カドカワ公表の情報漏洩の原因に衝撃走る「権限ある社員なら誰でも起こせる」

　ハッカー集団からマルウェアを含むサイバー攻撃を受け情報漏洩が起き、一部サイトやサービスが停止していたKADOKAWA。今月5日には「ニコニコ動画」が再開するなど徐々に正常化に向かいつつあるが、同日には「ニコニコ動画」を運営する子会社のドワンゴがプレスリリースを発表し、情報漏洩の原因や範囲を説明。窃取されたアカウント情報によって社内ネットワークに侵入されたことが原因だと推測したが、悪意を持った社員などがアカウントを使ってシステムにアクセスすることによって情報漏洩やサービスダウンを起こせる可能性が改めて認識され、「逆に恐ろしい」「アクセス権限を持つ社員なら誰でも起こせる」といった声もあがり一部で衝撃が走っている。

　KADOKAWAのシステムで障害が発生したのは6月上旬のことだった。動画共有サービス「ニコニコ動画」、KADOKAWAのオフィシャルサイト全体、ECサイト「エビテン（ebten）」に加え「N高等学校（N高）」「S高等学校（S高）」など広い範囲で障害が発生。同社の出版物について書店からサイト経由での発注や出庫確認ができなくなった。同社に対してランサムウェアを含むサイバー攻撃を行ったとする犯行声明を出していた「BlackSuit」は、同社のネットワークを暗号化し、従業員やユーザの情報などを入手しており、同社が身代金の支払いに応じなければ7月1日にも盗んだデータを公開すると主張していた。同日には従業員の個人情報や取引先情報などの漏洩が確認され、7月3日にBlackSuitはダークウェブ上に公開していた同社への犯行声明を削除した。その後、臨時のものも含めて順次、サービスは再開。今月5日には多くのユーザを抱える「ニコニコ動画」が再開に至った。

　そしてドワンゴは今回、リリース「ランサムウェア攻撃による情報漏洩に関するお知らせ」を発表。情報漏洩の原因について次のように説明している。

＜フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると推測されております。窃取されたアカウント情報によって、社内ネットワークに侵入されランサムウェアの実行および個人情報の漏洩につながることとなりました＞

　漏洩した情報は、同社および一部関係会社の一部取引先の個人情報、同社全従業員の個人情報、N高等学校の一部の在校生・卒業生の個人情報、一部取引先との一部の契約書など広い範囲におよぶが、もし仮に悪意を持った社員などがアカウントを使って社内システムにアクセスすれば、システム障害が情報漏洩を起こせてしまう可能性が改めて認識されている。

日頃からシステムの脆弱性対策をしっかり行う

　データアナリストで鶴見教育工学研究所の田中健太氏はいう。

「一般的に企業は社員の職種・職位に応じて社内システムへのアクセス権限を設定していますが、その設定の管理が不徹底・不適切であったりすると、ウイルスに感染したメールを開いた一般社員のアカウントから侵入されてシステム内にランサムウェアを仕掛けられてしまうというリスクが高まります。

　また、内部犯という面では、社内システムの深いところまでアクセスできる権限を持つエンジニアが、コマンド一つでサーバをダウンさせるといったことは理論上は可能といえます」

　では、企業がサイバー攻撃から身を守るために日常的に取り組むべき対策とは何か。

「モラル教育や、エンジニアを採用する際にその人がどのような背景を持っているのかを調査することなども重要です。また、退職予定者のアクセス権限を限定しておけば、仮にその人物が会社に恨みを持ってシステムに危害を加えようとしても、ハードルが高いとわかって思いとどまるという抑止効果が期待できます。

　たとえば普段は経営資料にアクセスしない社員がアクセスするといったように、社員がシステム上でおかしな振る舞いを行っていないかを監視する、異常モニタリング検知の仕組みを実装することも重要です。

　悪意ある行為や攻撃を受けたとしても、日頃からシステムの脆弱性対策をしっかり行っていれば、被害を最小限に抑えられる可能性が高まります」（田中氏）

身代金を支払うことの是非

　今回の事案をめぐっては、企業がサイバー攻撃を受けた際に身代金を支払うことの是非も議論となった。6月22日にはニュースサイト「NewsPicks」が『【極秘文書】ハッカーが要求する「身代金」の全容』と題する記事を配信し、同社とハッカー集団の交渉内容を報道。これを受け、KADOKAWAは強く抗議する声明を発表するという事態も起きた。

「ケースバイケースです。攻撃者に身代金を支払うと、その攻撃者の攻撃能力が増して新たな被害者が生じることにつながる恐れがあるため、一般論としては『支払うべきではない』とされてはいますが、盗まれたデータの種類やユーザ・取引先への影響度合い、経営・事業の継続性への影響度合いにより、個別に企業の経営陣が判断することになります」（日本プルーフポイント チーフエヴァンジェリストの増田幸美氏／7月18日付当サイト記事より）

　セキュリティ会社・Cohesity Japanは7月30日、企業のIT・セキュリティ責任者302人を対象とした、サイバー攻撃からの復旧に関するアンケート調査結果を発表。回答者のうち79％が「データの復旧とビジネスプロセスの復元、またはその迅速化のために身代金を支払う」と回答し、70％が過去1年間に身代金を支払ったことがあると回答している。

　コンピューターセキュリティインシデントに対応する情報提供機関であるJPCERT/CCは、国際的な基準としてはハッカー集団に対して身代金を支払うべきではなく、交渉もすべきではないとしている。また、米国の財務省外国資産管理室（OFAC）は、OFACの制裁対象組織リストにあるハッカー集団に身代金を支払った場合は制裁対象となるとしており、日本企業も処罰の対象となる可能性がある。

「原則としては支払ってはいけないとなっているものの、情報を漏洩されることによって被る損失よりも身代金の金額のほうが低いとなれば、経営判断として身代金を支払うという選択はありといえる。漏洩を起こされれば、社内のみならず社外の多くの取引先やユーザにも悪影響がおよぶので、支払ったからといって社外から批判をされるべき話ではないし、支払ったのかどうかを公表する義務も必要もない」（中堅IT企業役員）

外部漏洩が発生したことが確認された情報

　ドワンゴの今月5日付リリースによれば、外部漏洩が発生したことが確認された情報は個人情報が25万4241人であり、具体的には以下のとおり。

1.個人情報
【社外情報】
・同社および同社の一部関係会社の一部取引先の個人情報
・同社､同社の一部関係会社および同社の一部兄弟会社の一部元従業員の個人情報
・同社および同社の一部関係会社の面接を受けた一部の方の個人情報
・N中等部・N高等学校・S高等学校の在校生・卒業生・保護者・出願者・資料請求者のうち、一部の方々の個人情報
・学校法人角川ドワンゴ学園の一部元従業員の個人情報
【社内情報】
株式会社ドワンゴ関連の下記情報
・同社全従業員の個人情報
・同社の一部関係会社および同社の一部兄弟会社の一部従業員の個人情報
・学校法人角川ドワンゴ学園の一部従業員の個人情報

2.企業情報など
【社外情報】
株式会社ドワンゴ関連の下記情報
・同社の一部取引先との一部の契約書
・同社の過去および現在の一部関係会社における一部の契約書
・同社の一部の元従業員が運営する会社の情報
【社内情報】
株式会社ドワンゴの法務関連をはじめとした社内文書

　また、サイバー攻撃組織が公開した情報を拡散する行為も確認されており、同社が悪質と認識した情報拡散行為は900件以上に上る。同社はSNSおよび匿名掲示板の運営者に削除要請を行っているのに加え、悪質性の高い情報拡散者に対しては刑事告訴・刑事告発などの法的措置に向けた作業を進行中だとしている。

（文＝Business Journal編集部、協力＝田中健太／データアナリスト、鶴見教育工学研究所）