KADOKAWAがランサムウェアで止まった日
——大手でも防げなかった理由
2024年6月、出版・映像・ITを擁するKADOKAWAグループがランサムウェア攻撃を受け、ニコニコ動画をはじめとする複数のサービスが約2ヶ月にわたって停止しました。「大手だから狙われた」——そう思うのは自然な反応です。しかし本当の教訓は違います。「大手でも防げなかった」という事実が、あなたの会社にも直結しています。
何が起きたのか
2024年6月8日未明、KADOKAWAグループのデータセンターにランサムウェアが侵入しました。早朝に気付いたときには、グループ内の複数サーバーがすでに暗号化された後でした。
ニコニコ動画・ニコニコ生放送が完全停止(約2ヶ月)
KADOKAWAグループ各社の業務システムが一時機能不全
社員・クリエイターの個人情報を含むデータが外部に流出
ランサムウェア犯罪グループ「BlackSuit」が犯行声明・身代金要求
ニコニコ動画は国内最大級の動画プラットフォームです。1日あたりの訪問者数は数百万人規模。そのサービスが突然アクセス不能になり、動画投稿・生放送・コメント機能がすべてゼロになりました。復旧が宣言されたのは2024年8月。完全に元の状態に戻るまでさらに時間がかかりました。
KADOKAWAは東証プライム上場の大企業です。IT子会社も持ち、セキュリティ体制は一般的な中小企業とは比べ物にならないはずです。それでも防げなかった。この事実を「対岸の火事」として見過ごすことは危険です。
なぜ侵入されたのか——「鍵のかかっていない引き出し」の話
調査の結果、攻撃の起点はVPN(仮想プライベートネットワーク)経由の不正侵入だったとされています。VPNとは、社外から社内ネットワークに接続するための「専用通路」です。リモートワークの普及でほぼすべての企業が使うようになりました。
泥棒が高級マンションに忍び込もうとするとき、正面玄関のオートロックには挑みません。それより、鍵のかかっていない引き出し——古い勝手口、管理会社の予備鍵ボックス、搬入業者が使うバックヤードの入口——を探します。
VPN機器の脆弱性とは、まさにこの「鍵のかかっていない引き出し」です。正面突破ではなく、管理が行き届いていない箇所を自動的にスキャンして侵入口を見つける——それが現代のサイバー攻撃の実態です。
重要なのは、この手口がKADOKAWAだから使われたわけではないという点です。攻撃者は特定の会社を狙い打ちにするのではなく、インターネット上のあらゆるIPアドレスを自動的にスキャンし、脆弱性のある機器を見つけたところに侵入します。
VPN機器はインターネットに直接面しているため、世界中から常時スキャンにさらされています。製造元がセキュリティパッチを出していても、適用されていなければ意味がありません。「買ってから一度もファームウェアを更新していない」機器は、入口に鍵をかけていない状態と同じです。
「うちは中小企業だから大丈夫」が最も危ない
KADOKAWA事件を見て、「大手だから狙われたんだ。うちは無名だから関係ない」と思った方がいるかもしれません。しかし攻撃者の視点は正反対です。
大手企業はセキュリティ投資も大きく、侵入してもすぐに検知・遮断される可能性があります。一方、中小企業はセキュリティ担当者がおらず、侵入されても気づかないまま数週間・数ヶ月放置されることがあります。攻撃者にとって、中小企業は「防壁が低く、気づかれにくい」格好のターゲットなのです。
・リモートワーク導入時に設置したVPN機器を、その後一度もアップデートしていない
・IT会社に丸投げしていて、実際にどんな機器が外部に公開されているか把握していない
・社員がテレワーク用に使っているルーターのセキュリティ設定が古いまま
・バックアップはあるが、ランサムウェアに感染した場合でも復元できるか確認したことがない
もし同じことが中小企業で起きたら
KADOKAWAは上場企業として損失を開示し、多額のコストをかけて復旧できました。では従業員20名の製造業、10名の士業事務所、5名のIT企業ではどうでしょうか。
受注管理・請求書・顧客データ・設計図面——すべてのファイルが突然読めなくなります。バックアップがなければ、業務は完全に止まります。顧客情報が流出すれば、取引先への通知義務と損害賠償のリスクが生じます。そして中小企業には、数ヶ月の売上損失と復旧費用を吸収するだけの体力がないことがほとんどです。国内でランサムウェアによって廃業した中小企業の事例は、すでに複数報告されています。
攻撃はこうして進む——5つのステップ
「ハッカーが高度な技術で侵入する」というイメージを持っている方が多いですが、実態は異なります。現代のランサムウェア攻撃の多くは、自動化されたツールで効率的に進みます。
-
1
自動スキャン:脆弱な機器を探す
インターネット上のIPアドレスを自動的にスキャンし、古いVPN機器や設定ミスのあるサーバーを探します。KADOKAWA規模でも中小企業でも、外部に公開されている機器は同じように検出されます。
-
2
侵入:脆弱性を突いて内部に入る
脆弱性のあるVPN機器や、推測されやすいパスワードの管理画面から内部ネットワークに侵入します。この段階では気づかれないことがほとんどです。
-
3
横断:ネットワーク内を移動する
内部に入った後、重要なサーバーやファイルサーバーを探して横断します。管理者権限を奪取し、バックアップサーバーも含めて把握します。この潜伏期間が数週間に及ぶこともあります。
-
4
暗号化:一斉にファイルをロックする
準備が整った段階で、すべてのファイルを一斉に暗号化します。バックアップも含めて暗号化・削除されることがあります。ここで初めて被害に気づくケースが大半です。
-
5
要求:身代金を要求する
「データを復元したければ支払え。従わなければ盗んだデータを公開する」という二重脅迫が現在の主流です。支払っても必ずしもデータが戻るとは限りません。
今すぐ確認すべき4つのポイント
特別な知識がなくても確認できることから始めましょう。すべてに「はい」と答えられれば、最低限のリスク管理ができています。
-
1
VPN・ルーターのファームウェアを更新しているか
導入して以来一度もファームウェアを更新していない機器がある場合、今すぐ確認が必要です。メーカーのサイトで最新バージョンを調べ、サポート終了機種は買い替えを検討してください。
-
2
外部に公開している機器・ポートを把握しているか
「インターネットからアクセスできる状態になっているもの」が何かを正確に把握できていますか?IT業者任せで実態がわからない場合、外部スキャンで確認することが第一歩です。
-
3
バックアップがランサムウェアに対応しているか
バックアップがあっても、本体と同じネットワークに接続されていれば一緒に暗号化されます。オフライン保管またはクラウドへの別系統バックアップが必要です。「復元の手順を実際に試したことがある」かどうかも重要です。
-
4
多要素認証(MFA)を使っているか
VPNやリモートデスクトップへのログインに、パスワードだけでなく認証アプリやSMSコードを組み合わせる設定になっていますか?これだけで不正侵入リスクを大幅に下げられます。
まとめ——「大手でも防げなかった」の本当の意味
- KADOKAWAのランサムウェア被害は、VPN経由の侵入という「ありふれた手口」で起きた
- 攻撃者は有名企業を狙うのではなく、「脆弱な機器」を自動スキャンで見つける
- 「無名だから狙われない」は誤り——中小企業は「防壁が低い」ため狙われやすい
- 被害に遭ってからの復旧コストは、中小企業の体力を超える規模になりうる
- まず「外部から自社がどう見えているか」を把握することが、すべての出発点
自社のVPN・外部公開ポート、把握できていますか?
Leapsecの無料診断では、外部から見た自社のリスクを5分・登録不要・無料で確認できます。
KADOKAWAと同じ侵入口が自社にないか、今すぐ調べてみましょう。
結果はメールで届きます。営業電話は一切ありません。
出典・参考
KADOKAWA株式会社 公式発表・プレスリリース(2024年6月〜8月)/警察庁・内閣サイバーセキュリティセンター(NISC)ランサムウェア被害報告資料/各種報道
執筆:株式会社リープリック(ITインフラ設計・構築・保守 14年)