あの角を曲がれば、かぼしー

「あのかぼ」のスピンオフサイト「ゼロかぼ」ができました。 詳しくはこちら>

ニコニコを襲った大規模なサイバー攻撃「時間をかけて計画的に攻撃」はどのようなものだったのか

Webサービス

ニコニコを襲った大規模なサイバー攻撃「時間をかけて計画的に攻撃」はどのようなものだったのか

8日未明から発生している大規模なサイバー攻撃による「ニコニコ」サービス群や「エビテン」を含むKADOKAWAグループにおけるシステム障害について、ニコニコの代表とドワンゴ取締役 COOを務める栗田 穣崇氏とニコニコサービス本部 CTOを務める鈴木 圭一氏がYouTubeのニコニコ公式チャンネルでこの大規模なサイバー攻撃で何が起こったのか、今後のニコニコはどうなるのかについて説明しました。

Kabocy MediasはこのニコニコやKADOKAWAグループを襲ったサイバー攻撃について複数の記事に渡ってまとめてきましたが、本稿では6月14日までに発表された内容を基に今回の一連のサイバー攻撃についてまとめます。

関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?(おんかぼ)
関連> ニコニコ、復旧までに1ヶ月以上の見込みと発表 ニコニコ(Re:仮)が提供開始 (おんかぼ)
関連> KADOKAWAグループの複数ウェブサイトに大規模サイバー攻撃依然続く (あのかぼ)

目次

KADOKAWAグループ全体に波及したもののターゲットはニコニコ?

14日にYouTubeのニコニコ公式チャンネルに投稿された、今回の大規模なサイバー攻撃について説明したビデオメッセージ内でニコニコサービス本部 CTOを務める鈴木 圭一氏は、今回の一連の攻撃について「非常に執拗」とし、「ニコニコを中心としたサービス群を標的にして時間をかけて計画的に攻撃を加えていると思わしき痕跡が見られました」とニコニコをターゲットにした攻撃であったことを示唆しました。

ニコニコの代表とドワンゴ取締役 COOを務める栗田 穣崇氏(左)とニコニコサービス本部 CTOを務める鈴木 圭一氏(右)

これは株式会社KADOKAWAが2024年6⽉14⽇に発表した報道資料にも「ニコニコを中⼼としたサービス群を標的として、当社グループデータセンター内のサーバーがランサムウェアを含む⼤規模なサイバー攻撃を受けたものと確認されました。」と明記されています。

非常に執拗とされる攻撃の中身とは

ニコニコサービス本部 CTOを務める鈴木 圭一氏は今回の大規模なサイバー攻撃について説明したビデオメッセージ内で、今回の攻撃を「非常に執拗」と表現しましたが、このサイバー攻撃とはどのようなものだったのでしょうか。

ニコニコを支えるシステムと現状 ―相当数の仮想マシンが暗号化

ビデオメッセージで鈴木 圭一氏はニコニコのサービスはニコニコは第三者企業が提供する「パブリッククラウド」とグループ会社が提供するデータセンター内に構築された「プライベートクラウド」を組み合わせて利用していると説明しました。

このうち、今回の大規模なサイバー攻撃ではグループ会社のデータセンター(プライベートクラウド)が サイバー攻撃を受けたとのこと。攻撃の中には「ランサムウェア」も含まれていたとし、プライベートクラウド内の相当数の仮想マシンが暗号化され、利用不可能な状態になってしまったとのこと。

利用不能になった仮想マシンにはニコニコを支えていたシステムも含まれていたため、6月8日の早朝にも様々な不具合が発生したという経緯があったと説明しました。

また現在はランサムウェアによる被害拡大を防ぎ、データを保全するためにデータセンター内のサーバーを全てシャットダウンし、システム間の接続についても切断している状態で、そのためニコニコサービス全体が利用できなくなっているとしました。

なお、ドワンゴのプレスリリースによるとサーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖したとし、これを受け、グループ企業が提供するデータセンターに設置されているサーバーはすべて使用不可となっているとのこと。

非常に執拗な攻撃 ―時間をかけて計画的に攻撃

今回のサイバー攻撃の前にも何度もサイバー攻撃を受けてきたと明かした鈴木 圭一氏は今回の大規模なサイバー攻撃について「攻撃は断続的かつ執拗に」行われたとした上で、障害発生当日である8日にサーバを遠隔でシャットダウンしたものの、攻撃者が遠隔からサーバの起動を試み、ランサムウェアの感染を拡大させようとする動きがみられるなどの動きがあったことを明らかにしました。

こうした攻撃者の動きもあったため、エンジニアは直接データセンターに入りサーバーの電源ケーブルや通信ケーブルを物理的に引き抜いて封鎖する必要に迫られたといいます。こうした背景が被害範囲の確認に時間が掛かっている要因だと説明しました。

また鈴木 圭一氏は詳細は伏せさせていただくと、前置きをしながら「ニコニコを中心としたサービス群を標的にして時間をかけて計画的に攻撃を加えていると思わしき痕跡が見られました」とその攻撃が単発ではなく計画立てて行われていたことを明らかにしました。

また、攻撃自体もランサムウェアだけではなく弊社はそれ以外の種類の攻撃も同時に受け、社内システムを含むさまざまな箇所に問題が発生しているとしました。

関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?

想定を超える攻撃

今回の大規模なサイバー攻撃について「非常に執拗」とした鈴木 圭一氏は冗長構成とかバックアップというのは用意しており、セキュリティ対策というのも 様々に実施していたと話します。

ただ、今回の攻撃によりデータセンター内のサーバーが全て使えなくなってしまうということは想定を超えるレベルとしました。またこうした背景が復旧に非常に時間がかかる事態に引き起こしていると説明しました。

今回の大規模なサイバー攻撃について説明する鈴木 圭一氏

現在のニコニコとKADOKAWAの状況

大規模なサイバー攻撃を受け、ニコニコや角川はどのような状態になっているのでしょうか?
ドワンゴが公開したビデオメッセージではニコニコを対象とした説明であるためKADOKAWAについてはプレスリリースを基に現状を見ていきます。

ニコニコの現状

同ビデオメッセージ内でニコニコサービス本部 CTOの鈴木 圭一氏は、一連の攻撃により社内システムを含むさまざまな箇所に問題が発生していることについて言及しました。この影響の一例として鈴木 圭一氏はプレゼント企画の発送やWebサービス以外の業務というのも完全に停止していることを明らかにしました。

加えて、攻撃者がどこまでシステムに入り込んでいるかについても調査中で歌舞伎座オフィスを閉鎖し出社を原則禁止に、社内ネットワークの利用も禁止したとのこと。

今回の大規模なサイバー攻撃について説明する鈴木 圭一氏

ただ全面的に リモートワークに移行していたため障害発生時点から遅滞なく対応を進めることができたと説明しました。

角川の現状

KADOKAWAグループは同社が公開するNEWS RELEASEの第2報の中で、事業および業務への主な影響について言及しました。

この中で株式会社KADOKAWAは、被害の拡⼤を防ぎ、データを保全するために直ちに同データセンター内のサーバーをシャットダウンするなど緊急措置を講じたとした上で、「同データセンターを共有している当社グループ内の他サービス、すなわち当社グループの複数のウェブサイトだけでなく事業活動や経理機能を管理する基幹システムの⼀部にも機能停⽌が発⽣しております。」と説明しました。

▼ 事業および業務への主な影響

  • 出版事業︓
    • 国内における紙書籍の受注システム、デジタル製造⼯場・物流システムの機能を停⽌しております。これによる受注停⽌、⽣産量の減少と物流の遅延に伴い、出荷数量が減少しております。
    • 国内の紙書籍や電⼦書籍の編集・制作⽀援システムの⼀部機能が停⽌しており、⼀部新刊(紙書籍・電⼦書籍)の刊⾏や重版制作が遅延することが⾒込まれます。
  • Webサービス事業︓
    • 「ニコニコ動画」「ニコニコ⽣放送」「ニコニコチャンネル」などのニコニコファミリーのサービス全般が停⽌するとともに、ニコニコアカウントによる外部サービスへのログインが不可能となっております。
  • MD事業︓
    • 当社が運営する複数のオンラインショップにおいて、商品の受注不能や出荷の⼀部遅延が発⽣しております。
  • 経理業務︓
    • 経理システムにもその影響が及び、⼀時的に決済システムが機能停⽌状態となっており、その影響で⼀部のお取引先様への⽀払いに遅延が⽣じる可能性があります。

かなり広域かつクリティカルな部分にまで問題が生じていることが分かります。

復旧についてKADOKAWAは「現在、当社はより精緻な影響範囲の特定とシステム復旧に全⼒を注ぎ、影響を受けている全ての事業および業務の機能回復を速やかに図っております。」としました。

続けて「その中でも、事業活動の根幹である経理機能の⽴て直しと、売上規模が⼤きい出版事業の製造・物流機能の正常化については、最優先の取り組み事項として、来週以降段階的に実現させ、6⽉末を⽬処として、安全なネットワーク、サーバ環境の構築と基幹システムの復旧を⽬指します。」と立て直しの優先事項と復旧のめどについて説明。復旧は6月末を目途としていることを明らかにしました。

まとめ

今回の大規模なサイバー攻撃によりネットショッピングサービスの「エビテン」やN高、各アニメ公式サイトなどKADOKAWAグループの全体に影響したものの、ドワンゴ/ニコニコが公開したビデオメッセージではそのターゲットはニコニコであった可能性について言及していました。

また、これまで数多のサイバー攻撃を受けてきたニコニコでしたが、今回の大規模なサイバー攻撃は「想定を超えるレベルの状態」とニコニコサービス本部 CTOの鈴木 圭一氏は語っており、攻撃を受けていた現場は壮絶であったと思われます。

ニコニコの復旧には各サーバの再構築だけでなく、データの救出やデータの確認といった作業も必要で、作業の規模を考えるとニコニコが目途とした「一カ月以上」という期間はあまりにも短い印象です。これから復旧に当たるエンジニアの心労を思うと頭が下がります。

現在YouTubeには「サイバー攻撃からのニコニコ復旧を見守る場所」が開設中で、エールを送ることが可能です。

なお、あのかぼおんかぼでは、引き続きニコニコサービスの最新情報をまとめています。
記事の更新については、かぼしーのTwitterアカウントHumin.meで紹介しますので、ぜひフォローいただけると幸いです。

関連記事 (おんかぼ/あのかぼ)
関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?
関連> ニコニコ、復旧までに1ヶ月以上の見込みと発表 ニコニコ(Re:仮)が提供開始
関連> KADOKAWAグループが大規模サイバー攻撃を受け、ニコニコを含む複数のウェブサイトが停止
関連> KADOKAWAグループの複数ウェブサイトに大規模サイバー攻撃依然続く、ニコニコはシステム再構築へ 影響はニコ動やN高、各アニメ公式サイトにも波及。