KADOKAWAとCDKを攻撃した「BlackSuit」とは

　KADOKAWAと、全米1万5000の自動車ディーラーに基幹ソフトウェアサービスを提供するCDKグローバルが受けたデータ暗号化ランサムウェア攻撃の結末を分析する前に、まず両社を標的にしたBlackSuitとはどんな犯罪集団なのかを簡単に説明する。

　このグループの起源は、2019年に結成された悪名高いロシア系ランサムウェア攻撃グループの「Conti」だ（図1）。Contiは、2022年2月のロシアによるウクライナ侵攻でロシア支持を表明した際に、メンバーの内部情報が敵国ウクライナのハッカー集団によってリークされ、解散に追い込まれた。


　その残党が「Royal」を結成し、さらに併存するBlackSuitへと姿を変えていった。米当局は、「BlackSuitがContiの直接の後継者である」との見方を示している。このグループの大きな特徴は、執拗に再攻撃を行うことで交渉中に身代金要求額をつり上げ、被害組織が身代金を支払う場合に「おかわり」を要求するケースがあることだ。

情報漏えいも起きてしまったKADOKAWA

　KADOKAWAの場合は、1.5TB（テラバイト）に及ぶ同社グループのデータが暗号化された。KADOKAWAはデータを取り戻すべくBlackSuitに対し、初回4億7,000万円相当の身代金を支払ったが、復旧できなかったと一部で報道された。

　BlackSuitは6月27日に、「1.5TBのKADOKAWAグループのデータを暗号化した」と主張。ダークウェブ上で楽曲収益化サービスを利用する一部クリエーターの個人情報や、元従業員が運営する会社の情報、取引先との契約書や見積書といった取引先情報、子会社であるドワンゴ全従業員の個人情報や社内向け文書といった社内情報、N高等学校などの在校生や卒業生、保護者の個人情報を公開し始めた。

　BlackSuitは「KADOKAWAに追加で800万ドル（約11億円）を要求したが、支払いに応じなかったため、交渉は決裂した」と主張した。

　一方、CDKグローバルにおいては当初1,000万ドル（約14億円）が要求され、交渉中に5倍の5,000万ドル（約70.4億円）につり上げられるという最悪の事態に発展した。ところが、最終的にはそれが半額の2,500万ドル（約35.2億円）に減額されて身代金が支払われ、その1週間後に同社のサービスは徐々に再開された。CDKグローバルはコメントを避けているが、この1回の支払いでデータが回復し、情報漏えいもなかったと推測されている。

　KADOKAWAとCDKグローバルに対してBlackSuitは、当初の要求額を大幅にエスカレートさせている。両社ともに、犯行グループとの交渉の詳細は発表を控えているため、何が実際に起こったかは不明だ。

　しかし、KADOKAWAとCDKグローバルがほぼ同じ時期に攻撃を受け、最終的に両社とも身代金を支払ったにもかかわらず、KADOKAWAはデータを取り戻せなかったばかりか、個人情報や企業機密も漏えいした。これに対しCDKグローバルは、支払った身代金の額が大きいと言えども、データを取り戻し、情報流出も回避できたという違いが特筆される。何がこの差を生んだのだろうか。

【次ページ】KADOKAWAとCDKの違いを生んだ「ある存在」