「あのかぼ」のスピンオフサイト「ゼロかぼ」ができました。 詳しくはこちら>

【分析】KADOKAWA/ニコニコを襲ったハッカー集団「BlackSuit」の犯行声明から読み解く犯人像 犯行声明は機械翻訳?

Webサービス

【分析】KADOKAWA/ニコニコを襲ったハッカー集団「BlackSuit」の犯行声明から読み解く犯人像 犯行声明は機械翻訳?

KADOKAWAグループを襲った大規模なサイバー攻撃は同グループ内の主力事業である出版にも影響を与え、動画配信サービスである「ニコニコ動画」やネットショッピングサービス「ebten」も停止に追い込まれるなど甚大な被害を引き起こしました。

そんな中、27日はダークウェブ上にKADOKAWAグループに攻撃を仕掛けたとされるハッカー集団「Black Suit」が声明を出し、1.5TB (テラバイト)分のデータをデータを盗み取ったと主張しました。さらに身代金の支払いに応じなければ7月1日にすべてのデータを公開するとしています。

この犯行声明は英語で記載されており、弊メディアでも全文を和訳し公開しましたが、この文章には独特な言い回しや特徴的な表現が含まれています。

本稿では「BlackSuit」の犯行声明からこの文章を書いた人物や犯行グループの構成に迫ります。

「Black Suit」の犯行声明の原文はヨーロッパ系の言語か

ニコニコサービスやKADOKAWAに甚大な被害を与えたランサムウェア集団「Black Suit」(ブラック スーツ)はダークウェブ上に犯行声明を出しました。弊メディアでは2回、別の視点から翻訳を試みましたが、この犯行声明には独特な言い回しや誤用と思われる部分や表現が含まれていることが分かりました。

この背景を詳しく分析すると、この犯行声明にはヨーロッパ系の言語の色を強く受けている可能性が高いと考えられます。

ハッカー集団がダークウェブ上に公開した犯行声明を撮影した画面に、「特有な表現」と記した画像

ロシア語を直訳したかのような文章も

Black Suitが公開した犯行声明にはKADOKAWA側がユーザに対して真実とは異なる説明をしていると指摘し、それを証明するためにと、侵入した際の詳細を明らかにしました。

この中で、「but we prefer not to show all the aces we have prepared within the sleeve」と記している部分があります。

▼ 該当部分の一文

We still have more details to share with the public if needed, but we prefer not to show all the aces we have prepared within the sleeve.

この中の「within the sleeve」という表現は「切り札」や「手の内」という意味で使用されているものと思われますが、これは本来「up one’s sleeve」という慣用句が使用されるべきです。

▼ 犯行声明の文章

but we prefer not to show all the aces we have prepared within the sleeve.
しかし、私たちは袖の中に用意したすべてのエースを見せたくないのです。
within the sleeve
-> 袖の中

▼ 正しい表記に修正したもの

but we prefer not to reveal all the aces up our sleeve.
しかし、私たちは、隠し持っている切り札をすべて見せることは好まないのです。
up one's sleeve
-> 切り札

「up one’s sleeve」とされるべき部分が「within the sleeve」と表現される理由として考えられるのはロシア語の慣用句である「туз в рукаве」(袖の中のエース)が影響している可能性が考えられます。

туз
-> エース
в
-> 〜の中に
рукаве
-> 袖

▼ 考えられる原文(ロシア語の場合)

У нас есть ещё детали, которые мы можем раскрыть, если нужно, но мы предпочитаем не показывать все тузы, которые у нас в рукаве.

犯行声明は機械翻訳が使用されている?

この他にもいくつか特徴的な表現がありますが、特に注目したいのは、盗んだとされるデータの容量です。

特徴的な表現を強調した画像。「life lasting experience」や「TB1,5」、「within the sleeve」、「Quickscope of downloaded data:」をキャッチアップ。犯行グループの解明につながる手がかりなのか・・・?

犯行声明には「downloaded about TB1,5 of data」と記載しています。

▼ 該当部分の一文

The second part of our Team downloaded about TB1,5 of data from the networks.

これは日本語に翻訳すると「ネットワークから約1.5TBのデータをダウンロードしました。」となるわけですが、「. (ピリオド)」の代わりに、「, (カンマ)」が使用されています。

ヨーロッパ系の国々では小数点にピリオドの代わりにカンマが利用されるので、それが影響していると思います。

一方で、筆者が知る限りで「TB1,5」と容量の単位が先に来る表記が正式である国はありません。これほどまでの攻撃ができるグループであればなおさら妙な記述です。

これは、犯行声明の作成に当たり機械翻訳を使用した可能性を示唆しているように感じます。機械翻訳で別の言語から英語に翻訳した際に表記が揺らいだ可能性があるのではないかと感じるのです。

この他にも、犯行声明内に出てくる「life lasting experience」や「Kadokawa networks architecture」という表現は不自然で、これはロシア語の影響を受けている可能性がある文章が散見されます。

(これ以外にも随所にロシア語の影響を受けたであろうミスや表現があります。)

例えば、犯行声明内の「life lasting experience」では「長年の経験」(直訳では「生涯続く経験」)という意味で使用されているものと思いますが、英語としては不自然な表現です。一般的には「lifetime of experience」や「life experience」を使用すると思います。

これはロシア語でよく使われる表現の「жизненный опыт」が影響しているのではないでしょうか?「жизненный опыт」は「人生の経験」という意味で使用され、生活や仕事の中で得た実践的な知識に使用される日常会話から文学やビジネスの文脈まで幅広く使用される表現とされています。

また、文法面では「Kadokawa networks architecture」という表現も見逃せません。これを正しく記述するなら「Kadokawa network architecture」となるべきです。

この間違いは、ロシア語からの直訳である可能性があります。

ロシア語では、名詞や形容詞の単数形と複数形の使い分けが英語とは異なることがあります。特に形容詞や名詞の複数形がロシア語では同じ形で表されることがあるため、その直訳が英語で不自然になる可能性があるのです。

例えば、「архитектура сетей Kadokawa」は直訳すると「Kadokawaのネットワークのアーキテクチャ」であり、英語では単数形の「network」に対して複数形の「architecture」が使われるために不自然になります。

архитектура
-> アーキテクチャ
сетей
-> 「ネットワークの」を意味する形容詞「сетевой」の複数形

ロシア語以外の可能性も考えられる?

ロシア語ではないかという見方で紹介しましたが、逆にロシア語以外の影響を受けていると仮定するとどうなるでしょうか?

例えば「within the sleeve」という表現はロシア語の「туз в рукаве」という慣用句によるものだと指摘しましたが、実はドイツ語やスペイン語、イタリア語にも非常に似た表現があります。

ドイツ語

  • Ein Ass im Ärmel haben: 袖にエースを持っている

スペイン語

  • Tener un as en la manga: 袖にエースを持っている

イタリア語

  • Avere un asso nella manica: 袖にエースを持っている

そして、上記の3カ国も小数点の表記に「, (カンマ)」を使用することから、必ずしも軒並みロシア語の影響とは言えないようにも思います。

しかし、言語の種類から見てみると英語とドイツ語は同じゲルマン語派と文法や語彙にいくつかの共通点があります。また、フランス語とスペイン語については英語と異なりロマンス語派ですが、ラテン語から派生しているため、英語と同じように冠詞を持つ言語として似ている部分が多いです。

一方でロシア語はスラヴ語派に属し、英語やロマンス語派の言語とは異なる文法や語彙の特徴を持っています。

犯行声明を見ると「Kadokawa networks architecture」のような表現や冠詞(the, a)の不足が見られます。これはロシア語話者や日本語話者のなどの冠詞を持たない言語を母国語とする人の特有の誤りと言えます。

文法的な特徴やミス、言い回しを考慮すると仮にロシア語でないとした場合でも東ヨーロッパなどのスラヴ語派の言語を母国語にしている可能性が強いと考えることができます。

  • 英語
    • ゲルマン語派
    • 冠詞あり
  • ドイツ語
    • ゲルマン語派
    • 冠詞あり
  • スペイン語
    • ロマンス語派
    • 冠詞あり
  • イタリア語
    • ロマンス語派
    • 冠詞あり
  • フランス語
    • ロマンス語派
    • 冠詞あり
  • ロシア語
    • スラブ語派
    • 冠詞なし

犯行声明を描いた人物はCall of Duty(FPS)のプレイヤー?

その他気になる表現としては、「Quickscope of downloaded data:」(直訳するとダウンロードしたデータのクイックスコープ)があります。

この文章の中で「Quickscope」 は少し不自然で一般的には 「Quick overview」を使用すると思います。「Quickscope」という表現はCall of DutyシリーズなどのFPSゲームでプレイヤーが敵を素早く狙撃するテクニックなどを指します。

ここからわかることはCall of Dutyシリーズをプレイしているかは別としても「quickscope」のようなインターネットスラングを日常的に使う文化に馴染んでいることを示唆しているということです。

犯行声明から浮かび上がる人物像は

ここまで犯行声明からこの声明を書いた人物について検証してみましたが、ここではさらにこの人物像について絞り込みたいと思います。

犯行声明を書いた人物像は」と題された画像。東ヨーロッパにルーツ?スラブ系言語が母国語?「Call of Duty」のプレイヤー?ちょっとおっちょこちょいな性格?DEEPLなどの翻訳を使用?

犯行声明にある英語は随所に違和感はあるものの、全体的には自然な英語で交渉に慣れており心理戦にも長けた知的な人物である可能性が示唆されます。

東ヨーロッパにルーツを持つ人物

ただ、英語が第一言語ではない可能性が強く、記号の使い方を考慮すると、ヨーロッパの影響が示唆されています。また文章の構成や文法的なミスや特徴的な表現を考慮すると、東ヨーロッパ、中でもスラブ語派の影響が強いと考えることができ、quickscopeなどのFPS(ゲームのジャンル)スラング的なワードも組み込んでいることから比較的若く、ユーモアがある人物像が浮かび上がります。

性格は少し拘りが強いもののそそっかしい可能性

また、性格的に他の人より少し拘りが強い性格であるものの、少しおっちょこちょいな性格である可能性があるかもしれません。

これは、声明内の「eSXI and V-sphere」という表記から推測されるもので、そもそもこれらは仮想化ソフト大手のVMwareが提供する仮想化プラットフォームです。

犯行声明内の「eSXI and V-sphere」では製品の表記を忠実に再現しようとした努力が見えます。ただし、正しく表記するなら「eSXI」ではなく、「ESXi」で、「V-sphere」は「vSphere」とするのが正解です。筆者としても例えば、「iPhone」を「iphone」や「Iphone」と表記されると発狂しそうになるので、正しい表記で記載しようとしたのであれば、そういう気遣いができる人物である可能性はあるかもしれません。

また、quickscopeをFPS (ゲームのジャンル)のスラング的な用法として使用していると仮定する場合にはCall of Duty (CoD)などのプレイヤーである可能性があります。

一方で、「TB1,5」という表記や、時制の一貫性が欠如しているように見られる表現から何かしらの翻訳ツールを使用している可能性も否めません。

総合的に判断すると東ヨーロッパまたはスラブ語派の言語にルーツを持つ人物で、ネットワークや仮想化技術に深い理解がある人物で、心理戦にも長けた比較的若い人物である可能性があります。

犯行声明から読み解く「Black Suit」の構成とは

また、ここまでの流れとは異なりますが、KADOKAWAグループを襲ったBlack Suitの構成についても犯行声明をから見てみましょう。

声明文からは、チーム内での役割分担が明確に行われていることがうかがえます。

特に、「第二チームがデータをダウンロード」という表現から、少なくとも二つのチームが存在し、各チームが特定の任務を担当していることが分かります。ネットワーク侵入、データの暗号化、データのダウンロード、交渉のそれぞれに特化したチームが存在する可能性があります。

また「quickscope」などの用語の使用は、メンバーがインターネット文化やゲーム文化に精通していることを示唆しています。これは、若年層が中心である可能性を示唆するものとも言えます。

会社に対する圧力と交渉の戦略も緻密に計画されています。ただ、一貫してビジネス的な口調を維持しようとしていますが、ところどころで感情的な表現(「the thing they didn’t know」「we can prove Kadokawa statements wrong」)が混ざっており、もしこれが計算されたものであれば、心理戦も長けているように思います。

もしロシア語で書かれていた場合には?DEEPLで翻訳すると犯行声明と完全に一致する部分も

最後に、もしこれがロシア語で書かれた文章であれば以下のようになります。
これを翻訳サービスであるDEEPLで翻訳すると、冒頭部分は完全に一致します。

Наша команда получила доступ к сети Kadokawa почти месяц назад. Потребовалось некоторое время, из-за языка, чтобы понять, что сети дочерних компаний Kadokawa были связаны между собой и пройти через весь беспорядок, который создало IT-отделение Kadokawa. Мы обнаружили, что архитектура сетей Kadokawa была организована неправильно. Это были разные сети, подключенные к одной большой инфраструктуре Kadokawa, управляемой через глобальные контрольные точки, такие как ESXi и vSphere. Как только мы получили доступ к центру управления, мы зашифровали всю сеть (Dwango, NicoNico, Kadokawa, другие дочерние компании).

Вторая часть нашей команды загрузила около 1,5 ТБ данных из сетей.

Краткий обзор загруженных данных:

  • контракты
  • документы, подписанные через DocuSign
  • различные юридические документы
  • данные, связанные с пользователями платформы (электронные письма, использование данных, открытые ссылки и т.д.)
  • данные, связанные с сотрудниками (личная информация, платежи, контракты, электронные письма и т.д.)
  • бизнес-планирование (презентации, электронные письма, предложения и т.д.)
  • данные, связанные с проектами (кодирование, электронные письма, платежи и т.д.)
  • финансовые данные (платежи, переводы, планирование и т.д.)
  • другие документы для внутреннего использования и конфиденциальные данные

Как только сеть была зашифрована, мы связались с руководством Kadokawa, чтобы договориться о защите данных и расшифровке сети.

Как все видят, компания сейчас страдает, и ее бизнес-процессы прерваны. Услуги Kadokawa и ее дочерних компаний были приостановлены, и приблизительное время восстановления было установлено на конец июля.

Хорошо видеть, что руководство Kadokawa обновляет публичные объявления о этой ситуации почти каждый день. Очень хорошо, что руководство Kadokawa решило сказать “правду”, чтобы успокоить общественность.

Но плохо, что Kadokawa решила скрыть некоторые детали. Возможно, их собственное IT-отделение решило не рассказывать всю правду своему руководству, в любом случае, мы можем доказать, что заявления Kadokawa неверны.

Во-первых, IT-отделение Kadokawa обнаружило наше присутствие в сети за 3 дня до того, как мы зашифровали сеть. Администраторы пытались выгнать нас из сети, один из наших серверов IP был заблокирован, они пытались изменить учетные данные администратора, но нам удалось установить неотслеживаемый доступ к сети. Мы продолжили загрузку даже после того, как администраторы Kadokawa обнаружили нас. Они не смогли обнаружить и остановить исходящий трафик, потому что наши скрипты загрузки продолжали работать даже после блокировки IP сервера. За день до шифрования мы обнаружили огромное количество активности администраторов Kadokawa, которые безуспешно пытались нас остановить.

У нас есть ещё детали, которые мы можем раскрыть, если нужно, но мы предпочитаем не показывать все тузы, которые у нас в рукаве.

Поскольку мы люди бизнеса, нас интересуют только деньги. Kadokawa пытается заключить сделку, но сумма, которую они предложили, чрезвычайно мала для такой компании. Этот инцидент с сетью приведет к полной переработке архитектуры сети, поэтому клиентам Kadokawa придется ждать, пока IT-отделение перенастроит всю сеть. То, чего они не знают, это то, что IT-отделение Kadokawa не имеет достаточного опыта в хактивизме, чтобы понять все слабые места в собственной сети, что приведет к очередному киберинциденту в будущем. И другое дело в том, что в случае, если утечка данных станет публичной, Kadokawa придется изменить не только свою сетевую инфраструктуру,

元の言語がロシア語であると仮定して作成したロシア語での犯行声明

Our team gained access to the Kadokawa network almost a month ago. It took some time, because of the language, to realize that the networks of Kadokawa’s subsidiaries were interconnected and to go through the mess that Kadokawa’s IT department had created. We found that the architecture of Kadokawa’s networks was not organized correctly. They were different networks connected to one large Kadokawa infrastructure managed through global control points like ESXi and vSphere. Once we had access to the control center, we encrypted the entire network (Dwango, NicoNico, Kadokawa, other subsidiaries).

The second part of our team downloaded about 1.5 TB of data from the networks.

A brief overview of the downloaded data:

  • contracts
  • documents signed via DocuSign
  • various legal documents
  • data related to platform users (emails, data usage, open links, etc.)
  • Employee-related data (personal information, payments, contracts, emails, etc.)
  • business planning (presentations, emails, proposals, etc.)
  • project-related data (coding, emails, payments, etc.)
  • financial data (payments, transfers, scheduling, etc.)
  • other documents for internal use and confidential data

Once the network was encrypted, we contacted Kadokawa management to arrange for data protection and decryption of the network.

As everyone can see, the company is now suffering and its business operations have been interrupted. The services of Kadokawa and its subsidiaries have been suspended and the estimated recovery time has been set for the end of July.

It is good to see that Kadokawa management is updating public announcements about this situation almost every day. It is very good that Kadokawa management decided to tell the “truth” to reassure the public.

But it is bad that Kadokawa decided to hide some of the details. Perhaps their own IT department decided not to tell the whole truth to their management, either way, we can prove Kadokawa’s statements wrong.

First, Kadokawa’s IT department discovered our presence on the network 3 days before we encrypted the network. The admins tried to kick us off the network, one of our IP servers was blocked, they tried to change the admin credentials, but we managed to establish untraceable access to the network. We continued downloading even after the Kadokawa admins discovered us. They were unable to detect and stop outbound traffic because our download scripts continued to run even after blocking the IP server. The day before the encryption, we detected a huge amount of activity by Kadokawa admins who tried to stop us without success.

We have more details that we can reveal if we need to, but we prefer not to show all the aces we have up our sleeve.

Since we’re business people, we’re only interested in money. Kadokawa is trying to make a deal, but the amount they have offered is extremely small for such a company. This network incident will result in a complete redesign of the network architecture, so Kadokawa’s customers will have to wait for the IT department to reconfigure the entire network. What they don’t know is that Kadokawa’s IT department doesn’t have enough experience in hacktivism to understand all the weaknesses in their own network, which will lead to another cyber incident in the future. And the other thing is that if the data leak becomes public, Kadokawa will have to change more than just its network infrastructure,

ロシア語に直した犯行声明をさらに翻訳サービス「DEEPL」で英語に翻訳したもの

▼ ロシア語に直したもの犯行声明をDEEPLで英語にし、ダークウェブ上に公開された犯行声明と比較したもの。

テキスト比較サービスdifff《デュフフ》を使用してテキストを比較した結果。随分と似ている文章が出力された。

ニュアンスは異なるものの、冒頭部分は完全に一致し近い文章になった。

まとめ

ここまで、KADOKAWAグループを襲ったハンサム集団「Black Suit」がダークウェブ上に公開した犯行声明から、この文章を書いた人物像やグループの構成について詳しく分析してみました。

声明からは犯行声明を書いた人物の母国語を断定する確たる証拠はありませんが、英語が第一言語ではない可能性が強く、記号の使い方を考慮すると、ヨーロッパの影響が示唆されています。

この他、文章の構成や文法的なミスや特徴的な表現を考慮すると、東ヨーロッパ、中でもスラブ語派の影響が強いと考えることができ、自信たっぷりな犯行声明からもまだまだ猛威を振るいそうな雰囲気をまとっています。

また、上では触れませんでしたが、この犯行声明には一ヵ所だけ、イギリス英語が混じっていました。文章そのものはアメリカ英語風であるものの「organised」という単語だけがイギリス英語になっており、これが意図的であるかは定かではないものの、もし無意識的に使用されたものであれば、インド、パキスタン、香港、ナイジェリアなどの国との接点もあるかもしれません。

もし、意図的に混入させたのであれば、特定の地域を偽装するために意図的にイギリス英語をしようしたこととなり、興味深い点です。

謎の多い「Black Suit」ですが続報が入り次第、弊サイトと姉妹サイト「おんかぼ!」で取り上げます。

あのかぼおんかぼでは、引き続きニコニコサービスの最新情報をまとめています。
記事の更新については、かぼしーのTwitterアカウントHumin.meで紹介しますので、ぜひフォローいただけると幸いです。

関連記事 (おんかぼ/あのかぼ)
関連> KADOKAWA、サイバー攻撃により情報の流出を認める ハッカー集団Black Suitが公開したデータについてダウンロードしないよう要請
関連> 【全文和訳】KADOKAWAとニコニコを襲ったBlack Suitの犯行声明は一体どんな内容だったのか 証拠として機密情報の一部も公開か
関連> KADOKAWA/ニコニコへのサイバー攻撃 東ヨーロッパ系ハッカー集団BlackSuitが犯行声明をダークウェブに公開
関連> KADOKAWAへのサイバー攻撃 BlackSuitが犯行声明を発表 ニコニコ側の説明と食い違いも
関連> KADOKAWA社長 夏野氏のXアカウントは乗っ取られていなかった
関連> KADOKAWA社長 夏野氏のXアカウントが乗っ取られる 原因にはNewsPicksの報道という指摘も 両社の対立深く
関連> KADOKAWA、サイバー攻撃に関する一部報道に強く抗議 – 攻撃者のメッセージ掲載に対する法的措置を検討
関連> ニコニコを襲った大規模なサイバー攻撃「時間をかけて計画的に攻撃」はどのようなものだったのか
関連> ニコニコのサービス停止に追い込んだ大規模なサイバー攻撃にはランサムウェアも 無事だったデータは?
関連> ニコニコ、復旧までに1ヶ月以上の見込みと発表 ニコニコ(Re:仮)が提供開始
関連> KADOKAWAグループが大規模サイバー攻撃を受け、ニコニコを含む複数のウェブサイトが停止
関連> KADOKAWAグループの複数ウェブサイトに大規模サイバー攻撃依然続く、ニコニコはシステム再構築へ 影響はニコ動やN高、各アニメ公式サイトにも波及。

2024.07.07 タグ「Black Suit」を追加しました。