ニコニコ動画やKADOKAWAへのサイバー攻撃のまとめ

2024年6月8日未明より、ニコニコ動画を含む、KADOKAWAグループの複数のWebサイトで利用できない事象が発生し、その原因がランサムウェアによる大規模なサイバー攻撃であることが、同年6月14日の株式会社KADOKAWAの発表により明らかになりました。

今回の記事では、ニコニコ動画とKADOKAWAへのサイバー攻撃について、概要や経緯、影響などをまとめた内容を紹介します。

今回のサイバー攻撃は、KADOKAWAグループの事業活動に大きな影響を与えており、今時点においても完全復旧とは言えない状況にあります。今後の復旧状況が注目されます。

ニコニコ動画やKADOKAWAへのサイバー攻撃の概要

2024年6月8日に発生したKADOKAWAグループへの大規模なサイバー攻撃により、ニコニコ動画を含む多くのサービスが影響を受けました。

主な影響としては、複数のサーバーがアクセス不能となり、データが暗号化されました。また、KADOKAWAグループの出版事業やMD事業などにも影響が出ました。攻撃者はBlackSuit(ブラックスーツ)と名乗るロシア系ハッカー集団であるとされています。

なお、攻撃者から身代金の要求がありましたが、KADOKAWAは支払いを拒否したとしています。

そして、同年7月5日、一部のサービスを除き、おおむねサービスを再開したことをKADOKAWAが発表しました。しかしながら、動画サービス「ニコニコ動画」など一部サービスについては、サービス再開時期を「今しばらく時間を要する」としています。

同年9月11日、KADOKAWAは、サイバー攻撃に関する犯行声明について、グループとしての見解と対応を発表しました。

説明されていない問題点

なお、KADOKAWAグループやニコニコ動画へのサイバー攻撃とランサムウェア攻撃、それに伴う個人情報の漏洩で引き続き説明されていない問題点は以下です。

BlackSuitへの身代金支払い疑惑

NewsPicks（ニューズピックス）や日経クロステックが同社が約４億円の身代金を支払った可能性が高いと報じており、事実であれば、重大なコンプライアンス違反です。

本件に関して、同社は引き続き「身代金は支払っていない」としていますが、該当するビットコインの支払い履歴も確認されています。

N高生徒の個人情報漏洩の原因

当初記者会見ではN高生徒情報と侵入されたと思われるネットワークは別々なので、N高生徒の個人情報漏洩の可能性は低いとされていました。

しかしながら、2024年7月1日、ランサムウェア攻撃グループのBlackSuitがKADOKAWA（ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報では、N高生徒の個人情報が漏洩しています。

一説には、ドワンゴの人間が業務目的ではない利用用途でN高生徒の個人情報を自分のフォルダに保存し結果的に漏洩した可能性があり、本件に関して説明はされていません。

社員のフォルダに保存されていた個人情報

なお、セキュリティ対策 LabでBlackSuitが公開したデータを解析すると、ある1名の社員のフォルダに大量に個人情報が保存されていました。

◆保存されていた情報例◆

• N高生徒の緊急連絡先と注意事項
• 契約書
• 各種申請書
• 自身のローン申請書
• リアルなアジア人の顔を生成できるAI yayoi_mix

被害額

大規模なサイバー攻撃の影響によりKADOKAWAグループは2025年3月期に36億円の特別損失を計上する見通しだと発表しました。

傘下のドワンゴが提供する動画共有サービス「ニコニコ動画」の停止などでクリエーターへの補償費用やサーバーなどの復旧費用に充てるとしています。これに伴い連結純利益の見通しを前期比15%減の97億円と、従来予想の134億円から下方修正しました。

4〜6月期の決算は、売上高が前年同期比12%増の658億円でした。電子書籍が国内外で好調だったほか、アニメ「ダンジョン飯」や映画「首」の国内外の動画配信サービスでのライセンス収入などが好調でした。

ただ、サイバー攻撃関連の特別損失20億円を計上し、純利益は10%減の34億円でした。

情報漏洩の原因

KADOKAWAグループへのサイバー攻撃の原因は、ランサムウェアによるデータ暗号化である可能性が高いと言えます。攻撃者は、フィッシングメールや脆弱性を利用してKADOKAWAのネットワークに侵入し、ランサムウェアを感染させたと推測できます。

ランサムウェア攻撃グループ BlackSuitの犯行声明

私たちのチームはほぼ1か月前にKADOKAWAのネットワークにアクセスしました。言語の問題もあり、KADOKAWAの子会社のネットワークが互いに接続されていること、そしてKADOKAWAのIT部門が作った混乱を通り抜けることに時間がかかりました。

KADOKAWAのネットワークアーキテクチャが適切に構成されていないことが判明しました。大きなKADOKAWAのインフラストラクチャは、例えば、eSXIやV-sphereのようなグローバルコントロールポイントを通じて接続された別々のネットワークでした。

コントロールセンターにアクセスできたので、全ネットワークを暗号化しました（ドワンゴ、ニコニコ、KADOKAWA、その他の子会社）。

窃取したデータ量：私たちの第2チームは、ネットワークから約1.5TBのデータをダウンロードしました。

BlackSuitが窃取したデータの概要

BlackSuitが窃取したとするデータの概要は以下です。

• 契約に関する情報
• 電子契約に関する情報
• さまざまな法的文書
• プラットフォームのユーザー関連データ（電子メール、データ使用、開いたリンクなど）
• 従業員関連データ（個人情報、支払い、契約、電子メールなど）
• 事業計画（プレゼンテーション、電子メール、オファーなど）
• プロジェクト関連データ（コーディング、電子メール、支払いなど）
• 財務データ（支払い、振替、計画など）
• その他の内部使用専用の文書および機密データ
• 身代金の期限: 2024年7月1日と設定しています。

ネットワークを暗号化した後、KADOKAWAの管理部門に連絡し、データ保護およびネットワークの復号化に関する取引を持ちかけました。誰もが見ることができるように、現在会社は苦しんでおり、ビジネスプロセスが中断されています。KADOKAWAおよびその子会社のサービスは中断され、回復にかかる時間は7月末と設定されました。

サイバー攻撃とランサムウェア攻撃の経緯

• 6月8日: 障害発生。KADOKAWAグループの社内で分析調査を開始。
• 6月14日: KADOKAWAがシステム障害の原因がサイバー攻撃であると発表。
• 6月22日: NewsPicksが「【極秘文書】ハッカーが要求する『身代金』の全容」と題した記事を掲載。
• 6月24日: KADOKAWAの株価が急落。
• 6月26日: KADOKAWAが復旧には時間がかかる見込みであると発表。
• 6月27日：KADOKAWAグループがシステム障害に関する第三報を発表（以下詳細）

2024年6月27日、株式会社KADOKAWAがKADOKAWAグループやニコニコ動画などに発生したサイバー攻撃・ランサムウェア攻撃に起因する、システム障害と復旧活動に関して第三報を公表しました。

公表内容は下記の通り。

システムと事業活動の回復状況

事業活動の根幹である経理機能の立て直しと、売上規模が大きい出版事業の製造・物流機能の正常化を最優先事項として取り組んでおり、経理機能については、アナログ対応も含め7月初旬に復旧する目途が立っております。出版製造については、重版は優先順位をつけて製造を行っているのが現状ですが、新刊は平常時の水準を維持しております。

出版物流については、自社システムの影響度が高い既刊の出荷部数は平常時の3分の1程度となっておりますが、新刊は平常時と同等の水準を維持しております。

今後も、製造・物流に関連するシステムの復旧作業を加速させることと並行して、当面のインシデント対応として、人的リソースの拡大などシステムに依存しない体制を整備することで、事業への影響を最小限にとどめる対策を講じてまいります。

影響を受けている主な事業の現状

出版事業・製造

○ システムに依存しない対応も進め、製造への影響の最小化に努めております。
○ 国内紙書籍においては、重版の製造に関しては優先順位をつけて対応しておりますが、新刊の製造は平常時の水準を維持しております。
○ 電子書籍については、システム障害発生直後に一部配信が遅れるケースがございましたが、現在は制作への影響は発生しておりません。

物流

○ システムに依存しない対応も進め、物流への影響の最小化に努めております。
○ KADOKAWAの書籍出荷の割合は、新刊・既刊がそれぞれ約5割（総出荷金額ベース）です。新刊については、平常時と同等の水準の出荷部数を維持しております。
○ 一方、自社システムの影響度が高い既刊においては、販売会社の協力を得ながら可能な限り書店からの注文に応じて出荷を進めておりますが、現時点では平常時の3分の1程度の出荷部数となっております。

Webサービス事業

○ ニコニコファミリーのサービス全般、およびニコニコアカウントによる外部サービスへのログインも引き続き停⽌中です。
○ 一方で「ニコニコ動画（Re:仮）」に続いて、「ニコニコ生放送（Re:仮）」や「ニコニ・コモンズ（Re:仮）」などのユーザー向け臨時サービスの提供を開始したことに加え、「ニコニコ漫画スマートフォン版Webサイト」、「NicoFT」など既存サービスについても再開いたしました。また、既存サービスである「ニコニコチャンネルプラス」については、6月28日（金）の再開を予定しております。

MD事業

○ 商品の卸売に関しては、現時点で発生している影響は限定的であり、出荷機能についても概ね平常通りに回復しております。
○ KADOKAWA運営のオンラインショップについては、下記の通りです。

■ KADOKAWAが提供するアカウント認証機能に不具合が生じていることにより、同機能の導入店において当該ユーザーがログインできない障害が発生しております。なお、これらショップの一部では代替の認証機能導入の検討・準備を進めております。

■ アクセスができない障害が発生しているオンラインショップについては、暫定的にKADOKAWAが運営する別のショップ内に臨時ページを開設するなどの対応をしております。

情報漏洩について

現在、情報漏洩の可能性に関して外部専門機関等の支援を受けながら調査を実施しております。なお、「ニコニコ」サービスを含む当社グループの顧客のクレジットカード情報につきましては、社内でデータを保有していないため、当社からの情報漏洩は起こらない仕組みとなっております。

6月28日：株式会社KADOKAWAは個人情報や社内情報などが漏洩したことを公表（以下詳細）

2024年6月28日、株式会社KADOKAWAはニコニコ動画などのKADOKAWAグループのサービスへのランサムウェア攻撃とサイバー攻撃により、取引先の法人やクリエイターの個人情報、社内情報などが漏洩した事を公表しました。

漏洩した情報

取引先情報

● 楽曲収益化サービス（NRC）を利用している一部のクリエイターの個人情報
● 一部の元従業員が運営する会社の情報
● 取引先との契約書、見積書など

社内情報

● 株式会社ドワンゴ全従業員の個人情報（契約社員、派遣社員、アルバイト、一部の退職者含む）
● 株式会社ドワンゴの関係会社の一部従業員の個人情報
● 社内向け文書

クレジットカードの情報漏洩は確認されていない。引き続き、クレジットカードの漏洩は確認していないとのこと

漏洩の対象者には個別で連絡中

情報が漏洩したことを確認した社外のクリエイター、取引先、および元従業員の皆様には、お詫びとお知らせを個別に送信中とのこと。

また、ランサムウェアグループ「BlackSuit」が犯行声明を発表済み。脅威監視会社の「HackManac」によると、ロシア系のランサムウェア攻撃グループ「BlackSuit(ブラックスーツ)」が直近で発生したKADOKAWAグループやニコニコ動画へのサイバー攻撃・ランサムウェア攻撃に関与し、データを窃取したと発表しました。なお、身代金の支払い期限は7/1となっています。

7月1日:ランサムウェア BlackSuitがKADOKAWAから窃取した新たなデータを公開。攻撃者が身代金の支払いを要求。支払わなければ盗んだデータを公開すると通告（以下詳細）

2024年7月1日、ランサムウェア攻撃グループのBlackSuitがKADOKAWA（ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開しました。その後9月10日にBlackSuitはKADOKAWAから新たに窃取したと主張するデータを自身のリークサイトで公開しました。

窃取されたデータは6月ごろのデータと推測されています。なお、Xの有識者ユーザーは、このmegaフォルダを親とする子フォルダ・子ファイルの最終更新日時が6月7日であるためBlackSuitが窃取して公表されていなかった残りだと推測されるとしており、弊社で確認したデータでも同様でした。その為本データが9月以降に窃取されたとは、現時点では言えません。また、ランサムウェア攻撃グループは自身の功績を吹聴する事もあるため、KADOKAWA社への問い合わせは控えて頂きますようお願いします。

7月2日：KADOKAWAがBlackSuitのデータ公開に関して声明を発表（以下詳細）

2024年7月1日、ランサムウェア攻撃グループのBlackSuitがKADOKAWA（ニコニコ動画)へのランサムウェア攻撃・サイバー攻撃で窃取・流出した情報を公開しました。これに伴い7月2日、KADOKAWAが声明を発表しました。

KADOKAWAの声明

KADOKAWAグループとニコニコの情報漏洩については引き続き調査中。KADOKAWAグループでは、「ニコニコ」を中心としたサービス群を標的として、データセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩について調査を開始しており、現在も継続中。

当該ランサムウェア攻撃を行ったとされる組織が、当社グループが保有する情報の一部を流出させたとする旨を6月28日に公表いたしましたが、これに引き続いて、7月2日、当該組織がKADOKAWAグループの保有する情報をさらに流出させたと主張していることを、確認いたしました。

KADOKAWAグループは、このたびの当該組織の主張内容の信憑性について現在調査中ですが、正確性の検証には相応の時間を要する見込みです。可及的早期に正確な事実を把握できるよう全力で取り組むとともに、外部専門機関による調査結果も7月中には得られる見通しです。調査結果が判明次第、速やかに皆様にご報告いたします。

大変ご心配をおかけしておりますが、もうしばらくお待ちいただけますようお願い申し上げます。また既報の通り、「ニコニコ」サービスを含むKADOKAWAグループのユーザーの皆様のクレジットカード情報につきましては、社内でデータを保有していないため、当社からの情報漏洩は起こらない仕組みとなっております。なお、当該組織が主張するウェブサイトへのアクセスやデータファイルのダウンロードなどの行為は、マルウェア感染などの危険がありますので、ご注意いただきたく存じます。

また、上述の通り当該組織の主張内容につきましては現在調査中ですが、上記のデータの拡散は個人情報を侵害し深刻な影響を及ぼす可能性があるため、SNS等による共有はお控えくださいますよう、皆様のご理解とご協力を心よりお願い申し上げます。

本事案については、すでに警察による捜査が開始されていることに加え、当社からも関係当局に必要な報告を行っております。既報の通り、当社グループの事業活動は一定の影響を受けておりますが、このような犯罪行為に屈することなく厳正に対処してまいります。

7月3日：KADOKAWAがサイバー攻撃・ランサムウェア攻撃によりN高の個人情報や従業員情報の漏洩を発表（以下詳細）

2024年7月3日、株式会社KADOKAWAはサイバー攻撃とランサムウェア攻撃でN中、S高、N高の生徒や保護者の個人情報や従業員の個人情報などが漏洩した可能性を発表しました。

外部漏洩の可能性が高いと認識した情報の種類

◆社外情報◆

● N中等部・N高等学校・S高等学校の在校生・卒業生・保護者のうち、一部の方々の個人情報
● 株式会社ドワンゴが取引する一部のクリエイター、個人事業主および法人との契約書
● 株式会社ドワンゴの楽曲収益化サービス（NRC）を利用している一部のクリエイターの個人情報
● 株式会社ドワンゴの一部の元従業員が運営する会社の情報

◆社内情報◆

● 株式会社ドワンゴ全従業員の個人情報（契約社員、派遣社員、アルバイト、一部の退職者含む）
● 株式会社ドワンゴの関係会社の一部従業員の個人情報
● 株式会社ドワンゴの法務関連を始めとした社内文書

対象者には個別で通知を開始。

7月5日：KADOKAWAがおおむねサービス再開したことを公表。

7月5日: KADOKAWAが、一部のサービスを除き、おおむねサービス再開したことを発表しました。しかし、動画サービス「ニコニコ動画」など一部サービスについては、サービス再開時期を「今しばらく時間を要する」としています。

7月13日、KADOKAWAが悪質な473件の情報拡散を確認し削除要請を開始（以下詳細）

2024年7月13日、株式会社KADOKAWA、株式会社ドワンゴ（ニコニコ動画 運営）、学校法人角川ドワンゴ学園による横断対策チームを組成し、サイバー攻撃を行ったとされる組織が公開したものとする情報の拡散行為を行うものへの対処強化を公表しており、473件に関して削除要請や悪質性が認められる内容に関しては情報開示請求を行っている旨をリリースしました。

悪質と認識した情報拡散行為等の件数（7月10日時点）

株式会社ドワンゴ ：420件【内訳】X (旧Twitter):133件／5ちゃんねる:237件／まとめサイト:26件／Discord･その他:24件

学校法人角川ドワンゴ学園 ：53件【内訳】X (旧Twitter):8件／5ちゃんねる:41件／まとめサイト:1件／その他:3件

悪質な情報拡散行為へのKADOKAWAグループの対応

１. 削除要請

悪質と認識した書き込みに対して、SNSおよび匿名掲示板の運営者に削除要請を実施。既に複数の投稿については削除が確認。

２. 発信者情報開示請求

悪質と認識した書き込みを行った発信者に対して、SNSおよび匿名掲示板の運営者に発信者情報開示請求を開始。これにより、特定した発信者には厳正な法的措置を講じる準備を進めている。

刑事告訴・刑事告発について

悪質性の高い情報拡散者に対しては、証拠保全の上、削除済みの書き込みも含めて刑事告訴・刑事告発などの法的措置に向けた作業を進行中。

7月26日：KADKAWA グループのニコニコ動画が8/5に再開（以下詳細）

2024年7月26日、ランサムウェアグループのBlackSuitのサイバー攻撃で甚大な被害が発生したKADKAWAグループのニコニコ動画が8/5に再開する事を公表しました。

「ニコニコ」のサービス再開について

８月5日に再開するサービス

・ニコニコ動画　（動画の投稿･視聴、コメント投稿が可能）
・ニコニコ生放送（公式番組の視聴、コメント投稿が可能）
・ニコニコ大百科（記事の閲覧･作成･編集、掲示板の閲覧･レス投稿が可能）
・ニコニコ静画
・ニコニ・コモンズ
・ニコニ立体
・ニコニコQ
・クリエイター奨励プログラム

8月に順次再開するサービス・機能

・ニコニコチャンネル：8月中旬～下旬予定（※１）
・ユーザー生放送：8月上旬予定
・ボカコレ(iOS/Androidアプリ)：8月中旬予定
・ニコニ広告、ギフト：8月中旬予定
・ニコニコニュース：8月上旬予定（※２）
・フォロー新着（ニコレポに代わる新機能）：8月下旬予定
・プレミアム会員の入退会：8月中旬より決済手段毎に順次再開予定
・N予備校：無料会員向け一部機能、学校向け一部機能再開：8月上旬予定

ニコニコ動画の会員やクリエイターの補償対応を公表

7月29日：KADOKAWAグループがサイバー攻撃後の第四報を発表。8月中旬には書籍の製造が平準の水準に回復見込み（以下詳細）

2024年7月29日、株式会社KADOKAWAはサイバー攻撃とランサムウェア攻撃によりシステム停止を行い復旧作業を行っていました。今回第四報として事業活動の回復状況が公表されました。

事業の回復状況について

出版事業

売上規模が大きい出版事業の回復を最優先事項として対応し、経理機能については、アナログ対応も含め既に平常状態に復旧している。出版事業については、8月から段階的に出荷ボリュームが回復し、8月中旬以降は1日当たりの出荷部数が概ね平常時の水準に回復する見込みとなる。その後９月に、KADOKAWA独自の取り組みであるDOT（Direct Order Tablet＝書店とのダイレクト受発注システム）の再稼働や販売施策の強化を通して、事案発生以降の出荷保留分や、店頭で品薄となっているタイトルの埋め合わせを図り、逸失した収益の奪回を進める予定

ニコニコ動画などのWebサービス事業

8月5日に「ニコニコ動画」「ニコニコ生放送」をはじめとする複数の主要サービスが復旧する。なお、その後も「ニコニコチャンネル」などを順次再開することで、9月以降は全面的なサービス復旧となる見込み。

MD事業

売上構成比が大きい商品の卸売販売については、引き続き概ね平常通り実施中。運営のオンラインショップについては以下の通り対応・復旧を進めており、8月以降MD事業全体における本事案による影響はほぼなくなる見込み。

○ KADOKAWAが提供するアカウント認証機能の不具合が発生している一部ショップでは、8月初旬に同アカウント認証機能の不具合解消や代替の認証機能導入の目途。

○ アクセス障害が発生しているショップでは、別のショップ内での出店拡大などの対応

8月5日：サイバー攻撃を受けたニコニコ動画とニコニコ漫画が復旧（以下詳細）

2024年8月5日、KADOKAWAグループのドワンゴはランサムウェアグループのBlackSuitのサイバー攻撃とランサムウェア攻撃の復旧対応で停止していた、ニコニコ動画とニコニコ漫画を復旧しました。

8月16日：BlackSuitがKADOKAWAへ新たな犯行声明（以下詳細）

2024年8月16日、ランサムウェア 攻撃グループのBlackSuitが自身のリークサイトへニコニコ動画などを運営するKADOKAWAグループへ新たな犯行声明と思われる内容を公表しました。なお、ランサムウェア 攻撃グループは自身の功績を誇張する事もあり、また現時点で詳細不明なためKADOKAWA社への問い合わせなどは控えるようお願いします。

9月11日：KADOKAWAがサイバー攻撃に関する犯行声明について、グループとしての見解と対応を発表（以下詳細）。

2024年9月11日、同社のHP上で、「サイバー攻撃による犯声明にかかる当社グループの見解と対応について」を公表しました。内容は下記の通りです。

株式会社KADOKAWA（本社東京都千代区、取締役 代表執役社 CEO夏野剛）は、本年6月8日に発覚した当社グループへのサイバー攻撃（以下「当該攻撃」といいます。）にかかり、現在も、外部のセキュリティ専機関（以下「外部専機関」といいます。）の援を受けながら業務の完全復旧と再発防に向けた取り組みを鋭意進めておりますが、関係するすべての皆様に多なるご配とご迷惑をおかけしておりますことを深くお詫び申し上げます。

当社は、当該攻撃をったと名乗る組織が当社グループ保有の情報の部を追加的に公開したという旨の主張をっていること（以下「本件」といいます。）を確認したことから、捜査当局との情報連携および外部専機関の援を得ながら本件への対応をっておりますが、現時点において当社グループが新たなサイバー攻撃を受けた痕跡は検知されておりません。したがって当社は、現時点において本件は当社グループから新たに漏洩した情報ではないものと推測しておりますが、引き続き、外部専機関にも追加調査を依頼しております。

影響

2024年8月5日、KADOKAWAはランサムウェアグループのBlackSuitのサイバー攻撃とランサムウェア攻撃で漏洩した個人情報が約25万人にのぼる事を発表しました。

また、情報漏洩の原因はフィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると公表しています。なお、ニコニコユーザーのアカウント情報（ログインメールアドレス、ログインパスワード）、およびクレジットカード情報につきましては、株式会社ドワンゴからの情報漏洩は確認さていないとのことです。

また、経緯のところでも記載しておりますが、KADOKAWAグループの出版事業やMD事業にも影響を及ぼしました。

参照

KADOKAWA、サイバー攻撃で特損36億円　補償・復旧に

大規模サイバー攻撃による業績影響、特別損失の計上および2025年3月期通期連結業績予想の修正に関するお知らせ