KADOKAWA、25万人の個人情報漏洩　N高生の学歴など

KADOKAWAは5日、ランサムウエア（身代金要求型ウイルス）を含むサイバー攻撃により25万4241人の個人情報の漏洩を確認したと発表した。通信制高校「N高等学校」「S高等学校」などの在校生や卒業生らの氏名や住所、学歴などが外部に流出した。同日、子会社のドワンゴの動画共有サービス「ニコニコ動画」は約2カ月ぶりに再開した。

KADOKAWAはこれまで情報漏洩について調査中としており、今回初めて外部に流出した件数を公表した。

全体の7割に相当する18万6269人は、N高などを運営する学校法人の角川ドワンゴ学園に関連する個人情報だった。在校生や卒業生、保護者、従業員らの氏名、住所、メールアドレス、口座情報などが含まれている。

このほか、ドワンゴや同社の関係会社の一部取引先、ドワンゴ全従業員の個人情報なども流出した。対象者には個別に連絡するほか、専用の相談窓口を設置した。クレジットカード情報の漏洩は確認されていない。

サイバー攻撃の原因については、現時点で経路や方法は不明としたが、大手セキュリティー専門企業の調査では「フィッシングなどの攻撃でドワンゴの従業員のアカウント情報が窃取されたと推察される」とした。このアカウント情報によって社内ネットワークに侵入されたという。

KADOKAWAではサイバー攻撃を受けて6月8日以降、グループの多くのサービスが利用できなくなった。

ニコニコ動画が8月5日に再開するなど、事業は正常化に向かっている。出版事業の書籍の出荷部数も8月中旬以降に平常時の水準に回復する見通しだ。

大規模なサイバー攻撃でバックアップを機能させられず影響は長期化した。情報セキュリティー大手のトレンドマイクロとCIO Lounge（大阪市）の調査によると、ランサムウエアによる業務停止期間は国内拠点で平均13日だった。KADOKAWAはその4倍以上の期間に及んだ。

同調査では過去3年間のランサムウエアによる法人の被害額は、身代金の支払いや被害範囲特定などの直接、間接のコストを含めて平均1億7689万円だった。KADOKAWAは業績について「精査中」としている。2024年3月期の連結売上高のうち出版・IP（知的財産）創出事業は5割超、ニコニコ含むウェブサービス事業は1割弱を占める。

警察庁によると、23年のランサムウエアによる被害は前年比14%減の197件だった。データの暗号化や窃取をし「対価を支払わなければ当該データを公開する」と対価を要求する二重恐喝が多い。

今回はサイバー攻撃を行ったとする組織が公開した情報がSNSで拡散し、議論を呼んだ。KADOKAWAは悪質な情報拡散が2日時点で963件に上ると公表した。刑事告訴など法的措置の準備を進めている。

企業のサイバーリスクへの対応に詳しい横浜国立大学リスク共生社会創造センターの野口和彦客員教授は「今回のような事業が長期間停止する被害はどの組織にも起こりうる」と指摘する。サイバー攻撃は巧妙になっており、「技術、経営の両面を理解したサイバーBCP（事業継続計画）を策定し、有事に総合的な判断を下せる最高情報セキュリティー責任者（CISO）といった人材が重要となる」という。