KADOKAWAが受けた攻撃について、Black Suitが残した声明文を(意訳まじりで)邦訳してみた

wakatono

自分が立てた仮説を検証できるかもしれないな、と、(KADOKAWAへのランサムウェア攻撃をしかけた)Black Suitが残した声明文を翻訳してみました。
翻訳することで、「(Black Suit側からは)こう見えてるんだな」というのがより詳細にわかりましたが、同時に「おまえらが攻撃しておいて何を言う」という読後感も…

邦訳文(意訳混じり)

私たちは、およそ1ヶ月前にKADOKAWAのネットワークに侵入した。言葉の問題で少し時間がかかったものの、KADOKAWAの子会社のネットワークは相互に接続されていることを把握し、複雑なKADOKAWAのIT部門が構築した複雑なしくみを横断することができた。

私たちは、KADOKAWAのネットワーク構成が、適切に管理されていないことに気付いた。異なるネットワークが、(ESXiやvSphereなどの)グローバルコントロールポイントを介して、1つの巨大なKADOKAWAのネットワークに接続され、制御されている。ひとたびコントロールセンターにアクセスできたら、私たちはネットワーク全体(ドワンゴ、ニコニコ動画、KADOKAWA、そして他の子会社など)を暗号化できた。

私たちは、当該ネットワークから1.5TBのデータをダウンロードした。
ざっと見た感じ、以下のようなデータが含まれる。

  • 契約書

  • DocuSign済みの書類

  • さまざまな法的文書

  • プラットフォームのユーザに関するデータ(Eメール、データ(通信?)の利用用途、アクセスされたリンク(URL?)その他)

  • 社員に関連したデータ(個人情報、支払いデータ、契約、Eメールその他)

  • 事業計画(プレゼンテーションデータ、Eメール、提案その他)

  • プロジェクト関連データ(コード、Eメール、支払いデータその他)

  • 財務データ(支払い、送金、計画その他)

  • 他の内部で使う書類や機密データ

KADOKAWAのデータが暗号化された後、私たちはKADOKAWAの経営陣にデータ保護とネットワーク(上のデータ)の復号について、取引をもちかけた。

誰もがわかるように、KADOKAWAは現在苦境に立たされており、業務継続できない状態にある。KADOKAWAとその子会社のサービスは中断されていて、復旧するまでに7月いっぱいかかるとされている。

KADOKAWAの経営陣が、本件に関する情報をほぼ毎日公開しているのは良いことだ。角川の経営陣が、世間を落ち着かせるために「真実」を伝える決断をしたのは非常に良いことだ。

しかし、KADOKAWAが一部の詳細について伏せる判断をしたのはよろしくない。KADOKAWAのIT部門が経営層にすべての真実を伝えないようにしたのかもしれないが、いずれにしても、私たちはKADOKAWAからの情報に誤りがあることを把握している。

まず最初に、KADOKAWAのIT部門は、ネットワークに侵入している私達の存在を、暗号化を行う3日前に検知している。管理者は我々をネットワークから排除しようとし。私たちが使うコンピュータのIPアドレスの1つは通信ブロックされ、彼らは管理者権限を(私たちが使用できないよう)変更しようとした。しかし私たちは、ネットワークへの侵入を、検出できない方法でやるようにした。その結果、彼らは(私たちによる)外向けの通信を検出し、止めることができなかった。というのも、私たちの持ち出し用のスクリプトは、コンピュータのIPアドレスが通信ブロックされても稼働を続けたためである。暗号化の1日前、私たちは、KADOKAWAの管理者による私たちを止めるための大規模な対応が失敗に終わったことを確認した。

私たちは、必要に応じてさらなる詳細を公開できるものの、手元の切り札をすべて晒すことはしたくない。

というのも、私達はあくまで商売人であり、お金にしか興味がないからである。KADOKAWAは取引をしようとしたが、彼らが提示した金額が彼らのビジネス規模からしたらとても低い水準のものであった。このインシデント(の再発防止のために)は、ネットワーク構成そのものの見直しを必要とする。そしてそれは、KADOKAWAの顧客はIT部門がネットワーク全体を作り直すまで待たされることを意味する。
彼らが知らなかったことは、KADOKAWAのIT部門が、自社ネットワークに存在するすべての脆弱な箇所を把握するだけのHacktivismに関する十分な経験を持っておらず、将来また別のインシデント発生につながることである。それ以外には、漏洩データが公開された際には、KADOKAWAのは自社のネットワークのみならず、ビジネスの仕方全体を変更する必要が出てくるだろう。というのも、多くの機密データも公開されるからだ。

私たちは、これまでの経験に基づいて、KADOKAWAのネットワークをよりよくする支援を行える旨提案している。この提案には、データの復号と漏洩データの削除も含まれる。

手短に言うと、私たちは日本国民の機微な個人情報にアクセスできた。私たちがこのような情報にアクセスできた人たちは、自分のプライベートに関するデータを伏せておきたいと考えているのは間違いない。Eメールや閲覧履歴を含む「夜間に行っていること」が公開されるのを誰も望んでいない。

KADOKAWAの経営陣は、「今週末までに取引が成立しない場合は、すべてを公開する」ということを認識しなければならない。

現在、多くの日本国民の生活に関連した情報の機密が守られるかどうかは、KADOKAWAの経営陣の決定にかかっている。

私たちは、KADOKAWAの経営陣は、その後の数か月を釈明に費やすとは思っていないし、そのようなアクションは、彼らにはまったく似合わない。

KADOKAWAのような会社ならば、お金を払って前に進み続けるほうがずっと簡単だろう。

「全ての情報」は、7月1日に公開される。

自分が抱いた所感の1つ~あるいは当事者がたどったかもしれない経緯~

この声明文読んで、自分が持ってた仮説が(ある程度)裏付けられたのは、以下のくだり。

まず最初に、KADOKAWAのIT部門は、ネットワークに侵入している私達の存在を、暗号化を行う3日前に検知している。管理者は我々をネットワークから排除しようとし。私たちが使うコンピュータのIPアドレスの1つは通信ブロックされ、彼らは管理者権限を(私たちが使用できないよう)変更しようとした。しかし私たちは、ネットワークへの侵入を、検出できない方法でやるようにした。その結果、彼らは(私たちによる)外向けの通信を検出し、止めることができなかった。というのも、私たちの持ち出し用のスクリプトは、コンピュータのIPアドレスが通信ブロックされても稼働を続けたためである。暗号化の1日前、私たちは、KADOKAWAの管理者による私たちを止めるための大規模な対応が失敗に終わったことを確認した。

これからわかることは、「外部との接続を完全に遮断せずに」侵入者を排除・復旧しようとしたであろうこと。
侵入で気をつけないといけないことの1つは、攻撃者が使えるのは、現在アクティブな攻撃セッションだけとは限らない点。
ある程度周到にやってくる奴らは、侵入した後に「複数の」橋頭堡を「こっそり」確保し、どこか1箇所が潰されても(迅速に)リカバリされる。
実際には複数ブロックしたのかもしれないが、攻撃者のほうが一枚上手だった、と言わざるを得ない。

この記事が気に入ったらサポートをしてみませんか?