に関する法律についてのガイドラインついては公式のQAで以下の通り記載されています。目的問わず、リークデータのダウンロードは控える事をお勧めします。

例えば、二次被害防止のために自社から漏えいした個人情報を含むデータをダークウェブから取得する場合、社会的に影響のあるサイバー攻撃の解析等のために研究機関等が必要最小限の範囲で個人情報を含むデータをダークウェブから取得する場合には、法第20 条第1項には違反しないものと考えられます(ただし、その取得したデータに上記の取扱いの必要性が認められない個人情報も含まれていた場合には、直ちにこれを削除する必要があります)。

他方、みだりに個人情報を含むデータをダークウェブから取得する場合には、法第20 条第1項に違反するおそれがあると考えられます。

TOPへ