跳到正文
>_ITDITDWeb 安全平台

安全事故与漏洞

KADOKAWA / Niconico 勒索软件事件(2024)—— 为何被害蔓延全公司,以及网络分段与 BCP

2024 年 6 月,日本 KADOKAWA 集团遭勒索软件攻击:包括 Niconico 在内的众多服务停摆数月,约 25 万人的个人信息泄露。入侵口是窃取员工凭据的钓鱼。被害蔓延全公司的核心,是重要度迥异的系统同处一张网络、未做分段。本文只基于公开记录,讲解如何加固入口(抗钓鱼认证)、按重要度分段网络、并备好业务连续性(BCP)来防御。

发布于 2026-07-07 更新于 2026-07-07 3 分钟阅读

我们阅读真实发生的公开事故,不是把新闻重播一遍,而是从 「你的环境该如何防御」 的视角来解读。本文是基于 公开记录(企业官方声明、可靠报道) 的解说。出处列于文末,不含任何攻击复现步骤,也不含任何个人的可识别信息。

约 25 万人
信息泄露的人数
钓鱼
窃取员工凭据即为入侵口
停摆数月
Niconico 等停摆达数月
未分段
重要度不同的系统同处一张网
事故档案
目标
KADOKAWA 集团内部系统,以及关系方、在校生、员工等的个人信息(运营方:株式会社 KADOKAWA/Dwango 等)
发觉
2024 年 6 月 8 日凌晨(察觉集团服务连接故障,当天停止服务)
手法分类
对员工的 网络钓鱼 以窃取凭据 → 侵入内网 → 运行 勒索软件 并窃取数据(双重勒索)
影响规模
约 25 万人的个人信息泄露;包括 Niconico 在内的众多服务停摆数月,并波及出版与发行
根本原因
经钓鱼窃取凭据 + 重要度不同的系统同处一张网络(未做分段)使其蔓延全公司 + 侵入后的封控与业务连续性准备不足
真正的对策
抗钓鱼认证(MFA、通行密钥);网络分段 + 最小权限;业务连续性(BCP)、备份与恢复演练

发生了什么(用大白话讲)

勒索软件 会加密一个组织的系统以索要赎金,近来还越来越多地威胁公开窃取的数据。在 KADOKAWA,最初的入口是 针对某位员工的 网络钓鱼 伪造的登录页面之类 窃取了凭据,随后被用来侵入内部网络。

但让这起事件如此之大的,不是入口,而是 蔓延方式。 视频服务、出版核心系统、学园系统、官方网站——重要度和用途迥异的系统据称同处一张网络。 由于没有隔断,一处被侵入便 连锁波及一切。 结果,包括 Niconico 在内的众多服务 停摆数月,并波及出版与发行。比起入侵本身,是 一张扁平、未分段的网络 把被害扩大到了全公司规模。

像船的水密舱那样给网络做分段

大型船只把船体分成一个个 水密舱。若一处被撞破进水,也会 止于那里——船不会沉。网络也一样:把重要度和角色不同的系统拆分到 各自独立的区块(分段),并限制跨区块的通信,那么一处被攻陷也能 止于那里。 若把一切都放在一张网上,一个孔洞便会淹没整体。

攻击链也是一张防御地图

这是一条 每一步都有可拦截之处 的链。请把它读作 本可在何处被斩断,而非操作指南。

1. 钓鱼窃取员工的凭据

伪造的登录页面之类盗走了某位员工的 ID 和密码。

拦截:抗钓鱼认证(MFA、通行密钥);反钓鱼

2. 用凭据侵入内部网络

被盗的凭据打开了通往内部的路。

拦截:多因素认证;访问控制;可疑登录检测

3. 未做分段——被害蔓延全公司

重要度不同的系统同处一张网络,于是连锁波及。

拦截:网络分段;按重要度隔离;最小权限

4. 业务长期停摆、数据泄露(双重勒索)

主要服务停摆数月,被盗数据遭公开。

拦截:业务连续性(BCP);备份 + 恢复演练;不依赖付款

每一步都有可拦截之处。纵深防御是守住其中数处拦截点,而非一堵墙。

公开的时间线

  1. 2024-06-08

    凌晨,包括 Niconico 在内的集团服务发生连接故障;运营方(Dwango)停止受影响的服务并开始维护。
  2. 2024-06

    确认为勒索软件攻击。即便远程关停服务器,攻击者也会将其重新启动以继续扩散,因此物理切断电源与通信线缆以进行封控。
  3. 2024-07

    一个自称 BlackSuit 的团伙宣称犯案并泄露数据(双重勒索)。KADOKAWA 分阶段披露情况。
  4. 2024-08-05

    公布调查结果:约 25 万人的信息(在校生、监护人、员工、关系方)泄露。原因被说明为对员工的钓鱼。主要服务的恢复推进中。
  5. 2024-08–10

    分阶段恢复(官方网站与书籍相关在 8 月,Niconico 与门户在 10 月)。整体恢复耗时数月。

根本原因不只是「入口」——还有蔓延方式

把这起事件简单归结为「他们中了钓鱼」,就抓不住要点。入口固然该封堵,但真正要紧的是被侵入后被害能否 保持局部化——也就是 分段与业务连续性。

失守的构成

  • 员工认证被 钓鱼 攻破(多因素这道墙太弱)
  • 重要度不同的系统处在 同一张网络(未做分段)
  • 一处被攻陷便会 连锁波及一切 的结构
  • 面对 长期停摆 的业务连续性准备不足

守得住的构成

  • 抗钓鱼认证(MFA、通行密钥)加固入口
  • 按重要度做 网络分段,并配合最小权限
  • 把攻陷 封控在其区块内;防止蔓延全公司
  • BCP、备份与恢复演练 应对长期停摆

赎金替代不了业务连续性计划

勒索软件事件中,付赎金总能上头条,但 付款既不保证恢复,也不保证泄露就此停止(有报道指出,即便据称已付赎金,数据也未能完全恢复)。你要倚仗的不是付款,而是 事先做好的网络分段、备份和业务连续性计划(BCP)。平时 就决定「核心系统若停摆数周乃至数月,业务如何继续、如何恢复」,才能在危机时刻给你留下选择余地。(相关:Capcom 事件 中那台成为入口的旧型设备。)

你该如何防御

勒索软件不分规模地盯上各类组织。按优先级排列:

1

加固入口(抗钓鱼认证)

最初的入口往往是 网络钓鱼。为员工配上 多因素认证,并在可能之处采用像 通行密钥 这样抗钓鱼的方式,让伪造登录页盗来的密码进不了任何人的门。

2

按重要度分段网络

把重要度和角色不同的系统——视频、出版、学园、公司内部——拆分到 各自独立的区块,并限制跨区块的通信。若一处被攻陷,就 止于那里。 把它纳入你的 组织安全底线

3

备好业务连续性(BCP)、备份与恢复

在平时就决定「核心系统若长期停摆,业务如何继续、如何恢复」。持有离线/多版本的 备份,并 演练恢复。 以「付款不保证恢复」为前提来准备。

4

备好快速封控攻陷的手段

要能够 迅速隔离一个区块 并止住扩散(监控、EDR、流程)。有了分段,封控会更快、更有效。

这与本站自身的构建之道有何重叠

究其根本,这起事件把一切都放在一张网络上,一处被攻陷便连锁波及全公司。这恰是本站自身原则的镜像——缩小爆炸半径、隔离要害、纵深防御。 一张未分段的网络,与「一把 API 密钥能触及全部数据」或「单点故障」有着同样的危险。「加固入口、按重要度划分、并备好即使某处停摆也能持续运转」,是任何人在任何规模上都能落地的防御。

出处(公开记录)

本文的事实基于以下公开信息。不含攻击复现步骤,也不含任何个人的可识别信息——只提炼 防御的教训

  • 株式会社 KADOKAWA/Dwango 官方声明(关于勒索软件攻击与信息泄露的通知,2024)—— group.kadokawa.co.jp
  • 当时的报道(入口=钓鱼、网络分段的问题、以及恢复时间线,2024),基于一手披露

延伸阅读

FAQ

QKADOKAWA 事件为何会蔓延到全公司?
A

重要度和用途迥异的系统——Niconico 视频服务、出版核心系统、学园系统、官方网站——同处一张网络,未被恰当分段。由于内部没有隔断,一处被侵入便会连锁波及整个集团。入侵入口是窃取了员工凭据的钓鱼。

Q『分段』网络是什么意思,为什么有用?
A

就是把重要度和角色不同的系统拆分到<strong>各自独立的区块(分段)</strong>,并限制跨区块的通信。就像船的水密舱一样,一处进水也能<strong>止于那里。</strong>做了分段后,一台服务器被攻陷也不会轻易蔓延到其他区块。缩小被害的『爆炸半径』,是一项基础而强大的防御。

Q中小型组织能从中学到什么?
A

能:(1) 把重要系统与其余部分放在不同的网络/权限边界上;(2) 为员工采用抗钓鱼的认证(MFA、通行密钥);(3) 备好『核心系统长期停摆时业务如何继续』的计划(BCP),以及备份与恢复演练;(4) 以『付赎金也不保证恢复』为前提来准备。即便规模很小,把一切都放在同一张扁平网络上也是同样的危险。