青山システムコンサルティングのコンサルティングコラムです

TEL:03-3513-7830|お問い合わせ

KADOKAWAの実例に学ぶサイバー攻撃への対策

コラムカテゴリー:, ,

KADOKAWAグループのサイバー攻撃の概要

2024年6月8日午前3時、KADOKAWAグループの複数のサーバにアクセスできない障害が発生しました。
調査の結果、ランサムウェアを含む大規模なサイバー攻撃であると発表しました。

サイバー攻撃により、KADOKAWAグループでは以下の影響があることを公表しています。
(「【第2報】KADOKAWAグループにおける システム障害について」より引用)

2. 事業および業務への主な影響

● 出版事業:
○ 国内における紙書籍の受注システム、デジタル製造工場・物流システムの機能を停止しております。これによる受注停止、生産量の減少と物流の遅延に伴い、出荷数量が減少しております。
○ 国内の紙書籍や電子書籍の編集・制作支援システムの一部機能が停止しており、一部新刊(紙書籍・電子書籍)の刊行や重版制作が遅延することが見込まれます。

● Webサービス事業:
○ 「ニコニコ動画」「ニコニコ生放送」「ニコニコチャンネル」などのニコニコファミリーのサービス全般が停止するとともに、ニコニコアカウントによる外部サービスへのログインが不可能となっております。

● MD事業:
○ 当社が運営する複数のオンラインショップにおいて、商品の受注不能や出荷の一部遅延が発生しております。

● 経理業務:
○ 経理システムにもその影響が及び、一時的に決済システムが機能停止状態となっており、その影響で一部のお取引先様への支払いに遅延が生じる可能性があります。

 

一連のサイバー攻撃の結果、上記の影響だけにとどまらず、KADOKAWAの株価も大きく下落しました。
上述の受注/生産停止による売上損失や攻撃への対応、再構築にかかる費用は相当なものと考えられ、ことの重大さが伝わってきます。

ここまで見ると、サイバー攻撃の対象となったKADOKAWAの対応が悪く被害が広がったのではないか、と感じる方もいらっしゃるかもしれません。
しかし一連の対応を見てみると、悪い対応ばかりでもないことがわかります。
KADOKAWAの対応でよかった点と悪かった点を見てみましょう。

KADOKAWAグループの良かった対応と悪かった対応

<よかった対応>

サイバー攻撃の早期検知と対策本部の立ち上げ、対応策の実施

6月8日(土)午前3:30ごろに攻撃を検知し、当日中に対策本部の立ち上げを行っています。
また、被害を抑えるためのサーバシャットダウンの実施と、外部からの攻撃であることの判定も同日中にしています。
第一報を翌日に出しており、週末未明に発生したサイバー攻撃であるにもかかわらず迅速な対応ができていました。

このような対応を行うには以下のような事前準備が必要であり、しっかりと手順が確立されていたものと推測できます。

    1. 攻撃を検知する仕組みの構築
    2. 攻撃を検知した後の対応手順の明確化
    3. 上記2点が問題なく稼働するか、の検証

<悪かった対応>

身代金を払ってしまった

KADOKAWAが身代金を支払った、という報道が6/22にNewsPickよりされています。

ランサムウェアは、攻撃者がサーバなどにアクセスし暗号化をし、「元に戻してほしければ身代金を払え」と被害者に要求するものです。

被害者からすると、状況を打破するために身代金を払いたくなってしまうところですが、身代金を払ってもデータが復号される保証はどこにもありませんので、絶対に支払ってはいけません。
実際に、今回流出したデータがハッカーにより公開されています。
(悪意あるハッカーにより公開されたデータをダウンロードすることでセキュリティ被害を受けるリスクがあるため、公開されたデータは絶対にダウンロードしないでください。)

データの流出が防げるか不明確な上、支払ってしまうと攻撃者が「この被害者は身代金を払ってくれる」と認識してしまうのでさらなる身代金を要求される可能性もあります。

ガバナンス体制に不備があった

身代金を支払うという意思決定をしたのは、KADOKAWAグループの取締役会の決定ではなく、子会社のCOOの意思決定のもと行われたと報じられています。
身代金を支払う、という誤った意思決定をしないためには意思決定のためのフローを事前に取り決め、順守する必要があります。
今回はグループ会社全体に及ぶ被害のため、KADOKAWAグループの取締役会の意思決定を通して対応を実施するべきでした。

本件を受けて中小企業はどのような対策を講じるべきか

KADOKAWAグループの事例は大企業に限らず中小企業にも重要な教訓を与えます。
特に中小企業はリソースが限られているため、以下の対策を優先的に実施することをお勧めします。

一部投資が発生しますが、大規模な投資にならない対策もあります。十分な検討の上、可能な対策を早めに行ってください。

1.攻撃される前の対策実施

マルウェアやランサムウェアなど、メジャーなサイバー攻撃に対して事前に対策を実施しましょう。
マルウェア対策:従業員への教育、セキュリティソフト導入
ランサムウェア対策:データバックアップの定期実行(バックアップ先は通常の業務領域と切り離された環境にしてください。)

2.サイバー攻撃を検知するための仕組みづくり

1の対策で防ぐことができなかった場合、攻撃をいち早く検知する必要があります。
障害を検知できるシステム(IDS/IPSなど)や、PCの不審な動作を検知するシステム(EDR)を導入し、迅速に気が付くことができるインフラ環境を構築しましょう。

3.サイバー攻撃検知後の対応手順の策定

攻撃を検知した直後のアクションも非常に重要です。意思決定を間違えないよう以下を事前に決めておきましょう。

    1. 対策本部メンバーの選定と意思決定フローの策定:対策本部の参加者と役割を明確にし、どのように意思決定を行うか取り決めましょう。
    2. 対応手順の明確化:この被害の場合はこの対応を行う、といった形で想定される被害と対策を明確にしましょう。

4.1~3の定期的な見直し

セキュリティ対策は一度対策したら終わり、というわけではありません。情報のアップデートや各対策を想定通りに動作させるため、以下を実施しましょう。

    1. サイバー攻撃の最新情報を入手、対策アップデート、教育の実施
    2. IDSの検知や通知が想定通り動作することの確認、通知を受け取る人物や対策本部のメンバーの定期的な見直し(退職者がいないかの確認、等)
    3. 数年に一度のリハーサルの実施

最後に

ここ数年、毎年のようにサイバー攻撃の被害が報道されています。
総務省の調べでも年々増加していることが示されており、いつあなたの会社が攻撃の標的となってもおかしくありません。
(総務省:https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html

近年では、サイバー攻撃を完全に防ぐことはできないという前提のもと、CSIRTと呼ばれるセキュリティインシデントが発生した際に対応を行うチームを組織体制に組み込む企業もあります。
本コラムの良かった点に記載した対策本部はCSIRTと同じ立ち位置と考えられます。
「3.サイバー攻撃検知後の対応手順の策定」を実施する際の参考になりますので、CSIRTもぜひ調べてみてください。

自社だけでの対応が難しい場合、弊社のようなシステムコンサルを活用したり、ホワイトハッカーによる侵入テストを実施するなど、第三者を交えた検討も有効です。

今回の件を他人事と思わず、皆様の会社でも対策に取り組んでいただければ幸いです。

この投稿をシェア

2024年07月11日 (木)

青山システムコンサルティング株式会社

関根 真悟