ニコニコ動画・KADOKAWAのランサムウェア攻撃についての疑問

大変そうな事件で、企業側も困っているのかもしれないが、不可解な部分もそれなりにあるので、メモがてら書いておきたい。

発端は6月14日頃のシステム障害からの、完全ダウンというような話だった。

サーバーの電源ケーブルを抜線しなければいけないほど…「ニコニコ」へのサイバー攻撃の苛烈さが調査報告より明らかに（インサイド） - Yahoo!ニュース

◆サイバー攻撃に対応すべく、サーバーのケーブル類を物理的に抜線し完全封鎖
本障害は、ランサムウェアを含む大規模なサイバー攻撃を理由とするもの。公式サイトでは「サイバー攻撃を確認後、直ちに関連するサーバーをシャットダウンするなど緊急措置を実施するとともに、対策本部を立ち上げ、被害の全容解明、原因究明およびシステムの復旧対応に総力を上げて取り組んでおります」と報告しています。
　今回の第三者によるサイバー攻撃は発覚後も繰り返し行われ、遠隔でプライベートクラウド内のサーバーをシャットダウンした後も第三者がさらに遠隔からサーバーを起動させて感染拡大を図るといった行動が観測されたとのこと。
　そのため、サーバーの電源ケーブルや通信ケーブルを物理的に抜線し封鎖。これを受け、グループ企業が提供するデータセンターに設置されているサーバーはすべて使用不可に。また、さらなる感染拡大を防ぐため、社員の歌舞伎座オフィスへの出社を原則禁止とし、社内ネットワーク、社内業務システムも停止させているといいます。

INSIDE　インサイド

その後、ランサムウェアによる攻撃だとか、脅迫があったとか、犯行側 " Black Suit" による声明の公表など、五月雨式の情報開示が継続している。

個人情報など7月1日に公開か…KADOKAWAサイバー攻撃　ハッカー集団『BlackSuit』とは（テレビ朝日系（ANN）） - Yahoo!ニュース

ダウンロードした『1.5TBのデータ』として以下を挙げています。
〇契約書
〇署名済みの書類
〇様々な法的文書
〇プラットフォーム・ユーザーに関するデータ
〇従業員の関連データ（個人情報・支払い・契約・メール）
〇事業計画（プレゼンテーション・メール・オファー）
〇プロジェクト関連データ（コード・メール・オファー）
〇財務データ（支払い・送金・計画）
〇社内で使用する書類や機密データ
KADOKAWAとの取引が成立しない場合、全ての情報は7月1日に公開されるとしています。

テレ朝　yahooニュース

もし本当に被害に遭っているのなら、苛酷と思いますが、頑張って下さい、としか言えず。初期段階では、当方も同情的に応援してました。

インターネット老人会、とか呼ばれてるらしいｗｗ

けど、がんがれ！！

検閲やサイバー攻撃に負けるな

言論の自由の最後の砦、それは任せたぞ！！ https://t.co/KEOWItegL5

— 浜菊会 (@hamagikukai) June 15, 2024

ただ、その後の情報操作？っぽい、アレコレが出るようになり胡散臭さが感じられてきましたね。

ニコニコ動画が落とされたり、kadokawaが攻撃受けてたり、全然動いてない夏野氏のツイッターアカウントが乗っ取られましたとか、謎のアカウントが公表してたりｗ奪還したとも言ってたがｗ

外見的にはtwitterアカウント乗っ取りかどうかは、日々の利用がないから分からないわなｗ

そういう謎のネット https://t.co/KDpPVfJhky

— 浜菊会 (@hamagikukai) June 24, 2024

名古屋港の障害の時、愛知県警は当初否定的だった「ランサムウェアの攻撃だ」と公表したろ？ｗ

＞https://t.co/BnsdmjRm5U

今回のKadokawa/ニコ動の場合だと、警視庁か何処か知らんけど、真っ先に「ランサムウェア攻撃だ」とは一度も発表してないんだぜ？ｗ

先に大々的な犯行声明が出たｗ

臭いｗ https://t.co/iZcl8HuyXN

— 浜菊会 (@hamagikukai) June 29, 2024

犯行声明とか犯行グループが大々的に表舞台に出てくる場合って、割と「ヤラセ」の情報操作である可能性の疑いは濃いんじゃね？ｗ

＞https://t.co/Udjp6avR8P

今回の「黒服さん」が本物とは思えないんだがｗ
知らんけどｗ

情報検閲体制バッチリのyoutube以外のチャンネルだと、ニコ動なわけでｗ https://t.co/UmVY5FZoTp

— 浜菊会 (@hamagikukai) June 29, 2024

これまでの報道記事から、とりあえず当方の理解で大雑把にまとめると

・ニコニコ動画やKADOKAWAのシステムが攻撃された
・物理的に電源や通信回線のケーブルを抜いて遮断した
・復旧見通しは立たない
・ランサムウェアによる攻撃？
・犯行声明を「BlackSuit」が出した
・当該ハッカーは従業員になりすまし内部侵入

当方はIT関連は全く分からないので、素人の疑問として書いてます。

まず、期間がどうしてこれほど長期間続くのか？
普通のIT企業とか、ある程度規模のある企業とかだと、システムのバックアップが必須ではないかと思うのですが、それが死んだのでしょうか？

例えば名古屋港の障害の場合だと、数日で復旧できてましたよね？

当方は「ランサムウェアの攻撃」という愛知県警の発表自体を疑問に思っていましたがｗ

やっぱ、おかしいなｗ

「ランサムウェアに感染」という愛知県警発表はニセ情報なんじゃね？ｗ

昼過ぎでは

・感染してない
・外部接続、インターネット接続はしてない

と言ったぞ？ｗ

→

名古屋港システム障害続く ５日も終日積み降ろし見合わせ｜NHK 東海のニュース https://t.co/g6rJLczCLX

— 浜菊会 (@hamagikukai) July 5, 2023

浜菊会(@hamagikukai)/2023年7月6日

愛知県警の疑惑はおいといて、もしそうだったのなら、数日で復旧できたのに、今回のニコ動はそうじゃないわけですよね？
その違いって、何ですか？
何だと思います？

サーバーを守る為にケーブルを抜いて遮断した、とかいう武勇伝が語られたでしょう？
つまり、ニコ動やkadokawaはクラウドサーバーじゃなく、自前の「実体のあるサーバー」群だということですよね？

犯行声明で公開（1.5TBのデータ）と脅されてるのも、ニコ動ユーザーの投稿してきた動画データではなく、主に文書関係や社内用書類とかのテキスト系か文書ファイルみたいなもの、ってことですよね？

動画データなら、もっと容量が大きいはずですよね？

まあ、サーバーロックをかけられてるのがマズいだけで、ニコ動の動画データが盗まれたわけではない、ということかもしれんが。

ここでも疑問が。

・システムバックアップは、通常のIT企業だと残しているのではないか？
・データ（ファイル）バックアップも、顧客用は勿論、社内用でも毎日実行してるのでは？
・文書系とかテキスト系データは、1日に何度も自動バックアップされているのでは？（例えばWordの自動保存、みたいな機能）
・本体のサーバー以外に遠隔地にバックアップサーバーを設置してないの？

サーバーの電源を入れて復旧の為の作業をする時、侵入者が復活して邪魔して来るなどがあるとして、外部のネット接続を遮断して作業して復旧できないの？

例えば、管理権者のアクセス権が盗まれてるとして、安全の確認された最初の一人だけ有効として、他のアクセス権限を一度全部解除して、新たに安全の確認できてる作業人員だけに割り当てていくとか、できないものなの？

本体サーバーがロックされてるとして、完全初期化できるなら、やるわけにはいかないの？
従業員になりすましたハッカーが管理権限を最大限に発揮できるのに、他の従業員がアクセスできないというのは、何故なのか？
アクセスできるIDを調べることはできないものなのでしょうか？

システムバックアップは数週間～数か月ごとに実施してるとかではないのですか？
データバックアップのサーバーが生きてるなら、データは後から移せばいいのでは？

大手IT企業の割りに、これほどまでに攻撃に弱い、復旧もやたら時間がかかるというのも、何がそうなる理由なのかが全然分からない。素人だから、そういうことを感じるのだとは思うんですがね。

けど、「同じランサムウェア攻撃」の名古屋港のシステム復旧と、時間の差がありすぎるので、それはどうしてなのか、と疑問に思いません？

これほど「ランサムウェアの攻撃が脅威なんだ！」と世間で騒動になってて、大手IT企業が無策とか対策できないとか、あるもんなのかな、と。

いや、ITの常識とか知らんのだけどｗ普通の企業ならクラウドじゃなく、物理の自前サーバーなんだから、災害や火災とかの対策含めて、遠隔地サーバーとかにバックアップを置くのでは？
それくらいはシステム構築担当の人たちが考えてやってるんじゃないですか？

それらが全滅、となると、盗られた管理権者の権限がまさにwebmaster的な、最上級者ということで、対象人数はかなり限定的なのでは？

というわけで、「ニコニコ動画を長期間停止させろ」という、まるで東京都知事選挙対策の為？
とか、勘繰りたくなる不可解な話なのですよね。