KADOKAWA グループへのランサムウェア攻撃に起因した情報漏洩が発生した件について、具体的な数値が書かれたニュースリリースが発表されていた。ニュースリリースを読んで、そこに書かれていることから、いろいろ考えた。
起きたこと
6⽉8⽇に当社グループの複数のサーバーにアクセスできない障害が発⽣した事実を受け、早急に社内で分析調査を実施したところ、ニコニコを中⼼としたサービス群を標的として、当社グループデータセンター内の株式会社ドワンゴ専⽤ファイルサーバーなどがランサムウェアを含む⼤規模なサイバー攻撃を受けたものと確認されました。
「ランサムウェア」については、政府広報オンラインで説明をしている。
調査及び報告に至る経緯
当社グループでは本事案発⽣時以降、社外の⼤⼿セキュリティ専⾨企業の⽀援を受けながら、情報漏洩の可能性および漏洩した情報の範囲を把握するための調査を鋭意進めてまいりました。このたび現時点の調査結果として、下記が判明しましたので、ご報告いたします。また、個⼈情報保護委員会に対しても、本内容を報告しております。
個人情報保護委員会の話が書かれている。これも政府広報オンラインで調べると、「個人情報保護法」を分かりやすく説明する記事が載っていた。
上記の記事の見出し「5. 個人データの漏えい等が発生したときは?」に記載があるように、次のような漏えいなどの事案が発生した場合、または発生したおそれがある場合は、速やかに個人情報保護委員会に報告し、本人へ通知しなければならない。
要配慮個人情報の漏えい等
財産的被害のおそれがある漏えい等
不正の目的のおそれのある漏えい等
1,000 人を超える個人データの漏えい等
◆外部漏洩が発生したことを確認した情報
個人情報 合計: 254,241⼈
社外情報
株式会社ドワンゴ関連の下記情報
N中等部・N⾼等学校・S⾼等学校の在校⽣・卒業⽣・保護者・出願者・資料請求者のうち、一部の⽅々の個⼈情報
学校法⼈⾓川ドワンゴ学園の⼀部元従業員の個⼈情報
社内情報
株式会社ドワンゴ関連の下記情報
学校法⼈⾓川ドワンゴ学園の⼀部従業員の個⼈情報
企業情報など
社外情報
株式会社ドワンゴ関連の下記情報
社内情報
株式会社ドワンゴの法務関連をはじめとした社内⽂書
下記情報と書かれている内容を PDF で確認した。「要配慮個人情報の漏えい等」「財産的被害のおそれがある漏えい等」に相当するものは無かったように見受けられた。その点では、「不正の目的によるおそれがある漏えい等」「1,000 人を超える個人データの漏えい等」の二つには当てはまっている。
既報の通り「ニコニコ」サービスを含む当社グループの顧客のクレジットカード情報につきましては、社内でデータを保有していないため、当社グループからの情報漏洩は起こらない仕組みとなっております。
なお、ニコニコユーザーのアカウント情報(ログインメールアドレス、ログインパスワード)、およびクレジットカード情報につきましては、株式会社ドワンゴからの情報漏洩は確認されておりません。
◆対象者の皆さまへのお知らせ
個人情報保護委員会への報告(速報と確報の2回)のほかに、本人への通知義務があるので、この項の内容は大事。
外部漏洩が発⽣したことを確認した皆様に対して、個別にお詫びとお知らせを送付させていただきます。また、本件について専⽤のお問い合わせ窓⼝を設置しております。なお、個別にご連絡がつかない皆様には、本発表を以て、通知とさせていただきます。
この「個別に連絡がつかない皆様には、~」は、憶えておいてもよさそうな言い回しだと思った。また、対象者の立場に合わせて 3 つの専用窓口を用意するのは、大変分かりやすいと感じた。
ご⾃⾝の情報が公開されている場合は、上記の窓⼝へご連絡ください。お⼿数ですが、ご連絡の際には、どの場所で、どの情報が、どのように公開されていたかの詳細を具体的にお知らせいただけますようお願い申し上げます。ご連絡いただいた情報に基づき各プラットフォームに削除申請を⾏います。しかし、即座の削除がなされないケースも多く、⼤変⼼苦しいのですが、ご⾃⾝でも削除申請を併せて⾏っていただくようお願い申し上げます。
「どの場所で、どの情報が、どのように公開されていたか」は、この先、自分自身が個人情報の漏えい被害に遭った場合に、記録をとる際のポイントになる。また、削除申請について「大変心苦しいのですが」と言っている点が、私は好感を持てた。
◆原因と対策
原因
社外の⼤⼿セキュリティ専⾨企業の調査によると、現時点ではその経路および⽅法は不明であるものの、フィッシングなどの攻撃により従業員のアカウント情報が窃取されてしまったことが本件の根本原因であると推測されております。窃取されたアカウント情報によって、社内ネットワークに侵⼊されランサムウェアの実⾏および個⼈情報の漏洩につながることとなりました。
ひょっとしたら個人で使っている何かとパスワードが同じものを使いまわしているのかもしれない。具体的に「この人」と標的が定められて、窃取されたのかもしれない。セキュリティに詳しい方々は、ここの記述に結構モヤモヤしているみたいで、そういうポストを見かけた。
ただ、KADOKAWA グループとしては、「根本原因が何かを断定すること」よりも、現時点で優先すべき対応事項が別にあるから、いったんはこの書き方で良しとしたのだと、私は思う。
対策
当社グループでは、これまでも情報セキュリティを重視し対策を講じてきましたが、今回のインシデントを防ぐことができませんでした。この事実を重く受け⽌め、再発を防⽌すべく社外の⼤⼿セキュリティ専⾨ 企業による助⾔およびチェックを受けながらさらなる対策を講じてまいります。
「今回のインシデントを防ぐことができませんでした」とはっきり言い切る(認める)ことって、簡単そうでなかなか難しい気もしている。それをしっかり書いたのはえらいなと思った次第。
◆業績影響
現在精査中とのこと。いずれこの点にフォーカスした開示があるだろう。ビジネスに関する影響度を算出することは、かなり大事なことだと思っている。
さらっと、2行しか書いていないが、これで終わるわけがない。何故なら、後続の項目「⼆次被害またはその恐れの有無およびその内容」に深く関係する内容でもあるからだ。損害賠償請求を行う場合もあるだろうし、その結果、訴訟にまで至る例もあるだろうから。
◆⼆次被害またはその恐れの有無およびその内容
これこそが、このプレスリリースの最重要ポイント。この項の冒頭には、このように書かれている。
匿名掲⽰板やSNSなどで、サイバー攻撃を⾏ったとされる組織が公開したものとして、情報を拡散する⾏為が確認されています。当社グループでは、情報の拡散⾏為を⾏う者に対して、株式会社KADOKAWA、株式会社ドワンゴ、学校法⼈⾓川ドワンゴ学園の横断対策チームによる措置を強化しております。
現在、弁護⼠と協議の上、SNS・匿名掲⽰板・各種まとめサイト上での巡回監視や情報提供に基づき、悪質な情報拡散⾏為などに該当するものと認識した書き込みを特定し、運営者への申請を通じてこれらに対する削除要請および情報開⽰請求を鋭意進めています。また、スパムメールなどの迷惑⾏為についても警察と連携して対処しております。現時点での進捗を下記の通りご報告いたします。
当社グループは、関係するすべての皆様の⼆次被害を最⼩限に抑え、プライバシーをはじめとする権利利益を保護するために、厳正に対応してまいります。
かつて、これに類する行為をいわゆる「祭り」と称して遊んでいた層がいたような気がするが、時代的にはもう合ってないんだろうな、と思う。そして、今はかつてに比べると「私」に意識が向きすぎている二極があるように、見受けられた。
一方は「正義感に突き動かされてやっている」例。このようなことが行われている・公開されている、そのような卑劣な行為そのものが許せない! or こんな情報漏えい事件を起こす会社は許せない!みたいなパターン。自分の色・考えを世に訴えて、それを認めてほしいんだろうな、という感じ。
もう一方は、「インプレッションを稼ぎたい・[自分発信でやっていることじゃないのに]万バズ欲しい」例。別に倫理観とかは割とどうでもよくて、「こんなすごいことを見つけちゃった、自分」みたいな感じで、自分自身のアカウントやポストに周囲のスポットが当たって注目されればよい、という感じ。
どちらも共通しているのは、「私」というか「我欲」というか、そういうものの強さ。そういったものが満たせさえすれば、交通事故の起こった瞬間でも、誰かが起こした犯罪の瞬間でも、ランサムウェア被害の実態でも、何でも良いんじゃないのかな、という感じすらしている。
そういう意味ではですね(極めて不謹慎な事を言いますが)
かつてバイトテロ動画や醬油を舐めた動画みたいな「自らの行動を以て起きていることを、発信する」ことで良くも悪くも注目を浴びているなら、自身によって発する責任に基づいてそれを負う形になるので「責任の取り方」という点で言えば、まだまともな気がする(こう書いているが、私はこれらの行動を容認していない)。
ところが、「他人が被害を受けている」とか「他人が大変な状態にある」とかいった「『他人の行動や状況を以て起きていることを、発信する』ことで、自らのアカウントやポストに注目を浴びさせるように周囲を誘導しておいて、その責任は全く負わない」のは、悪質かどうかは置いておいて、かなりみっともない気がしている。
本題に戻る。この点についてどう書かれているか見ると、かなり具体的な件数が挙げられている。
悪質と認識した情報拡散⾏為などの件数(8⽉2⽇時点)
株式会社ドワンゴ :896件
学校法人角川ドワンゴ学園:67件
削除要請および情報開⽰請求について
削除要求
「悪質と認識した書き込みに対して、SNSおよび匿名掲⽰板の運営者に削除要請を⾏っていて、既に複数の投稿については削除が確認されている」と書かれている。
発信者情報開示請求
「発信者情報開⽰請求を開始した」と書かれている。また「特定した発信者には厳正な法的措置を講じる準備を進めている」と書かれている。
刑事告訴・刑事告発について
「悪質性の⾼い情報拡散者に対しては、証拠保全の上、削除済みの書き込みも含めて刑事告訴・刑事告発などの法的措置に向けた作業を進⾏中」と書かれている。
書いてある以上、実際に進めていることが強く推測される。それぞれ、どういったサービスで何件確認したかを書いているところを見ると、ランサムウェア被害に遭ってしまったことそのものよりも、むしろ此方の悪質行為に対する怒りの方が強いのではないかと思う。
◆漏洩情報の拡散⾏為などに関する注意喚起
他者の個⼈情報を不正に発信する⾏為は、その⾏為⾃体が法的に罰せられる可能性があります。さらに、そのような⾏為は情報漏洩の被害を拡⼤させ、多くの⽅々の⽣活や事業活動に重⼤な影響を及ぼすだけでなく、今後の類似犯罪の増加を招く恐れがあります。また、漏洩情報の拡散⾏為に加えて、本事案の関係者への脅迫めいた書き込みも確認されており、さらに深刻な被害を引き起こす可能性があります。フェイク情報の発信、誹謗中傷⾏為も違法です。これらの⾏為は絶対におやめください。
お客様をはじめ関係するすべての皆様に多⼤なるご⼼配とご迷惑をおかけしておりますことを、重ねて深 くお詫び申し上げます。
当社グループは、悪質な情報拡散⾏為などの不正⾏為に対して断固たる姿勢で臨み、関係者のプライバ シーと安全を守るために、引き続き全⼒を尽くしてまいります。また、今回の事態を重く受け⽌め、原因の究明を進めるとともに、セキュリティ体制の⼀層の強化徹底を図り、再発防⽌に全⼒を尽くしてまいりま す。
このプレスリリースの最終段落。「当社グループは、悪質な情報拡散⾏為などの不正⾏為に対して断固たる姿勢で臨み」という決意表明が、セキュリティ対策の話よりも先に書かれている。現在の KADOKAWA グループにおいては「ランサムウェア攻撃を受けたことそのもの」よりも、「『⼆次被害またはその恐れ』への対応」の方が重要度が高いことを示しているし、その判断は正しいと思う。