データセンターへのランサムウェア攻撃事例を、公式発表から考察する

6月8日早朝、「ニコニコ動画」など、KADOKAWAグループの複数のウェブサイトなどで障害が発生しサービスが停止する事件が発生しました。早い段階から原因はサイバー攻撃であるとされていましたが、株式会社KADOKAWA（以下、KADOKAWA）および株式会社ドワンゴ（以下、ドワンゴ）は14日、「ランサムウェアを含む大規模なサイバー攻撃」が原因であるとして詳細を発表しました。今回はこのKADOKAWAおよびドワンゴの公式発表の内容を読み解き、一般の企業にとってもセキュリティの学びにできることを考えたいと思います。

※本稿で示す見解は公式発表の内容などを元にした推察をまとめたものです。また、本事件に関する情報としては以下のKADOKAWAおよびドワンゴの公式発表のみを参照しており、その後の報道などの情報は考察に含まれていません。
「【第２報】KADOKAWAグループにおけるシステム障害について」（株式会社KADOKAWA）
「当社サービスへのサイバー攻撃に関するご報告とお詫び」（株式会社ドワンゴ）
「当社サービスへのサイバー攻撃に関するFAQ」（株式会社ドワンゴ）
「ニコニコのサービス停止に関するお詫びと今後について」（ニコニコ公式チャンネル/niconico）

事例の概要

ドワンゴが発表した「被害の原因および影響範囲」では、「グループ企業のデータセンターがランサムウェアを含むサイバー攻撃を受け、相当数の仮想マシンが暗号化され、利用不能になりました」と述べられています。このことから直接の被害としてはデータセンターのネットワーク（利用者側から見るとプライベートクラウド）に侵入を受け、ランサムウェア攻撃を受けたものと推測できます。

同様の事例として、2023年に国内では2件の被害が発生しています。１つは2023年6月の株式会社エムケイシステムが運営する「社労夢」への攻撃事例、もう1つは同年7月の「名古屋港統一ターミナルシステム（NUTS）」の事例であり、いずれもデータセンター内のシステムがランサムウェア被害を受けたことが公表されています。これらの過去事例からは、今回の事例でもいわゆる標的型のランサムウェア攻撃により、データセンターが侵害され、システムを暗号化された可能性が高いものと言えます。

参考記事：名古屋港の活動停止につながったランサムウェア攻撃～今一度考えるその影響と対策

今回の事例で2023年の2つの事例と異なる点としては、社内のIT環境への攻撃が発生していることがあります。ドワンゴ発表の「対応の経緯」の中では、「攻撃が社内ネットワークにも及んでいることも判明した」（原文ママ）とあり、明確に社内ネットワークも攻撃を受けていたことが分かります。ただし、社内ネットワークに関してはランサムウェアなど明確な被害を示す記述はありません。ニコニコ公式チャンネルの説明動画の中で、同社は「ランサムウェア以外の種類の攻撃も受けている」という旨の発言をしているため、社内ネットワークへの攻撃はランサムウェア攻撃ではないのかもしれません。いずれにせよ、深刻な被害を受けたのはデータセンター内のシステムのみであるもの、と考えてよいでしょう。

考えられる侵入原因は？

現在のランサムウェア攻撃では、ネットワークへの侵入をすべての起点としてネットワーク内の探索や情報窃取が行われ、最終的にランサムウェアが実行されます。今回の事例においてもデータセンター内へ侵入された原因の特定が重要と考えられますが、ドワンゴの発表ではこの点には触れられておらず、今後の調査の進展を待ちたいところです。

ここでは、過去のランサムウェア事例で確認した侵入方法を4つ列挙します。

1. 脆弱性の悪用

公開サーバやVPN機器などの外部接点に存在する脆弱性が悪用され、侵入を許すパターンです。昨今のランサムウェア攻撃では特にVPN機器の脆弱性が狙われる事例が多くなっています。VPNの脆弱性の中にはアクセスに使用される認証情報を窃取可能なものもあり、その場合は後述する、２の認証突破に繋がります。ファームウェアのアップデートにより、攻撃可能な脆弱性を解消することが根本的な解決法です。

参考記事：VPN、サイバー攻撃被害に共通するセキュリティの注意点

2. 認証突破

外部からのアクセスに使用されるアカウントの認証情報が何らかの方法で奪われ、正規の権限で侵入されてしまうパターンです。認証情報を奪う方法としては、フィッシングや前述のVPNの脆弱性などがあります。また、正確な認証情報が奪えていない場合でも、他の場所で流出した認証情報を元にログインを試行するリスト型アカウントハッキングや、よく使用される認証情報を試行する辞書攻撃、または総当たり攻撃（ブルートフォース）などの手法で突破されてしまう場合もあります。これらの攻撃への対策としては、多段階/多要素認証や適切なアクセス制限などが有効です。

2023年に国内で公表されたランサムウェア事例のうちで侵入経路が特定されている事例の7割弱が脆弱性、およそ3割が認証突破とされています。脆弱性の悪用と認証突破による侵入はいずれもネットワーク内に直接侵入することを可能にする攻撃です。前出の「名古屋港」事例でも、ログの消失などにより断定はされていませんが、保守用VPNを通じての侵入の可能性が、国土交通省の情報セキュリティ対策等検討委員会で指摘されています。

3. 人的ミス

本来、外部に公開すべきでないポートが公開されていた、など人に起因する設定のミスを悪用されて侵入されてしまうパターンです。クラウドの公開範囲を制限すべきところ全公開になっていた、RDPなどのアクセス経路が追加の対策なしに公開されていた、などは人的ミスと言えます。トレンドマイクロのインシデント対応支援の中でも、社内サーバを仮想プライベートクラウドに移行した際の設定ミスでランサムウェア被害に遭った事例がありました。また、ネットワーク内に持ち込んだノートPCがグローバルIPを持っていたために侵入を受けた事例も確認しており、これもある種、人的ミスに分類できるかもしれません（利用者が認識してない場合もあります）。

4. 内部犯行

内部の従業員が故意に外部からのアクセスを可能にしていたことにより侵入を受けるパターンです。国内のランサムウェア事例では確認されていませんが、海外の事例では報告があります。米国では、ランサムウェアギャングとされるロシア人がテスラ社の従業員に買収を持ちかけたものの通報され、逮捕された事例が公表されています。この事例では、ネットワーク内でメールに添付されたマルウェアかUSBメモリで持ち込んだマルウェアを実行するように要請されていました。

この他にも、遠隔で運用・管理している従業員が他の要因でマルウェア感染していたというケースも考えられますが、このケースは端末やアカウントの乗っ取りということなので、概ね２の認証突破と同様と言えます。

過去の事例で確認した侵入時の攻撃手法は、概ねこの4種のいずれかに分類できると言えます。今回の事例においても、これらのうちのいずれかであるものと考えられます。裏返すと、一般の企業においてもこれらの攻撃手法への対策が必要ということになります。

特徴的な攻撃手法

今回の公表の中で明かされた攻撃内容の中で、最も特徴的と言えるのは以下の記述です：

「今回の第三者によるサイバー攻撃は、発覚後も繰り返し行われ、遠隔でプライベートクラウド内のサーバーをシャットダウンした後も、第三者がさらに遠隔からサーバーを起動させて感染拡大を図るといった行動が観測されました。そのため、サーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖しました。」（原文ママ）

説明動画の中でも「エンジニアが直接データセンターに入り電源や通信のケーブルを引き抜いた」という旨を説明していますが、遠隔での運用・管理が前提のはずのデータセンターのシステムに物理的な対応を余儀なくされたというのは衝撃的です。ただ、これに関しては2023年6月の社労夢の事例でも、システム異常のためにデータセンターへ入館して状況を確認した結果ランサムウェア感染が判明した、と説明されており、このような事態においては特別なことではないとも言えます。

この攻撃内容について、シャットダウンしたサーバを遠隔で起動すること自体は、WOL（WakeOnLan）のような機能を悪用したものと考えられ、技術的に特別困難とは言えません。実際、過去には2019年末ころにWOLを悪用し、その時点で起動していないエンドポイントにも感染しようとするRyukランサムウェアの亜種の存在が報告され、当社でも確認しています。今回の事例では、ランサムウェア感染後の対応としてサーバをシャットダウンしたことに反応して遠隔での起動が行われているため、ランサムウェア自体の機能というよりは攻撃者自身がシステムの状態を監視した上で行ったのではないかと考えられます。
ただしこの行動を攻撃者目線で考えると若干の違和感も覚えます。現在のランサムウェアの多くはRaaSと呼ばれるサービスとして提供されています。RaaSを利用して実際に攻撃を行うサイバー犯罪者はアフィリエイトとも呼ばれ、その多くは単純な金銭目的です。このような単純な金銭目的のサイバー犯罪者は、あまり攻撃の手間をかけません。トレンドマイクロのインシデント対応支援サービスで対応したランサムウェア攻撃で最も多いパターンは、週末夜に侵入し翌朝にはランサムウェア感染させて、手じまいとするような事例です。

説明動画の中で「これまで何度もサイバー攻撃を受けてきたが、今回の攻撃は非常に執拗」（太字筆者）という旨の発言がありますが、ランサムウェアを感染させ障害を発生させた後も攻撃対象のネットワークに留まり続け、シャットダウンされたサーバをわざわざ遠隔で起動させるような手数をかける行動は、単に身代金を払うように仕向けたいといった目的だけではないようにも感じられます。

また、攻撃に関するFAQでは、「今回の攻撃は何が目的なのでしょうか」という問いに対し、以下の回答が記されています。

「攻撃の意図も含め、全容解明に向けて調査中です。詳細は伏せさせていただきますが、ニコニコを中心としたサービス群を明確な標的として、時間をかけて計画的に攻撃を加えていると思わしき痕跡を確認しております」。

この「時間をかけて計画的に攻撃を加える」という説明からも、なるべく手間をかけずに利益を得ようという単純な金銭目的のアフィリエイトとは正反対の攻撃者像が浮かびます。またこれは考え過ぎかもしれませんが、攻撃の目的は何かという問いに、この回答を同社の公式見解としている点からは、インシデント対応の実際の当事者の方々もこれは単純な金銭目的の攻撃ではないと感じているのではないか、とも想像されます。

単純な金銭目的の攻撃ではないと仮定した場合、そもそも破壊自体が攻撃目的である可能性が考えられます。一般的にはサイバーテロやサイバーサボタージュ（破壊工作）と呼ばれる種類の攻撃です。破壊自体を目的とする攻撃は、標的型攻撃から内部犯行まで幅広い攻撃者が考えられます。ランサムウェアと見せかけて破壊が主目的だった過去の事例としては、2022年に標的型攻撃グループ「Sandworm」が「HermeticRansom」や「Prestige」と呼ばれるランサムウェアを使用してウクライナなどへサイバーサボタージュ攻撃を行っていた事例が報告されています。

またやはり金銭目的としても、身代金要求だけでなく、株価に影響を与えるなどのより複雑な狙いがある可能性があります。例えば、空売りを仕掛けるために株価を下落させる、などです。この場合、少しでも復旧を遅らせるために、可能な限り被害を最大化させることが目標となり、ランサムウェア実行後まで攻撃の手間をかける理由になります。今回の事例でも、事件発生前日の6月7日時点で3365円だったKADOKAWAの株価は障害発生後下降し、障害の原因がランサムウェアを含むサイバー攻撃であり復旧には1か月以上かかることを発表した直後の6月17日には2852円まで下落しています。

まとめ

今回の公式発表から考察した内容をまとめます：

●ニコニコなどのサービスが停止したサイバー攻撃はデータセンターへのランサムウェア攻撃であった
・昨年発生した同様の事例も考え合わせると、既にデータセンター（プライベートクラウド）も「アタックサーフェス」となってしまっていると言える
・今回の攻撃に関してデータセンターへの侵入経路は判明しておらず、今後の調査の進展が待たれる
・過去事例の侵入手法から考えると、運用・管理のためにデータセンターにアクセスする正規の利用者とそのアクセス経路がデータセンターの弱点になる可能性がある

●社内ネットワークへの攻撃も発生しているようだが深刻な被害は受けていないものと考えられ、ランサムウェア以外の種類の攻撃である可能性も

●データセンターへは一般的なランサムウェア攻撃とは異なり、執拗な攻撃が行われていたことが伺えるため、単純な金銭目的の攻撃ではなかった可能性がある。金銭目的であってもより複雑な株価操作を狙う攻撃や、金銭ではなく破壊が目的の可能性もある。

これらのことから、プライベートクラウドとしてデータセンターを利用する利用者は、アカウントの乗っ取りや設定ミスなどによって自らがデータセンターへの「侵入経路」とならないように対策する必要があります。また、自身が運用するシステム内への侵入を受けた場合にも、速やかに侵入に気付き、適切な対処を迅速に行うための対策として、オンプレミスネットワーク同様のシステム監視を行うことも重要です。

岡本勝之

トレンドマイクロ株式会社
セキュリティエバンジェリスト

製品のテクニカルサポート業務を経て、1999年よりトレンドラボ・ジャパンウイルスチーム、2007年日本国内専門の研究所として設立されたリージョナルトレンドラボへ移行。シニアアンチスレットアナリストとして特に不正プログラム等のネットワークの脅威全般の解析業務を担当。現在はセキュリティエバンジェリストとして、サイバーセキュリティ黎明期からこれまでのおよそ30年にわたるキャリアで培った深く幅広い脅威知識を基に、ブログやレポ―ト、講演を通じて、セキュリティ問題、セキュリティ技術の啓発にあたる。

講演実績：日本記者クラブ、一般財団法人日本サイバー犯罪対策センター（JC3）、クラウドセキュリティアライアンス（CSA）などにおける講演