動画配信サービス「ニコニコ動画」や書籍の出版などで知られる出版大手「カドカワ(KADOKAWA)」の情報漏洩問題が波紋を呼んでいる。すでに一文の匿名配信者の本名がバレるなど被害が及んでいる。そしてカドカワは元経済誌編集長と作家の小倉健一氏はこの事件を分析した上でマイナンバーカードの危険性を解説するーー。
学校法人角川ドワンゴ学園に関する一部情報の漏洩の可能性が高い
動画配信サービス「ニコニコ動画」や書籍の出版などで知られる出版大手「カドカワ(KADOKAWA)」は、サイバー攻撃を受けたと主張するハッカー集団「ブラックスーツ」が同社に関わる個人情報などをさらに流出させたと主張していることを確認したと発表した。以下がカドカワが発表したニュースリリースの抜粋である。
<当社グループでは、データセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩の可能性について調査を開始しており、現在も継続中です。/その最中、当該ランサムウェア攻撃を行ったとする組織が、当社グループが保有する情報を流出させたと主張しています。/当社グループは、当該組織の主張内容の信憑性について現在確認中ですが、同組織が公開した情報を確認したところ、当社にて保有する一部情報の漏洩が確認されました>(カドカワニュースリリース『ランサムウェア攻撃による情報漏洩に関するお知らせとお詫び』6月28日)
<当社グループでは、「ニコニコ」を中心としたサービス群を標的として、ランサムウェアを含む大規模なサイバー攻撃を受けた事案が発覚した後、直ちに対策本部を立ち上げ、外部専門機関などの支援を受けながら、情報漏洩について鋭意調査を続けております。その最中、この攻撃を行ったとされる組織が、当社が保有する情報の一部を漏洩させたとする旨の主張があり、当該組織が公開した情報の検証を鋭意進めております>、<当社のグループ会社である株式会社ドワンゴが教育コンテンツ・システムを提供する学校法人角川ドワンゴ学園に関する一部情報の漏洩の可能性が高いことも確認されました。関係するすべての皆様には、多大なるご心配とご迷惑をおかけすることになり、心より深くお詫び申し上げます>(カドカワニュースリリース『ランサムウェア攻撃による情報漏洩に関するお知らせとお詫び』7月3日)
「ニコニコ動画」や書籍の出版を含むグループ全体の事業が大きく影響
カドカワは6月、グループ会社のデータセンターのサーバーが身代金要求型のコンピューターウイルス、いわゆるランサムウェアによるサイバー攻撃を受け、システム障害が発生した。この影響で、「ニコニコ動画」や書籍の出版を含むグループ全体の事業が大きく影響を受けている。
サイバー攻撃を行ったとするハッカー集団「ブラックスーツ」がネット上の闇サイトで、事業計画やユーザーに関わる情報など合わせて1.5テラバイト分のデータを盗み取ったと主張している。そして、カドカワが身代金の支払いに応じなければ、すべてのデータを公開すると脅迫していたのである。BlackSuitに脅迫されたカドカワが298万ドル(約4億7000万円)相当のビットコインを送金したこと、825万ドル(約13億円)の金銭を追加で要求されていることなどをニュースメディア「NewsPicks」が報じている。
ハッカー事情に詳しいコラムニスト・山野雄介氏はこう解説する。
ハッカー事情に詳しいコラムニスト「被害が拡大する可能性も」
「ハッカー側に対してカドカワが支払いを行ったという報道があったが、要求された身代金の満額を支払ったにもかかわらずデータを公開されたのか、身代金を値切った結果このような事態を招いたのかは不明な点に注意が必要。犯罪集団は、まだ全部を流出させていない可能性もあり、今後の展開次第では被害がさらに拡大する危険がある」
「ハッカー側は身代金を仮想通貨で求めている。情報流出発覚後に会社の株価が下がることを見越して、流出元の株をハッカー側が空売りするといったマネタイズ手段もあるがも身元発覚につながるリスクは仮想通貨よりも高い」
「今回の事件では、ピンポイントでカドカワが狙われたのか、片っ端から侵入を試みた結果カドカワに脆弱性があったのかという点は注目すべき点だ。情報漏洩事件ではハッカー側が社内の人間に報酬を支払って内通者に仕立て上げるケースもあるとされる」
他にも気になる報道があった。週刊文春 2024年7月11日号の立命館大学・上原哲太郎教授(情報理工学部)へのインタビューだ。
寄稿者たちからは不満の声「カドカワから何の説明もない」
<今回の被害を見る限り、顧客にサービスを提供するための開発システムと(財務や経理などの社内業務を扱う)基幹システムの双方を提供する社内クラウド基盤への侵入を許したようです。だからこそ、サービスから社内のシステムに至るまでサイバー攻撃を受けてしまった。これも開発者にとって便利なシステムを作っていたことの弊害ではないでしょうか>
私もかつてカドカワのサイトに寄稿したことがあり、いくばくかの原稿料をもらったのだが、その際に登録した住所などはいつ流出してもおかしくない状況ということだろう。現在、カドカワから流出されたと思しき、従業員の給料が明示された就労証明書や勤務証明書などをみると恐怖でしかない。私以外の寄稿者からもカドカワ側からこの件に関して一切連絡がないことに不安の声はあがる。とくに匿名で執筆活動している人からしてみれば死活問題にもなりうる。
本件において、カドカワは完全なる被害者であるが、もう少し取引先に対して丁寧に対応してほしいし、この事件を機にセキュリティを高めてほしいものだ。同社は流出情報をSNSなどで拡散する悪質行為について法的措置を徹底的に講じる方針だというが、われわれに対してもうちょっと説明があってもいいのではなかろうか。何が流出したのか、しなかったのか、「自分の目で確認したい」という気持ちはある。
カドカワとは関係のない企業、組織であっても、今後は、すべての情報やネットワークを一元管理することによって得られるメリットと、犯罪者によって攻撃を受けるリスクについて、よくよく考えなくてはいけないだろう。
マイナンバーカードは本当に大丈夫なのか
何より、ハッカーの危険が顕在化した今、マイナンバーについても改めて考えなくてはいけない。マイナンバー制度は、複数の機関に存在する特定の個人の情報を同一人の情報であるということの確認を行うための基盤というデジタル庁の説明の通りに、あらゆる情報がマイナンバーに紐づいていく。「いまはゴタゴタが起きているが将来的には行政コストが下がるからいいのだ」「国が見ることは法律としてできない」というが、悪意のあるハッカーに、セキュリティを突破されてしまえば、すべての情報が筒抜けになっていく。
単純に、ネット口座に振り込まされる、ロレックスの時計を勝手に買わせることはもちろん、出生地情報、家族関係、健康情報、資産状況が1箇所に集められていく危険を、マイナンバーは高めていくわけだ。こうした脅威は以前から指摘されてきたものだ。
<我々が恐れるべき(マイナンバーにおける)ハッカーは、金もうけ目的でもテロリストでも、大概は海外からです。先ほど述べたような行政の閉域系システムに侵入するのは、日本固有の事情に精通していないと困難で、それを色々調べてやるぐらいやったら、もっとほかの方法で目的を達成するほうが簡単ではないかと思います。ただ、情報を得るためのコストが高いというだけで、マイナンバーにひも付いている情報というのは大変価値があり、盗まれれば実害はあると思います>(プログラマー登大遊氏のコメント。朝日新聞、2022年1月17日)
デジタル庁の職員が内側からランサムウェアで、デジタル庁が攻撃にさらされてしまう可能性
これだけデジタル分野の情報の取り扱いについて問題が起きているのに、河野太郎デジタル大臣は、「イデオロギー的に(マイナカードに)反対される方は、いつまで経っても『不安だ』『不安だ』とおっしゃるでしょう。それでは物事が進みません」と一方的にマイナへの批判を「イデオロギー」だと片付けてしまった。悪意を持ったデジタル庁職員、もしくはデジタル庁職員のパソコンに侵入できる悪意ある犯罪者が、内部からセキュリティを破壊することは十分に考えられる事態だ。
能登地震の発災直後には「マイナンバーカードをお持ちの方は、スマートフォンからマイナポータルにログインすることで、御自身の過去の医療情報を確認し、普段飲んでいる薬の情報を避難所等で医師と共有することができます」などとXへ投稿したが、実際に被災地ではケータイの基地局が壊れて、デジタルは一切通用しない、電源も乏しいという状況になった。デジタル一筋に突き進む怖さが露わになった瞬間だった。
先の山野氏のコメントに従えば、デジタル庁の職員が内側からランサムウェアで、デジタル庁が攻撃にさらされてしまう可能性がある。「(iPhoneに搭載などで)便利になった、便利になった」と大袈裟に喜んで見せる”大本営発表”だけでなく、国民に危険性を周知する義務が、河野太郎大臣にはある。
