ニコ動 犯行声明 / ブラックスーツ

毎日新聞では、KADOKAWAがサイバー攻撃を受け、ニコニコ動画などのサービスが利用できなくなった件について報じています。この攻撃はロシア系ハッカー犯罪集団「ブラックスーツ」によるもので、犯行声明がダークウェブ上に公開され、データが盗まれたとされています。KADOKAWAは現時点でコメントを控えていますが、被害の全容を調査中であり、システムの完全復旧には1か月以上かかる見込みです。

今回の攻撃により、KADOKAWAの複数のサービスが停止しており、社員の出社も制限されています。被害の影響はニコニコ動画だけでなく、その他の関連サービスや業務全般に及んでいるため、復旧作業が進められています。個人情報やクレジットカード情報の漏洩は現時点で確認されていませんが、詳細な調査が続けられています。

ロシア系ハッカー犯罪集団「ブラックスーツ」　とは？

「ブラックスーツ」（BlackSuit）は、2023年に登場したロシア系ハッカー犯罪集団であり、主にランサムウェア攻撃を行っています。この集団は、被害者のデータを暗号化し、身代金を要求する一方で、支払わない場合にはデータを公開するという多面的な恐喝手法を使用します​ (SentinelOne)​​ (Homepage - launched May 2024)​。

「ブラックスーツ」は、以前の著名なランサムウェアグループ「Royal」から派生した可能性が高く、両者は多くの技術的類似点を持っています​ (The Record from Recorded Future)​。これには、同様の暗号化メカニズムやコマンドラインパラメータが含まれます。このグループは、主に医療、教育、IT、政府、小売り、製造業などの重要な産業を標的にしています​ (BleepingComputer)​。

攻撃の手段としては、フィッシングメールや第三者のフレームワーク（例えば、EmpireやMetasploit、Cobalt Strike）を使用し、感染経路としては、悪意のあるトレントファイルの利用も確認されています。攻撃後、被害者のファイルは「.blacksuit」の拡張子が付けられ、デスクトップの壁紙が変更され、ランサムノートがドロップされます​ (SentinelOne)​​ (Homepage - launched May 2024)​。

このような攻撃を防ぐためには、セキュリティ対策を強化し、定期的なデータバックアップ、最新のセキュリティパッチの適用、ネットワークセグメンテーション、多要素認証の導入などが推奨されます​ (Homepage - launched May 2024)​。

ブラックスーツとKillNetとの関係は？

「ブラックスーツ」（BlackSuit）と「キルネット」（KillNet）は、いずれもロシア系のサイバー犯罪集団ですが、それぞれ異なる活動を行っています。

「ブラックスーツ」は、主にランサムウェア攻撃を行うグループで、2023年に登場しました。このグループは被害者のデータを暗号化し、身代金を要求し、支払わない場合にはデータを公開するという手法を取っています。ブラックスーツは、ヘルスケア、教育、政府などの重要な産業をターゲットにしています​ (SentinelOne)​​ (Homepage - launched May 2024)​。

一方、「キルネット」は、プロパガンダやDDoS攻撃を行うハクティビスト集団であり、ウクライナ戦争以降、NATO加盟国やウクライナ支持国を主な標的としています。キルネットは、自らを「プライベート軍事ハッキング会社」として再ブランド化しようとしており、その一環として「ブラックスキルズ」という新しいプロジェクトを立ち上げました​ (SOCRadar® Cyber Intelligence Inc.)​​ (Flashpoint)​​ (The Record from Recorded Future)​。

両者に直接的な関係があるかは明らかではありませんが、キルネットは他のハッキンググループと協力することが多く、これによりブラックスーツとの接点がある可能性もあります。例えば、キルネットは他のプロロシア系ハッキンググループと共同で攻撃を行うことが知られています​ (The Record from Recorded Future)​。