フリーワード検索

アイネットブログ

  • TOP
  • アイネットブログ
  • 解説
  • KADOKAWAを襲ったハッカー集団「ブラックスーツ」とは?世界で暗躍するハッキング集団の最新の傾向

KADOKAWAを襲ったハッカー集団「ブラックスーツ」とは?世界で暗躍するハッキング集団の最新の傾向

2024年08月02日解説

6月にランサムウェアによるサイバー攻撃を受けたKADOKAWAの問題が、日々深刻化しています。

KADOKAWAは、6月初旬にグループの複数のウェブサイトで障害が発生したことを公表していました。
以降、情勢は変化し、7月に入って多くの社内情報の漏洩が確認され、これが大きな波紋を広げているのです。

今回、KADOKAWAを攻撃したのは「BlackSuit」と名乗るハッカー集団ですが、世界には多くのハッカー集団が存在し、日々暗躍しています。

それではこのBlackSuitとはどのような集団なのか、また、世界にはどのようなサイバー攻撃集団が存在しているのでしょうか。

KADOKAWAの機密情報が公開されるまでの経緯

まず今回の出来事について、振り返っていきましょう。

KADOKAWAおよび傘下で「ニコニコ動画」などを運営するドワンゴが、大規模システム障害によりさまざまなサービスに影響が出たと発表したのは6月9日のことです*1*2。

その後14日にKADOKAWAは、メイン事業である出版事業や経理業務なども大きな影響を受けていることを明かしました*3*4。

そして6月27日には「BlackSuit」(ブラックスーツ)と名乗るハッカー集団が、会社から1.5TB(テラバイト)分のデータを盗み取ったという犯行声明を出しています*5。

さらにKADOKAWA経営陣に連絡を取って金銭を要求したものの、KADOKAWA側が提示した金額が少なかったとの不満も表明しています。

そして7月2日にはブラックスーツが盗んだ情報の半分程度を闇サイトに流出させたことが明らかになりました*6。
翌3日KADOKAWAは、ドワンゴが運営する学校「N高」の生徒の情報を始め以下が流出された可能性が高いと発表しました*7。

【社外情報】
  • N中等部・N高等学校・S高等学校の在校生・卒業生・保護者のうち、一部の方々の個人情報
  • 株式会社ドワンゴが取引する一部のクリエイター、個人事業主および法人との契約書
  • 株式会社ドワンゴの楽曲収益化サービス(NRC)を利用している一部のクリエイターの個人情報
  • 株式会社ドワンゴの一部の元従業員が運営する会社の情報
【社内情報】
  • 株式会社ドワンゴ全従業員の個人情報(契約社員、派遣社員、アルバイト、一部の退職者含む)
  • 株式会社ドワンゴの関係会社の一部従業員の個人情報
  • 株式会社ドワンゴの法務関連を始めとした社内文書
個人情報や法務文書など、多岐にわたっています。

「BlackSuit(ブラックスーツ)」とはどんな集団?

実は今回犯行声明を出した「ブラックスーツ」は、今年6月に、全米の自動車ディーラーにソフトウェアを提供する「CDKグローバル」へのサイバー攻撃に関与した可能性があるとされており、ロシアおよび東欧系のハッカー集団とみられています*8。

2023年11月には、アメリカ保険福祉省傘下のサイバーセキュリティ機関がブラックスーツランサムウェアによる注意喚起を公開しています*9。
その中で、ブラックスーツの特徴として以下の点を挙げています*9*10。
  • 悪性メールを通じた拡散 - サイバー犯罪者は悪性リンクや悪性マクロを添付したメールを通じてBlackSuitランサムウェアを拡散します。添付ファイルを開き、マクロを有効化した場合ランサムウェアが実行されます。

  • Torrentサイト - P2Pネットワーク※1を通じてやり取りされるtorrentファイル※2にも埋め込まれます。ユーザーがファイルをダウンロードし開くと、ランサムウェアに感染します。
    悪性広告(マルバタイジング) - 悪性広告によりランサムウェアを拡散します。ユーザーが広告をクリックすると悪性サイトにリダイレクトされ、自動的にランサムウェアをダウンロードし実行します。

  • トロイの木馬 - ランサムウェアを含む他のプログラムをダウンロードしインストールするトロイの木馬等を通じて攻撃を行います。トロイの木馬はフィッシングメールや偽アップデート、侵害されたWebサイト等を通じて拡散されます。
※1 「P2Pネットワーク」=サーバーを介さずにPCやスマートフォンといった端末同士で直接的にデータのやりとりをする通信方式。
※2 トレント=ダウンロードするまで悪質性がわからないサイト、そのサイトからダウンロードしたファイル。P2P通信にも悪用されている。


そして、自前のリークサイトを持っています。

ブラックスーツのリークサイト
(出所:「Royal」(ロイヤル)と似た挙動を行う新たなランサムウェア「BlackSuit」(ブラックスーツ)を分析」マイクロトレンド)
https://www.trendmicro.com/ja_jp/research/23/h/investigating-blacksuit-ransomwares-similarities-to-royal.html

今回、KADOKAWAの各種情報もこのサイトを通じて外部に公開されたと考えられます。

SNS上では、実際に公開された情報をダウンロードしたという人もみられます。そうして二次流通が広がっている可能性は大きいと筆者は考えます。

ハッカー集団「業界」でのブラックスーツの立ち位置

なお世界のハッキングを監視しているWithSecureは、世界で暗躍する多数のサイバー攻撃集団にはグループ性があることを報告しています。

世界に存在するハッカー集団とその繋がり
(出所:「2023's ransomware rookies are a remix of Conti and other classics」WithSecures)
https://www.withsecure.com/en/expertise/blog-posts/2023-ransomware-rookies-are-a-remix-of-conti-and-other-classics

ブラックスーツは図の右の方「Conti」という集団から派生しており、派生元である「Conti」は近年もっとも活発に活動しているグループの一つでした*11。

アイルランドの保健サービス局、ニュージーランドのワイカト地区保健委員会、インドネシア中央銀行、ペルー国家情報局、コスタリカ政府の複数の機関など、大きなサイバー攻撃の背景にいたといいます。
しかしConti自身の情報が漏洩するという事態に遭遇し、2022年に解散しています*11。
その後を継いだのがブラックスーツである、ともいえます。

ランサムウェア集団、というよりもランサムウェアビジネス、あるいはランサワムウェアギャングにはIT企業と同じようにスタッフがおり、「転職」することもあるというのです*11。
そこからより新しい、そして経験と知識を積んだハッカーによってより高度化した新しいグループが常に生まれ続けることでしょう。

なお、昨年7月に名古屋港のコンテナターミナルを攻撃し業務に影響を与えた「LockBit」*12にも、すでに派生集団ができています。

わたしたちの世界にある「よりよい条件を求めて転職、あるいは起業する」というようなトレンドは、ハッカー業界にもあるようです。
しかし派生集団ができてもなお「LokcBit」はいまのところ「稼ぎ頭」のようです。

前出のWithSecure社によれば、情報漏洩の2割以上がLockBitによるものという解析です。

ハッカー集団における情報漏洩量の割合
(出所:「2023's ransomware rookies are a remix of Conti and other classics」WithSecures)
https://www.withsecure.com/en/expertise/blog-posts/2023-ransomware-rookies-are-a-remix-of-conti-and-other-classics

ブラックスーツは、業界的にはまだ「ひよっこ」なのかもしれません。

どう対応すれば良いのか?

日本でのランサムウェアによるサイバー攻撃は、KADOKAWAと時期を同じくして他にもみられています。

ブラックスーツとの関係はまだわかりませんが、6月28日、「KUMON」は委託先企業である株式会社イセトーがランサムウェア攻撃を受けたと発表しました。
会員や指導者に関する個人情報の漏洩が確認されたとしています*13。

イセトーのランサムウェア被害ついては、和歌山市や徳島県など40万件近くの情報が流出したことも明らかになっています*14。

なお、トレンドマイクロのサイトでは、このような予防方法が紹介されています*15。
リモートからアクセスできる機器の把握と運用見直し

端末や通信機器・ソフトウェアの最新バージョンへのアップデート

定期的なバックアップ

攻撃を受けた際のインシデント対応計画の策定と運用

悪性メール、Torrentサイト、悪性広告に対する防止策の実施
なおKADOKAWAについては、約300万ドルの身代金を支払ったものの、システムは復旧していないとの報道もあります*5。
これはランサムウェアの特徴でもあるでしょう。相手がどのような交渉をしてこようと、それに応じても約束が守られるとは限らない、その典型かもしれません。

日頃からのバックアップ体制と、ウイルスの侵入を防ぐための従業員に対する徹底的な教育から始めることをお勧めします。特にリモートワークなどで使っている従業員個別の端末については、認識を改める必要があるでしょう。

情報の種類によるサーバーの小分けなども必要な対策になってくるかもしれません。




*1
「当社サービスのシステム障害における対応状況について」ドワンゴ
https://dwango.co.jp/news/5106365978640384/

*2
「KADOKAWAグループの複数ウェブサイトにおける障害の発生について」KADOKAWA
https://prtimes.jp/main/html/rd/p/000014844.000007006.html

*3
「当社サービスへのサイバー攻撃に関するご報告とお詫び」ドワンゴ
https://dwango.co.jp/news/5131439897051136/

*4
「【第2報】KADOKAWAグループにおけるシステム障害について」KADOKAWA
https://tp.kadokawa.co.jp/.assets/240614-2_release_B3q7k4.pdf

*5
「KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず」日経クロステック
https://xtech.nikkei.com/atcl/nxt/column/18/01157/070400114/

*6
「ハッカー集団、KADOKAWA内部情報を公開...闇サイト上に給与明細など」読売新聞オンライン
https://www.yomiuri.co.jp/national/20240702-OYT1T50064/

*7
「ランサムウェア攻撃による情報漏洩に関するお知らせとお詫び」KADOKAWA
https://tp.kadokawa.co.jp/.assets/240703_release_mRuGoqZ3.pdf

*8
「米自動車ディーラー標的のサイバー攻撃、背後に「ブラックスーツ」か」ブルームバーグ
https://www.bloomberg.co.jp/news/articles/2024-06-24/SFLC1UT0AFB400

*9
「HC3: Analyst Note」アメリカ保健福祉省
https://www.hhs.gov/sites/default/files/blacksuit-ransomware-analyst-note-tlpclear.pdf

*10
「BlackSuitランサムウェア・グループが大規模攻撃を実行中」SOMPO CYBER SECURITY
https://www.sompocybersecurity.com/column/column/black_suit_ransomware_gang_global_activity

*11
「2023's ransomware rookies are a remix of Conti and other classics」WithSecures
https://www.withsecure.com/en/expertise/blog-posts/2023-ransomware-rookies-are-a-remix-of-conti-and-other-classics

*12
「名古屋港の障害、ロシアのハッカー「ロックビット」が攻撃か...プリンターから脅迫文100枚」読売新聞
https://www.yomiuri.co.jp/national/20230706-OYT1T50167/

*13
「【お詫びとご報告】6/29委託先へのランサムウェア攻撃による個人情報の流出について」
https://www.kumon.ne.jp/oshirase/2024061.html

*14
「委託先企業から住民情報が流出、和歌山市や徳島県などの40万件...ランサムウェア感染」読売新聞オンライン
https://www.yomiuri.co.jp/local/kansai/news/20240704-OYO1T50018/

*15
「BlackSuitランサムウェア・グループが大規模攻撃を実行中」トレンドマイクロ
https://www.sompocybersecurity.com/column/column/black_suit_ransomware_gang_global_activity

清水 沙矢香

2002年京都大学理学部卒業後、TBSに主に報道記者として勤務。社会部記者として事件・事故、テクノロジー、経済部記者として各種市場・産業など幅広く取材、その後フリー。
取材経験や各種統計の分析を元に多数メディアに寄稿中。

TOP