2024-07-02

KADOKAWAのハッキングの話チョットワカルので書く

私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。

個々人のエンジニア能力がとかクレジットカードがとかは基本関係ないという話です。

関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスパスワードはすぐ変えるの推奨)

三行

会社システムはどうなってるか

私は長年社内システム奴隷をやって参りました。現在クラウドになる前のサーバも触って参りましたので、その辺りからお話しをさせてください。


サーバーというのは、簡単に言うとシステム提供しているコンピュータです。

貴方が触っているコンピュータシステムネットワークの向こう側にいます。この増田増田サーバーというのがいて、私たちサービス提供してくれています

しかし、このサーバ、どんなイメージを持っていますか? でっかい黒い冷蔵庫?ちかちか光るロッカー? それともバーチャルネットワークで画面上に写されるものでしょうか。


サーバーといっても、実4形態ぐらいあるのです。私もチョットワカルぐらいなので間違っていると思いますが、まずは理解する為に簡単説明させてください。

と言う段階があります

ニコニコ動画サービスはどうかというと、色々な情報を得ると、④を使いながら③にする途中で、まだ②が残っている、ということのようですね。


これらの使い分けについてですが、最近は自社でサーバを持っていると自分たち管理しなければならなかったりして大変なので、できるだけ②から③、できたら④に持っていきたいと言うのが世の中の流れです。それでも②はのこりますが、最小限にしていく方向。

現在は、②のシステムがだけがやられたように、セキュリティ的にも預けた方が望ましいと言われています


今回も、自社で管理している部分が攻撃されました。特にクレジットカード情報漏れていないと何度も言われているのは、そこを自社で管理せずに専門業者に任せていたことが大きいわけです。

この流れをまずは頭に入れましょう。

じゃあ何がハッキングされたのか

さて、メールを扱ってるサーバーと、売れた商品バーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるこことはありません。これは何故かと言うと、それぞれを細かくたくさんのシステム仮想サーバに別けた独立システムになっているからです。

さらKADOKAWAのようにサービスを外部に展開してる会社場合、外部向けのシステムと内部向けのもの(バックオフィス)で必要機能が異なるので、部署が異なるのと同じように違う仕組みになっているはずです。ただし、物理的にどこにサーバあるかなどはあまり関係がありません。

しかし、こうなると小さなサーバがたくさんたくさんあると言う状態になって管理が大変です。

利用者視点にしても、システムごとにログインするための情報が別々だと非常に使いづらいですよね。会社で部屋ごとに別々の鍵がついていて、じゃらじゃら鍵束を持って歩くような状態は面倒です。


すると、どうするかというと、これらをまとめて管理するシステムというものが作られます

これを「システム管理ソフト」と「認証システム」といいます。これらが全体に対してユーザ認証や、サーバが正常に動いているかどうかの管理提供する事で、たくさんのシステム管理効率化するのです。

企業の警備室に機能を集約するようなものです。ですが、ここが要になっていて、破られると全ての鍵が流出してしまうということになるわけです。


出てきた情報から見ると、この管理するシステム認証するシステムがやられたと思われます

また、その前の前段はVPNと言う仕組み(ネットワーク暗号化して安全隔離するもの)が攻撃されて破られたのではないかと推測しています

これは近頃猛威を振るっている攻撃で、業務用で多く使われているVPN装置脆弱性(弱点)が狙われて、多数の問題が起きています。当然脆弱性修正したプログラムは適用されていると思いますが、次から次へと新たなセキュリティホールが見つかる状況であり、匿名アングラネットでは脆弱性情報取引されているため、訂正版のプログラムが出る前の攻撃情報が用いられた可能性があります。(これをゼロデイ攻撃といいます) あくまでも推測ではありますが。

個々のシステム独立しています。ですが、こうなってくると、今回はシステム全体が影響を受け、さらにどこまで影響が及んでいるか分析が困難なレベルだと言われています

ここまで広範囲に影響するとすると、管理認証VPN攻撃を受けてやられたとみるべきでしょう。


また、ここが破られていると、クラウドシステムにも影響が及ぶケースがあります

一時期「クラウド」というとストレージの事を言うぐらい、クラウドストレージが当たり前になって、自社運ファイルサーバは減りました。これは今では危険認識されているほかにこちらの方が安く利便性も高いからです。

それ故に、クラウドストレージ、たとえばSharePoint OnlineやGoogleDrive、Boxなど外部のシステムに置くようになっています

しかし、今回はこれが破られている可能性があります

オンプレミスの認証サーバが破られているので、その認証情報を利用してクラウドアクセスできてしまったものだと思われます。言わば、鍵を集めて保管してあった金庫がやぶられるようなもの


通常、クラウドシステムはそんなに甘い認証にはなっていません。例えば多要素認証といってスマホなどから追加で認証すると言うような仕組みがあります。貸金庫に入るとき自称するだけでは入れず、身分証明書パスワードの両方が必要なうものです。

また、日本企業なのに突然ロシアからアクセスされたりすると警報をだして遮断する仕組みがあります

とはいえ、いちいちクラウドアクセスする度に追加認証をしていると大変で、面倒クサいと言う声が上がりがちです。


そんなときに行われてしまうのは、自社のネットワークからアクセスするときは、認証を甘くすると言う仕組みです。

まりネットワーク安全だという仮定の下においてしまうわけですね。自社の作業着を着ている人なら合い言葉だけで、本人確認なしで出入り自由としてしまうようなものです。

ところが今回は、ここが破られてしまって被害を受けている可能性があります。自社の作業着が盗まれているので、それを着られてしまったので簡単に入れてしまったようなもの

また、社内システムからデータ窃盗するには、どのシステム重要かを判断しなければなりませんが、クラウドサービスだと世界共通であるため、一度入られてしまうと慣れ親しんだ様子で好きなようにデータ窃盗されてしまうわけです。

どういう人が危ないのか

上記のことを踏まえて、KADOKAWAの展開してるサービス自体や、そこに登録しているクレジットカードは「おそらく」大丈夫です。パスワードも「ハッシュ化」という処置を経て通常は記録されていません。

ただ、パスワードを使い回している方は、その事実とは別にそもそも危険です。パスワード変更をおすすめします。さらに、ハッシュ化をされていても、時間をかければ色々な方法パスワードを抜き出す事も不可能では無いことも忘れずに覚えておきましょう。


しかし、単なるユーザー、お客さんではなく、KADOKAWA会社として関わってる人や従業員取引先で色々な書類等出した人は、既に情報窃盗されていて、そこから今後も追加で情報が出回る可能性があります

一方で、分かりやす場所に保存されていたわけではない情報システムデータベース上にだけ入っていたものなど)は、センセーショナルな形で流出したりはしないのではないかと予想しています

犯人が本当に金が理由だとするならば、データ分析するような無駄な事に労力を割かないためです。

腹いせで全てのデータを流して、暇人が解析する可能性はあります

ありますが、犯人コストを回収しようとするので、これらの情報販売しようとします。売り物になる可能のものをただ単に流したりもしづらいのではないかと思っています

もちろん、油断はするべきではありませんし、購入者が現れるとすると購入者は具体的な利用目的で購入するため、より深刻な被害に繋がる可能性も残されています

エンジニアレベルが低いからやられたのか

犯人が悪いからやられたのです。レベルが低いからとか関係ありません。

また、周到にソーシャルハッキングオレオレ詐欺のようになりすまし情報搾取するなどの方法)や、このために温存したゼロデイ攻撃(まだ誰も報告していない不具合を利用した攻撃)を駆使され、標的型攻撃不特定多数ではなく、名指して攻撃すること)をされると、全くの無傷でいられる企業や団体は、恐らく世界中どこにも存在しません。


それは大前提とした上で、敢えて言うならば、どちらかというと、経営判断が大きいと思われます

ニコニコ系のサービスと、KADOKAWA業務システムと2つに別けて話しをしましょう。


ニコニコ系のサービスは、現在クラウドシステムリフトアップしている最中だったと思われます。先日のAWSクラウドサービス大手企業)の講演会で発表があったようにです。

ですが、この動きは、ニコニコのようにITサービスを専門にする企業としては少し遅めであると言わざるを得ません。

これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます特殊すぎてそれを受け入れられるクラウドサービスが育つまで待つ必要があったと思われます

それが可能になったのはようやく最近で、動画配信系はクラウドに揚げて、残りを開発している最中だったわですが、そこを狙われたという状態ですね。

ただ、厳しい見方をするのであれば、その前に、クラウドに移行する前に自社オンプレセキュリティ対策を行っておくべきだったと思います結果論ですが。

それをせずに一足飛びでクラウドに移行しようとしたというのだとは思います。確かに一気に行けてしまえば、自社オンプレに施した対策無駄になりますコストを考えると、私が経営者でもそう言う判断をしたかも知れません。


KADOKAWA業務システムですが、これはITを専門としない企業であれば、オンプレミス運用(②番)が多く残るのは普通です。

何故かと言うとシステムとは投資費用なので、一度購入したら4年間は使わないといけないからです。そして自社向けであればそれぐらいのサイクルで動かしても問題はありません。

しかし、それ故に内部的なセキュリテ対策投資はしておくべきだったと思います


以上の様にエンジニアレベルととかは関係ありません。基本的には経営者経営判断問題です。エンジニア責任があるとすれば、経営者に対して問題点を説明し、セキュリティを確保させる事ができなかったと言う所にあるでしょう。

ですが、パソコンのことチョットワカル私として、想像するのです。彼らの立場だったら…自社グループ経験豊富エンジニアがいて、一足飛びにクラウドリフトアップができそうなら、既存の自社サービスセキュリティ変更に投資はしないと思います

逆に、パソコンに詳しくなく、自社部門だけでは対応が難しく、SIer支援を受けつつやらなければならないと言うのならば、SIerは固いセキュリティの仕組みを付けるでしょうし、システムごとにSIerが異なることから自然システムは分離されていたでしょう。

そして減価償却が終わった者から徐々にになるので時間がかかることから、昨今の事情により、セキュリティ変更に投資をしてからスタートたかも知れません。


ただし、繰り返しになりますが、犯人が悪いからやられたのです。レベルが低いからとか関係ありません。


では何が悪かったのか

(おそらくは)社内のシステム管理を、自社でできるからと言って一本化して弱点を作ってしまったのは不味かったと思います

先ほど述べたように、高度化していく手口でシステムへの侵入は防ぐことが出来ません。

なので、システムは必ず破られると考えて、それ以上被害を広げないこと、一つのシステムが破られたからと言って他のシステムに波及しないようにすることなどを意識する必要がありました。

これは物理的な話しではなくて、論理的な話です。例えば物理的に集約されていてもちゃんと別けていれば問題ないし、物理的に分散していても理論的に繋がっていたら同じです。

すごく簡単に言えば、管理するグループを何個かに分けておけば、どれか一つが破られても残りは無事だった可能性があります


とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービス人員的にも予算的にも全然関係ない感じ

結局社内のITシステムに十分な投資経営陣のトレーニングまでを含めた)をしなかったという月並みの話なんですかね

記事への反応 -
  • まあプロじゃない人たちがわからないのは当たり前なんだけど エンジニアの能力がとかクレジットカードがとかは基本関係ないという話 (関係なくてもアカウント持ってたらパスワード...

    • 私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 ...

      • 興味ないね

        • 増田 様 拝啓 盛夏のみぎり、 増田 様におかれましてはますますご繁栄のこととお慶び申しげます。 さてこの度は、ご興味がないにも関わらず、レスを賜りまして大変ありがとうご...

      • 同じこと書いて伸びてたのになんでまた書いてるの

        • 私は書いてないです 同じような事を考えてる人がいるなら参考にしたいので、もしよかったら教えて下さい

        • おまえの知能ではこれが同じにみえるのか 前者があまりにも幼稚すぎるから、後者の人が訂正してくれてる図だと理解できない星の人か

          • そうだな。ほとんど同じレベルだけどほんの少しだけマシだな 同じやつが書いてなかったら驚くわ

            • これが同一人物認定できちゃうの、かなり頭悪そうだね かわいそう

              • ID漏れてるとまでは思わないけど、中の人ならできる

                • PCが苦手な場合 PCが苦手っぽくてパスワードの扱いに苦労している兄やんが、肌身離さず常にiPhoneを握りしめているのは興味深い。 6sから11へスイッチしたようだが、ホームボタンがな...

              • 日本語の使い方おかしいよ? 「これが同一人物認定できちゃうの、かなり頭悪そうだね」 だと、同一人物認定できちゃうことそのものを「頭悪そう」と言ってることになるから 運営に...

      • AADとゼロトラストのない世界

        • それな。ゼロトラストの原則で運用してあれば被害の拡大は防げたはず AAD(Entra ID)は使っててもゼロトラストの原則に従って運用してなけりゃ駄目だって事ではなかろうかと ここがち...

          • これやってるところどこにも存在しないって謎の人は言うんですけど たぶんどこでもやってると思うんで会社のPCで確認して見て欲しいのよ とりあえず、[職場または学校にアクセスする...

            • >これやってるところどこにも存在しないって謎の人は言う 俺にはこの「謎の人」が見つからなかったんですが誰のことですか

            • AADはもうありません。 今はMicrosoft Entra IDと言う名前になっています。 全然定着してないけどな!

              • そーね、Entra ID だわね ポータルも変わってるね

                • Azure Active Directory は Actirve Directoryとは全然別物なのに、なんで似たような名前にするんや!と当初叩かれてたけど なんだかんだで定着したところで、Entra IDって名前変えたのなんなんだろ...

                  • みんな最低でもハイブリッドになったからと違う?これから会社興すところは最初から Entra ID のみだし、 ADみたいにPCやIDや認証管理するやつだよの説明も要らなくなったので、紛らわし...

                    • MS名前変えすぎ問題な この間MSの認定資格とったけど、問題文にすら旧名称と新名称が混ざってて、流石にこれはどうなんやと思ったやで

      • これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます。特殊すぎてそれを受け入れられるクラウドサービスが育つまで...

        • でも今回は動画部分がパブリッククラウドで他がオンプレやったから動画以外のデータが漏洩したり復帰できなかったりしてるやん

          • あれはS3に動画データバックアップしてたってことだよ

            • いや、それだけじゃなくて配信システムは移行済みだって https://xtech.nikkei.com/atcl/nxt/column/18/02875/062400009/

        • クラウドってデータ転送量別料金の従量課金だからね。 ただ、AWSが大容量の動画コンテンツを捌けるようになったのもわりと最近だってのもそうだよ。

          • ただ、AWSが大容量の動画コンテンツを捌けるようになったのもわりと最近だってのもそうだよ。 最近っていつ? 何がボトルネックだったの?

            • 横だけど、CloudFrontがあるのでAWSは結構前から大量アクセスをさばけてたと思うが

            • AWS Media ServiceとAWS Elementalが国内リージョンで使える様になった後だから、だいたい2021年以降かな えっ、2021年は最近じゃない? しょうがないだろおっさんには最近なんだから

      • 一度購入したら4年間は使わないといけない これはザイム真理教が悪い システム関連は単年償却を認めるべき 社員用のPCがしょぼいのもこれが原因

        • ザイム真理教信者「だって、教祖の税務署様がそうしろっていうし。。。」

      • 多くの一般人は専門的なワードが入ると興味が消失するのでわかりやすい例えで解説してもらえるのはありがたいです。 専門的なワードを使わなくても概要は得られる。 時折生まれる大...

        • どうしたらこんなの書けるのって思う

          • いい人なんでしょうね 他人を褒めることになれているって言うか どうやったらそう言う人になれるかは俺も知りたい

            • もちろん悪い意味で言ってるぞ、ゼロトラストの認識を持ち始めた、 言われた通りに設計して実装して運用してるだけだぞが理解できているのはマシだけど   えらい猫(予算を決める絶...

              • またお前か。お前はもういいよ。 支離滅裂ってのはお前のためにある言葉だ。

                • anond:20240626111726 anond:20240626121552 anond:20240629093614 anond:20240629112517 anond:20240703103307

                  • こっちのセリフだよ

                  • こうやって自分の気にくわない奴は同一人物だと認定するのって相当精神的にヤバいんじゃないかな まぁ知らんやつが勝手に病んで消えていっても俺は別にどうとも思わないし、こうや...

              • 新たなに誕生した増田のスターに拍手! 評論 行動からシンプルに命名。 エクセルホーガン氏と仲が良さそう。 ニッポンの伝統的な風習を残すSIer一本でやってきたために、企業ブランド...

                • 今はチャットだぞ。再放送しておくね 2000年代のセキュリティ意識で解説してて草 ↓ 元増田みたいなのって自営業でしか働いたことないよの以外の場合、 組織意識ってどうなってる...

      • プロじゃないけどってとこで読むのやめたんだけどなんでこれがこんなに伸びてるの?

        • そこは元ネタ増田の anond:20240702102611 「まあプロじゃない人たちがわからないのは当たり前なんだけど」に対するネタでしょ あるいは、セキュリティのプロって知れば知るほど名乗りがた...

        • 雑な内容だとツッコミ需要で伸びやすいからでしょ

          • 全ての行動を「伸びる」「伸びない」で説明するやつはシンプルでいいよな 人生たのしそう

            • せやろ?せいぜい褒めとけや

              • うん!たのしそうたのしそう! ふと我に返ったりしないでね。電話止まったら迷惑だし

                • どした急に。電車とか好きなん?

                  • おいらはだーい好きでゲソ

                  • いや、こう言う人って電車好きじゃん? だから、我に返ったとき、電車で人生を終わりにするんじゃないかなって。 そうするとほら、掃除とかで電車止まって迷惑じゃん。

      • 外部向けのサービスが落とされて復旧できない 社内情報も流出している という状況について、元増田よりこっちの「社内の様々なシステム入れる鍵束が奪われた」って説のほうが説...

      • オンプレミスは①のことやろ。なんで仮想化限定やねん

      • 毎回そこに言及してるのは単に問い合わせが多いからやろ。非保持非通過はいまクレジットカード決済やるならやってない方がおかしい 今回も、自社で管理している部分が攻撃されま...

      • 「犯人が悪いからやられた」の頭の悪さ

        • 日本が原爆落とされたのは日本の頭が悪かったって言うんですか!

        • 確かに犯罪の被害者を攻撃する奴って自称頭がいい馬鹿が多い気がするな そいつらは頭がよく見えることが事実よりなにより大事なんだろ

      • あんた結構頭良いだろ

        • だったらどんなによかったことか 日々七転び八起き、どころか、七転八倒

    • クッキングのお話して

    • そうなんだっけ? 自社データセンターのVMwareのスーパーバイザーを乗っ取られたんじゃなかったんだっけ?

    • いつものオチになるのはツラアジ というか 自動生成パスワードにしてるので変え方すら忘れてることに今気づいたわ ニコニコは解約したけど、カクヨムとか角川のやってるのはぜんぶ...

    • これは恥ずかしい増田ですよ

    • まー事務とか経理とかの裏方へは投資も教育も後回しにされるよね 私の会社のパソコンも去年まではXPだったしね さすがにXPはないだろって思ったけどそもそも仕事で扱うと言ったら 2000...

      • これも盛り加減を考えた方がええわな 社内のファイルサーバーに繋げればとか言っても、Windows XP は SMB2 すらネイティブサポートしてないのよ Windows10 から NAS へ接続出来なくなったーと...

        • お前が中小零細で働いたことないのはわかったやで

          • Windowsアップデートするしないは中小関係なくない? 確かXP用のバッチも出てたやで   世界規模のランサムウェア攻撃でMicrosoftが異例の「Windows XP」パッチ公開 Microsoftは3月に既にこの攻...

            • 中小はセキュリティガバガバでアップデートするべきっていう意識すらなかったりするから OS側が強制的にしないとずっとしないままやったりするやで 酷いとこになると作業中に再起動...

              • 酷いとこになると作業中に再起動されるのが嫌やからと意図的に止めてたりするからな 中小って本当にこのレベル。これを「盛ってる」って言っちゃうのは中小勤めの平民の現実を知...

                • 昔のIE6限定システムを作ってた会社は今でもそうだな 勝手にバージョンアップされないようにMSへの接続をプロキシで遮断してる マイクロソフトストアにもつながらないのでMS純正アプ...

        • それが無理があるのよ。というか盛り過ぎ 最初に戻る https://anond.hatelabo.jp/20240702210047

          • こっちも繰り返しになるが大企業勤務だと中小のレベルの低さを体感してないから事実を書いても盛ってるように見えるだけという話

    • ユーザーの情報も流出してるやで。 内情に詳しそうな人が図解でデータセンター内にニコニコIDの認証機能書いてたし実際にニコニコID使えなくなってるのがその証拠。

    • 2000年代のセキュリティ意識で解説してて草

      • 元増田みたいなのって自営業でしか働いたことないよの以外の場合、 組織意識ってどうなってるんだろう?

        • ないんじゃないかな ファイルサーバはNASとかLinux+sambaで構成してるとか思ってそうだし

          • だけどさっぱり具体的な反論はないよね

            • 別の盛り過ぎ増田にも突っ込んだけど、 今はオンプレファイルサーバー使ってないか、オンプレ使っていても、SharePoint に移行中なのよ MSに両親を殺された人は GoogleDrive (SharePointとGoogleDr...

              • 中小には情シスいなかったりするけどどこにでもいると思ってる奴は盛ってると決めつけるんやろなあ😟

                • 今は改善してる(はずだ)と思うが、俺が5年前まで勤めていた地方の某公益法人の某施設では、システムはSIerに丸投げで正規職員の一人が本来の職務の片手間に業者と折衝してるという...

              • うーん、 正直KADOKAWAもここまで体勢があったかわからんと思うぞ 連結でも7000人ちょいの非IT企業だから

                • その規模感でなってないはあまり一般的じゃ無いとおもいます いちおう情報システム部門は企業のIT戦略を担当するという建前があるので   もし何かがうまくいっていなかったのなら、...

                  • いやいや、KADOKAWAの連結って倉庫番などの現場系を入れてだからね 本体だけならたかだか2千人だから。

                    • 別に何台でもいいですけど、その規模感で情シスはヘルプデスクでしかないも、無軌道に管理も、あんま一般的ではないです 下記の話と同じく無限にループするやつ? これも盛り加減...

      • 実際、コンサルはこんな感じよ

        • その認識改めて貰っていい?中小も馬鹿にしすぎ。盛り過ぎなんよ 盛っているつもりないならだいぶ時代は変わって増田がデスクワークやってた頃と違うと認識持つとええで

          • それは誰目線の話なの? コンサルがバタバタ廃業に追い込まれたの 時代についていけてないからよ ボクハサイセンタンノニンゲンデスって言いたいなら、壁に呟いてたら?

            • まぁこう言うのが面倒なわけよ → anond:20240703095544 相手しても無限ループするだけだし

              • この増田 適当に投稿消す何時もの増田かね 会話にならなくなるのも通例って感じ

                • 言い過ぎた時はたまに消すが 基本的に消さないから安心してどうぞ むしろ消えたのキャッシュ拾って繋げたりしてる

    • こいつら統一教会擁護ガチ勢だから、朝鮮・ロシアと組んで自作自演してるんちゃうか?

    • それも推測に過ぎないじゃん ここは沈黙が正解

    • めちゃくちゃ雑で笑った 今まで見た中で1、2位を争う雑さ 馬鹿じゃないの

    • その程度の被害で動画も書籍もN高も全部長期間システム停止してるんですか

    • IT系ではない中小企業のシステム担当っぽい

    • anond:20240702102611 これでなんとなく長文書いたらビビるくらいブクマついたので弊社の例も書いてみる ここからはプロでも分野で違うので伸びなそうな気がするけど 弊社の規模等 20年前...

記事への反応(ブックマークコメント)

ログイン ユーザー登録
ようこそ ゲスト さん