大規模なサイバー攻撃によりサービス停止に追い込まれたKADOKAWA
2024年6月8日、出版大手のKADOKAWAグループに対する大規模なサイバー攻撃が発生しました。ランサムウェア(※)を含む形で複数のサーバーに侵入し、それらのサーバーのシャットダウンを余儀なくさせたというものです。この攻撃により、子会社のドワンゴが運営する「ニコニコ動画」などのサービスが提供不能となったほか、ドワンゴの全従業員や顧客(運営する通信制高校「N高等学校」などの在校生・卒業生・保護者のうちの一部)の個人情報が流出した可能性が高いと見られています。
※ランサムウェアとは……マルウェア(悪意のあるソフトウェアや悪質なコード)の一種であり、これに感染したコンピューターは、利用者のシステムへのアクセスを制限する。攻撃者は、この制限を解除する代わりに身代金(ランサム)を支払うよう利用者に要求する。
犯行声明を出したハッカー集団「BlackSuit(ブラックスーツ)」とは
このサイバー攻撃を行ったと見られるのが、ハッカー集団「BlackSuit(ブラックスーツ)」です。ランサムウェアを利用して大手から中小企業まで幅広くサイバー攻撃を行うグループとして知られています。「BlackSuit」は、史上最悪と言われたハッカー集団「Conti」というロシアのハッカー集団がルーツであると見られています。「Conti」→「Zeon」→「Royal」と度々組織名を変え、2023年5月頃「BlackSuit」という暗号化ツールを使い始めた後にこのツール名を組織名にしたようです(度々の組織名変更は捜査の目をごまかすため、関係性を分かりにくくするためと考えられています)。
このグループは、サイバー攻撃により盗んだデータの一部をリークサイト上で流出させ、身代金(※)の支払いを拒否した場合にはデータを他の犯罪者グループに売り渡す手口で知られています。また、身代金を支払った場合でも、データが元通りになる可能性は低いため、交渉に応じないことが最善とされています。
※CISA(米国サイバーセキュリティー・インフラセキュリティー庁)によると、「Royal」の場合、約100万ドル(約1億6000万円)~1100万ドル(約17億7000万円)の身代金を要求しているという。
米国での最近の主な被害事例
2024年6月19日に発生した、自動車ディーラーにソフトウェアを提供する米国企業「CDKグローバル」がサイバー攻撃を受けた事件も、BlackSuitの犯行によるものと見られています。CDKは19日に一部サービスを数時間復旧させましたが、2度目のサイバー攻撃を受けてサービス停止を余儀なくされました。この影響で、多くの自動車販売店で顧客への融資データへのアクセスや新車販売に支障が発生し、在庫管理などの業務も停止しました。損害額は約9億4400万ドルに上るという試算もあります。
6月24日時点でBlackSuitが脅迫相手を公開するリークサイトには、CDKの名前が挙がっていません。これは同社との交渉が続いているか、身代金を支払ったことを示す可能性があるということです。
米国のサイバー犯罪対策……身代金を支払うと罰金も
2021年9月21日、米国財務省外国資産管理局(OFAC)は、ランサムウェアによる身代金の支払いについて勧告を行いました。米国が経済制裁を科している国や地域の組織に身代金を支払った場合、OFAC規制違反として罰金を科せられる可能性があるというものです。この規制はランサムウェア攻撃を受けた企業だけでなく、企業がインシデント対応を委託した第三者企業(身代金を代わりに支払う保険会社など)にも適用されます。実際、OFACは2021年、ロシアを拠点とする仮想通貨取引所・SUEXを、身代金取引を促進したとしてブラックリストに掲載しました(この掲載によって、米国企業や団体はSUEXとの取引を禁止されました)。
身代金支払いに反対する根拠としては、以下の3点を挙げています。
1. 支払い行為がサイバー攻撃者に利益を提供する
2. サイバー攻撃行為を永続させ、新たな犯行につながる
3. 支払いによってデータが復旧する保証がない
またOFACは、被害者が早期に事件を報告し、被害の詳細、身代金の支払い要求の内容や方法などの情報を提供することも勧告しています。さらに企業がランサムウェア攻撃のリスクを軽減するために、以下のような行動計画を実施するよう強調しています。
・データのオフラインバックアップの維持
・サイバーセキュリティインシデント対応計画の策定
・サイバーセキュリティに関するトレーニングの実施
・ウイルス対策およびマルウェア対策ソフトウェアの定期的な更新
・認証プロトコルの採用
身代金の支払いを拒否する企業は増加しているようだが……
ランサムウェア攻撃について調査しているChainalysisによると、2021年は総額7億6560万ドルだった身代金支払い額が、2022年には4億5680万ドルに減少したとのことです。これについて同社は、ランサムウェア攻撃が減少したわけではなく、身代金支払いを拒否する被害企業が増えたためと推測しています。理由の1つとして、上述のように身代金を支払うことが罰則の対象になることを挙げています。一方、身代金を支払わない企業が増える中、実際に支払われた身代金の平均値と中央値は増加しているという調査結果もあります。つまり、攻撃者は支払率の低下を補うために、1件当たりの身代金の額を高く設定するようになっているのではということです。
このことから考えられるのは、今後はBlackSuitのようなハッカー集団による攻撃が大規模化し、身代金が高額化する可能性があるということ。また、企業の存亡に関わるような被害が出たとき、たとえ法令違反であっても、罰則と身代金を天秤にかけた上で身代金要求に応じる企業が出てくることも十分にあり得ます。
こうした犯罪は国家や法律による取り締まりが非常に困難であり、技術革新も非常に盛んであるため、現状セキュリティ対策を講じている企業であっても、サイバー犯罪へのさらなる対策強化が求められます。