デッドライン迎えたKADOKAWA｢サイバー攻撃｣。流出した内部文書、ユーザーが今できる3つのこと

ランサムウェア攻撃による大規模障害が続いているKADOKAWAグループにとって、7月1日は｢Xデー｣だ。

ランサムウェアは、身代金要求型ウイルスとも呼ばれ、侵入したシステムのプログラムを暗号化するなどして、所有者に解除と引き換えに金銭を要求する。この身代金の支払い期日が、6月30日までだったからだ。

6月8日未明のシステム障害発生以来、22日間が経過するなかで、Killmilkと名乗る犯人グループと見られる人物（以下、便宜上、犯人グループと表現）とのメールの内容が報道されたり、先週にはBlackSuitと名乗るハッカー集団が犯行声明を公表したとNHKが報じている。

KADOKAWAは6月28日、金曜日の午後6時という遅い時間になって、一部の従業員やクリエーターなど関係者の個人情報の流出を認め始めた。

今後、何が起こりうるのか。ニコニコ動画などをはじめとするKADOKAWAグループのサービスを使ってきたユーザーができる｢自己防衛｣とは何か。

編集部が匿名を条件に関係者から独自に入手した犯人グループとのやりとりのメールも交えて、整理してみたい。

データを人質に取られたKADOKAWA・ドワンゴ

今回の障害情報について、KADOKAWAのリリースをもとに時系列を大まかに整理すると以下のような流れになっている。

• 6月8日（土）未明……KADOKAWAオフィシャルサイトやエビテン、ニコニコサービス全般でシステム障害が発生。ドワンゴ側は同日中に第1報を公開。
• 6月9日（日）……KADOKAWAグループ名義でシステム障害に関する第1報を公開。原因については｢外部からの不正なアクセス｣を挙げる。ドワンゴは歌舞伎座オフィスを閉鎖。
• 6月14日（金）……KADOKAWAおよびドワンゴ名義でシステム障害第2報および各社役員による謝罪・解説動画をYouTubeに公開。KADOKAWAグループ内のデータセンターサーバーが｢ランサムウェア｣を含む大規模なサーバー攻撃を受けた旨を公表。
• 6月22日（土）……ユーザベース傘下のNewsPicksがKADOKAWAグループと犯人との間で交わされたメールの内容を報道。KADOKAWAは｢サイバー攻撃を助長させかね ない報道を行うメディアに対して強く抗議｣と損害賠償を含めた法的措置の検討を進めるとコメント。
• 6月27日（木）……ドワンゴが復旧状況等についてリリース。KADOKAWAはシステム障害に関する第3報を公開。犯人グループとの交渉内容についてはコメントをせず。個人情報漏洩の可能性については｢外部専門機関等の支援を受けながら調査を実施｣に留める（クレジットカード情報は同社内に保管していないことを公表）。
• 6月28日（金）……KADOKAWA・ドワンゴ両社が情報漏洩に関するお詫びを掲載。正確な情報は7月中公開としつつ、外部流出を確認したという一部の情報（従業員やクリエイターの個人情報を含む）の種類を明記。

一連の犯人グループとのやりとりについては、NewsPicksが犯人グループ側との交渉の渦中のタイミングでメールの内容を報じたが、その是非についてはネット上を中心に議論を呼んでいる。

Business Insider Japanでも、匿名の関係者からKADOKAWA側と犯人グループとのメールのやりとりの情報提供を受け、専門家への取材を進めてきた。

犯人グループの要求の大枠は既報の通りだが、主には以下の3点になる。いずれもメールの文面から要素を抽出している。

• 犯人グループは6月8日時点でKADOKAWAに対し、｢人質｣にとったデータの種類や総容量が約1.5TBあると脅迫していること
• 犯人グループは6月13日にもメールを送り、KADOKAWAグループ側から298万ドル（約4億7000万円）相当のビットコインの送金を受け取ったとみられる言及、さらに825万ドル（約13億円）相当の送金を要求
• 6月17日 のメールで、サンプルデータとしてKADOKAWAグループ内の一部の情報を関係者に公開

といったものだ。

なお、6月27日に犯人グループの声明として公表された内容は、編集部が入手しているメール文面とほぼ同一。つまり、編集部が入手したメールの日付から判断すると、KADOKAWA側にとっては少なくとも、27日より前に把握していた文面ということになる。

編集部が入手したメールのなかで、KADOKAWA側の交渉窓口になっているのは、いずれもドワンゴCOOの栗田穣崇氏だった。既に一部で報道されているとおり、メール文面では300万ドル相当の支払いについては取締役会を通していないと、栗田氏の名前で説明している。

身代金を支払ったことは事実なのか、KADOKAWAのIR・広報室にコメントを求めた。

同広報室は6月27日、｢現状当社から回答できるのは、こちらのリリースの内容のみとなります｣として、同日付けのプレスリリースを案内するにとどまった。KADOKAWAとしては、身代金にまつわる事実関係については、明確に否定をすることはなく、無言を貫いている状況だ。

そもそも、ランサムウェア被害にあった企業は、どう対応するのがセオリーなのか。

専門家は次のように説明する。

｢身代金は支払わないでください｣

企業のセキュリティーインシデントに詳しい、MS＆ADインターリスク総研のインシデントレスポンス事業でリーダーを務める遠藤宣孝氏 は、｢日本国内の標準的な認識は、『払わない』というのが基本スタンス｣だと説明する。

遠藤氏は2023年10月末に50カ国の国や機関による｢身代金支払いの拒否｣などの方針への賛同を示す共同声明に言及した上で、業界のセオリーとして｢身代金を支払っても確実に復旧できるという保証はないので、一般的に身代金支払いは正しいアプローチではない｣ことが大きな理由だと言う。

｢ランサムウェア（の攻撃者）も、脅迫でお金を稼いでる側面があるので、ちゃんと復旧させることはあり得ます。

ただ、身代金を支払ったけれど、結局持ち逃げされた、というようなニュースもあります。

例えば、最近の話ですが、海外企業のチェンジヘルスケア社が、ブラックキャット（BlackCat、ALPHVとも呼ばれる）というランサムウェア集団に、身代金2200万ドルを支払ったのではないかという話があります。この事例では、（犯人）グループ内の誰かが2200万ドルを持ち逃げしたとされています。

サイバー犯罪者集団といえども、ある種の顧客との信頼関係の中で、1回払えばおしまい（暗号化を解除する）というケースもある一方、持ち逃げや再度の恐喝は起こり得ます｣（遠藤氏）

KADOKAWAが厳しい状況に立たされているのは、仮に支払いの一部または全部を拒否した場合は、不正に入手した内部情報が公開される可能性が高いということだ。しかも、その公開タイミングは、必ずしも期限の翌日とは限らない。

遠藤氏は自身の経験を交えてこう説明する。

｢（犯人が要求する身代金を支払わないケースでは）データは公開される可能性が高いという前提で対応するべきです。実際に、支払い期限がきて、データが公開された事例も（私自身が）経験しています。

ただ、（今回のケースのように）6月末までが期限だから、7月1日に公開される、とは一概には言えません。

私が対応した顧客の例では、 2週間後に公開するという脅迫があったので、ずっとダークウェブのサイトをモニタリングしていたのですが、3週間経っても公開されませんでした。

このまま公開されないのではないか？との考えもよぎったのですが、結局、1週間程度遅れて公開されておりました｣

ただ識者によると、近年は被害規模が大きすぎる場合には、支払う選択肢も排除すべきではないというセキュリティ業界の論調も一部あるほか、時間稼ぎのために支払い交渉だけはするという手法もあり、事態は複雑だ。

KADOKAWAは6月28日時点のプレスリリースで、｢7月中には、外部専門機関の調査結果に基づく正確な情報が得られる見通しですので、判明次第、改めてご報告いたします｣として、流出被害の全体像の把握につとめていると説明している。

ユーザー個人ができる3つの対策

編集部から6月27日時点で送った質問状では、6月30日のデッドラインにも触れた上で、ニコニコIDやKADOKAWAの個人向けサービス（BOOK WALKERなど）に関連した個人情報流出や、なんらかの設定変更の必要性についても質問している。ただ、KADOKAWA側はこれについても明確な回答は控えた。

先週時点でKADOKAWAとしてユーザーへの設定変更をうながす周知等もなかったことと併せて考えると、ユーザーの個人情報等の流出については、対策済み、もしくは緊急性がないとの立場をとっているようにに見える。

とはいえ、サービス利用者にとっては、｢危険性がない｣と判断する具体的な理由の説明がなされていない以上、本当に問題ないのか、漠然とした不安は残り続ける。

サービス利用者にとって、打てる対策にはどんなものがあるだろうか。

万が一、個人情報等が漏洩してしまった場合にはユーザーができる対策は多くはない。ただ、以下の3点については見直すことはできそうだ。

（1）各種ニコニコサービスやECサイトの｢エビテン｣に使っていたID（メールアドレス）とパスワードを確認し、組み合わせを使いまわしているサービスのパスワードを変更する。

（2）対応するサービスでは、パスワード以外の多要素認証（ワンタイムパスワードや生体認証など）の設定をする。

（3）他サービスと連携するサービスは、この機会に不審もしくは利用していない連携サービスがないか確認して、必要に応じて連携を解除する。

なお、6月24日にはKADOKAWAの夏野剛社長のX（旧Twitter）アカウントで、スパムを投稿されるという出来事が発生している。

KADOKAWA取締役の川上量生氏は当初、自身のXアカウントで夏野氏のスパム投稿は｢乗っ取り｣と表現していたが、その後6月25日にドワンゴ公式のアカウントは夏野氏のアカウントに｢不審なログイン形跡は見当たらず｣、｢Xアカウントに連携しているアプリのいずれかより｣スパム投稿がされたと説明。

また、ニコニコのサービスもXを含め他のサービスと連携できるようになっていたが、6月8日以降にすでにニコニコ側から連携設定を無効化した、としており、｢ユーザーのみなさまに特段ご対応をいただく必要はない｣とコメントしている。

7月以降の犯人グループとKADOKAWAの動きを注視

今後、KADOKAWAサイバー攻撃問題で注視されるのは、｢KADOKAWAが犯人グループに対し、身代金を支払っているのか｣、そして｢今後の犯人グループ側の動き｣がどうなるかだ。

前出のMS＆ADインターリスク総研の遠藤氏も指摘するとおり、犯人グループ側が1.5TBという流出データをダークウェブに公開する可能性は高い。ただ、今すぐかもしれないし、少し時間をあけた後かもしれない。

その中身には、どこまでのデータが含まれているのか。とりわけ、一定の規模の個人情報流出につながるようなことがあれば、東証プライム上場企業であるKADOKAWAの株価・業績にも大きく響くことになりかねない。

なお、KADOKAWAの株価は、サイバー攻撃発覚直前の6月7日の終値で3365円。その後下落傾向が続いており、7月1日時点の終値は2678円となっている。