資安事件與漏洞
KADOKAWA/Niconico 勒索軟體事件(2024)—— 為何災情蔓延全公司,以及網路分段與 BCP
2024 年 6 月,日本 KADOKAWA 集團遭勒索軟體攻擊:包含 Niconico 在內的多項服務停擺數月,約 25 萬人的資料外洩。入侵口是竊取員工憑證的網路釣魚。災情蔓延全公司的核心,在於重要度截然不同的系統共用同一網路——沒有做分段。防禦之道是加固入口(抗釣魚驗證)、依重要度將網路分段,並備妥事業持續(BCP),全文僅依公開記錄講解。
我們閱讀真實、公開的事故,不是把新聞重播一遍,而是以 「你要如何防禦這種攻擊?」 的視角來解讀。本文基於 公開記錄(企業官方聲明、可信報導)。出處列於文末;不含任何攻擊教學,也不含任何個人的可識別資訊。
- 目標
- KADOKAWA 集團內部系統,以及關係人、在校生、員工的個人資料(營運者:株式會社 KADOKAWA/Dwango 等)
- 發現
- 2024 年 6 月 8 日凌晨(察覺集團服務連線障礙,當日內停止服務)
- 規模
- 約 25 萬人的個人資料外洩;包含 Niconico 在內的多項服務停擺數月,並波及出版與發行
- 根本原因
- 網路釣魚竊取憑證 + 不同重要度的系統共用同一網路(未分段)導致蔓延全公司 + 入侵後的封鎖與事業持續準備不足
- 真正的解法
- 抗釣魚驗證(MFA、通行金鑰);網路分段 + 最小權限;事業持續(BCP)、備份與復原演練
發生了什麼(用白話說)
勒索軟體 會加密組織的系統來索要贖金,並且越來越常同時威脅公開竊得的資料。在 KADOKAWA,最初的入口是 針對員工的 網路釣魚。 透過假登入頁面之類的手法 竊取了憑證,再用它進入內部網路。
但讓這起事件如此龐大的,並不是入口,而是 蔓延方式。 影音服務、出版核心系統、學園系統、官方網站——重要度與用途截然不同的系統,據指出共用同一網路。 沒有隔板,一處被突破便 層層波及到整個集團。 結果,包含 Niconico 在內的多項服務 停擺數月,並波及出版與發行。比起入侵本身,是 一張未分段的扁平網路 把災情擴大到全公司規模。
把網路分段,像船的水密艙一樣
大型船舶會把船體分成一個個 水密艙。若某一艙破損進水,會 被封在那裡——船不會沉。網路也一樣:把重要度與角色不同的系統切分到 各自獨立的區段(segment)、並限制跨區段的流量,即使一處被入侵也能 止於那裡。 把一切放在同一張網路上,一個破口就會淹沒全部。
攻擊鏈也是一張防禦地圖
這是一條 每一步都有機會攔下 的攻擊鏈。請把它讀成 哪裡本可以被切斷,而不是操作教學。
1. 網路釣魚竊取員工憑證
假登入頁面之類的手法,盜走了員工的帳號與密碼。
攔截點:抗釣魚驗證(MFA、通行金鑰)、防釣魚
2. 用憑證進入內部網路
被竊的憑證打開了進入內部的門。
攔截點:多因素驗證、存取控制、可疑登入偵測
3. 未分段——災情蔓延全公司
不同重要度的系統共用一張網路,因而層層擴散。
攔截點:網路分段、依重要度隔離、最小權限
4. 事業長期停擺、資料外洩(雙重勒索)
主要服務停擺數月,被竊的資料遭到公開。
攔截點:事業持續(BCP)、備份+復原演練、不依賴付款
公佈的時間軸
2024-06-08
凌晨,包含 Niconico 在內的集團服務發生連線障礙;營運者(Dwango)停止受影響的服務並開始維護。2024-06
確認為勒索軟體攻擊。即使遠端關閉伺服器,攻擊者仍重新啟動以持續擴散,因此以物理方式切斷電源與通訊線路來封鎖。2024-07
一個自稱 BlackSuit 的集團宣稱犯案並外洩資料(雙重勒索)。KADOKAWA 分階段公佈情況。2024-08-05
公佈調查結果:約 25 萬人的資料(在校生、家長、員工、關係人)。原因說明為針對員工的網路釣魚。主要服務的復原持續推進。2024-08–10
分階段復原(官方網站與書籍相關於 8 月,Niconico 與入口網站於 10 月)。大致復原耗時數月。
根本原因不只是「入口」——而是蔓延方式
若把這件事草草歸結為「他們被釣魚了」,就抓錯了重點。入口固然該堵住,但真正關鍵的是被入侵後災情能否 止於一隅——也就是 分段與事業持續。
失守的架構
- 員工驗證被 網路釣魚 突破(多因素這道牆太弱)
- 不同重要度的系統共用 同一網路(未分段)
- 一處被入侵便 層層波及整體 的結構
- 面對 長期停擺 的事業持續準備不足
守得住的架構
- 抗釣魚驗證(MFA、通行金鑰)加固入口
- 依重要度做 網路分段,並搭配最小權限
- 把入侵 封鎖在其區段;防止蔓延全公司
- 以 BCP、備份與復原演練 應對長期停擺
贖金無法取代事業持續計畫
勒索軟體事件中贖金總是搶佔版面,但 付款既不保證復原,也不保證外洩就此停止(有報導指出,即使據稱付了贖金,資料仍未完全復原的案例)。你該倚靠的不是付款,而是 事前的網路分段、備份與事業持續計畫(BCP)。 在 平時 就決定好「核心系統停擺數週乃至數月時,事業如何持續、如何復原」,才能在危機時留有選項。(相關:Capcom 事件 中老舊 VPN 裝置成為入侵口的一段。)
你要如何防禦
勒索軟體不分規模都會下手。依優先順序:
加固入口(抗釣魚驗證)
最初的入口往往是 網路釣魚。讓員工採用 多因素驗證,並在可行處使用像 通行金鑰 這類抗釣魚的方式,讓假登入偷到的密碼進不了門。
依重要度將網路分段
把重要度與角色不同的系統——影音、出版、學園、公司內部——切分到 各自獨立的區段,並限制跨區段的流量。若一處被入侵,就 止於那裡。 把它納入你的 組織安全底線。
備妥事業持續(BCP)、備份與復原
在平時就決定好「核心系統長期停擺時,事業如何持續、如何復原」。保留離線/多版本的 備份,並 演練復原。 以付款不保證復原為前提來準備。
具備快速封鎖入侵的手段
要能 迅速隔離一個區段 並止住蔓延(監控、EDR、流程)。有了分段,封鎖會更快、更有效。
這與本站的打造方式重疊之處
這起事件的核心,是把一切放在同一張網路上,一處被入侵便層層波及整間公司。這與本站自身的原則——縮小爆炸半徑、隔離重要的東西、分層防禦——恰好互為鏡像。未分段的網路,與一把能觸及所有資料的 API 金鑰、或一個單點故障,危險是同一種。「加固入口、依重要度切分、即使某處停擺也能繼續運轉」,是任何規模、任何人都能落實的防禦。
出處(公開記錄)
本文的事實基於以下公開資訊。不含任何攻擊教學,也不含任何個人的可識別資訊——只談 防禦的教訓。
- 株式會社 KADOKAWA/Dwango 官方聲明(關於勒索軟體攻擊與資料外洩的公告,2024)— group.kadokawa.co.jp
- 當時的報導(入口為網路釣魚、網路分段的問題,以及復原時間軸,2024),基於第一手揭露
延伸閱讀
- 詞彙:什麼是勒索軟體(運作原理,以及能說「不」的防禦)/ 什麼是網路釣魚(斷開最初的入口)
- 實務:備份基礎(3-2-1 原則) / 組織安全底線(分段、最小權限)
- 案例:Capcom 勒索軟體事件(2020)(老舊 VPN 裝置與雙重勒索——不同的切入角度)
FAQ
QKADOKAWA 事件為何會蔓延全公司?
重要度與性質截然不同的系統——Niconico 影音服務、出版核心系統、學園系統、官方網站——共用同一網路,沒有做適當的分段。內部沒有隔板,一處被突破就波及整個集團。入侵口是竊取員工憑證的網路釣魚。
Q把網路「分段」是什麼意思,為什麼有效?
就是把重要度與角色不同的系統,切分到<strong>各自獨立的區段(segment)</strong>,並限制跨區段的流量。就像船的水密艙,即使一個艙進水也能<strong>被封在那裡</strong>。做了分段,一台被入侵的伺服器就不容易蔓延到其他區段。縮小災情的『爆炸半徑』,是基本而強大的防禦。
Q小型組織能從中學到什麼嗎?
可以:(1)把重要系統與其餘系統放在不同網路/不同權限邊界;(2)員工採用抗釣魚的驗證(MFA、通行金鑰);(3)備妥『核心系統長期停擺時,事業如何持續』的計畫(BCP),加上備份與復原演練;(4)以『付了贖金也不保證能復原』為前提來準備。即使規模再小,把一切放在同一張扁平網路上,危險是一樣的。