KADOKAWAグループで6月8日午前3時30分頃から発生しているシステム障害について、KADOKAWAは同14日、動画サービス「ニコニコ」に対するサイバー攻撃が原因だと発表した。ニコニコを運営するドワンゴ 取締役COO(最高執行責任者) ニコニコ 代表の栗田穣崇氏とニコニコサービス本部 CTO(最高技術責任者)の鈴木圭一氏が、「YouTube」で現在までの状況を説明。サービス再開には少なくとも1カ月以上を要するとの見通しを明らかにした。
「YouTube」で6月14日時点の状況を説明したドワンゴ 取締役COO ニコニコ代表の栗田穣崇氏(左)とニコニコサービス本部 CTOの鈴木圭一氏
鈴木氏によると、ニコニコのサービス基盤は、パブリッククラウドとKADOKAWAのグループ企業が運営するオンプレミスのデータセンターのハイブリッドクラウドで構成され、数百のサービスが連携する環境で運用されている。今回のサイバー攻撃の被害は、データセンター側で発生しているという。
ニコニコのサービスはハイブリッドクラウド構成といい、サイバー攻撃の被害はプライベートクラウド(オンプレミスデータセンター)で発生しているという
サイバー攻撃では、ランサムウェアを含む複数の手法が使われているといい、ランサムウェア攻撃については、データセンター内の多数のサーバーがランサムウェアによって暗号化されたことで不能になり、障害発生時からサービス停止に陥ったという。ドワンゴは、被害拡大阻止とデータ保全のため、すぐにリモートでデータセンター内の全てのサーバーをシャットダウンし、システム間接続を遮断する措置を講じた。
しかし、同社がサーバーをシャットダウンすると、攻撃者がリモートでサーバーを再起動させたりマルウェアの感染を拡大させたりするなど、攻撃が執ように続いたという。このため同社のエンジニアがデータセンターに直接入館して物理的にサーバーの電源を落とし、通信ケーブルを抜線して封鎖する措置を実施しているという。
今回はサイバー攻撃は、計画的かつ長時間にわたり執ように実行された可能性があるといい、サーバー機器の電源オフや通信ネットワークの抜栓など物理的な対処を強いられているという
また、調査対応のために現在は「歌舞伎座オフィス」も閉鎖して、原則出社と社内ネットワークの利用を禁止とし、リモートワーク体制で対応を進めているとした。
鈴木氏は、これまでも度々サイバー攻撃を受けているとし、システムの冗長構成やバックアップ、各種セキュリティ対策を実施していたが、今回はデータセンターの全てのサーバーが使用不能になる想定外の状況だったと説明した。
これまでの調査で、攻撃者がニコニコを標的として、長い時間をかけて計画的に攻撃を実行している可能性のある痕跡を発見したという。ランサムウェア以外にも複数の攻撃があり、社内システムの各所で問題が発生して業務が停止しているという。
鈴木氏によると、サイバー攻撃を受けていないパブリッククラウドで運用している動画システムとユーザー投稿などの動画データ、映像配信システム、生放送用システムは無事だという。ただし、生放送の動画を配信するシステムはデータセンターで運用していたため、被害が発生している可能性があるという。
また、データはバックアップしているものの、バックアップデータがランサムウェアによって暗号化されている恐れがあり、14日時点で被害状況は分からないとした。
状況調査が難航していることから、同日時点で正確な復旧時期は不明だとし、少なくとも1カ月以上を要する見通しだとしている。同日時点で想定している復旧作業の進め方は、(1)安全な環境の構築と状況把握、データの救出、(2)データの確認と復旧作業の計画、欠損したデータや構築情報、ソースコードの復旧、(3)サービスの再構築、(4)サービスの動作確認と連携テスト――の4段階で行う考えだとした。
6月14日時点の状況から検討している復旧工程案
鈴木氏は、従前と同じ環境を再構築しても再びサイバー攻撃を受ける恐れがあることや、追加のセキュリティ対策を講じる必要性があり、大規模なニコニコの環境を最初から作り直すのに等しい作業となることから、完全復旧までに長時間を要すると説明している。
