以前にニコニコ生放送(KADOKAWA)が被害に遭いましたよね?
これは当然、海外からの攻撃だと思いますが、
攻撃者の目的は何でしょうか?
以前、身代金のような要求があったと聞きましたが、
身代金を払って一時的に復旧させたとしても、
脆弱性は変わらないため、同じ攻撃の繰り返しになるので、
拒否してサーバーを再構築し、セキュリティを強化した方が良いですよね?
また、クレジットカード情報を狙う場合でも、
多くのサイトでは決済専門の提携サイトを利用しているため、
攻撃されたサイトにカード情報が保存されているとは限りませんよね?
ある程度の会員情報は入手できると思いますが、
それだけのために大規模な攻撃をするのでしょうか?
本当の目的は何なのでしょうか?
事件の概要(ウマニティの場合)
発生日時
2025年9月29日正午に不正アクセスを確認。
同日17時30分にサイトを閉鎖し、調査・システム再構築を実施。
攻撃手法: 画像ファイルを装った不正アクセスが主で、
大規模なサービス妨害(DDoS)攻撃の試みも確認。
サーバーへの侵入を許した形ですが、
具体的なマルウェア(例: ランサムウェア)の使用は公表されていません。
被害状況
現時点で会員情報の流出は確認されていないものの、
可能性を否定できないため、
JRA PAT連携ユーザーへの暗証番号変更を推奨。
9月26日以降のアップロード画像は安全優先で削除済み。
対応
10月3日正午にサービス再開。
外部専門家・関係機関と連携し、セキュリティ強化を継続。
この事件は、競馬予想サイトとしてユーザー情報を扱うため、
個人情報(メールアドレス、競馬関連の認証情報など)が狙われた可能性が高いです。
X(旧Twitter)上でも、ユーザーから「サイバーテロ」
「サーバー攻撃」との声が上がっていますが、
公式発表では身代金要求などの具体的な脅迫は言及されていません。
ニコニコ生放送の過去事例との比
ご指摘の通り、KADOKAWA傘下の
ニコニコ動画・生放送は2024年6月8日に
大規模サイバー攻撃を受け、全サービスが停止しました。
攻撃内容
ランサムウェアによるデータ暗号化。
動画配信システムが被害を受け、
タイムシフト機能(過去放送の視聴予約)が使用不能に。
復旧に約2ヶ月かかり、2024年8月5日に生放送サービスが再開。
被害規模
動画データ自体は無事だった可能性が高いですが、
システム全体のダウンタイムが長く、ユーザー離れを招きました。
共通点
両者とも日本企業で、ユーザー生成コンテンツ
(画像・動画)を扱うため、脆弱なアップロード機能が悪用された点が似ています。
ウマニティも画像ファイルを装った攻撃だった点で、類似のベクター(侵入経路)です。
違い
ニコ生は明確にランサムウェアで身代金目的が疑われましたが、
ウマニティは侵入確認後の迅速な閉鎖で、暗号化被害を最小限に抑えたようです。
復旧までのダウンタイムもニコ生(2ヶ月)より短い(約4日)。
これらの事例から、日本企業の
エンタメ・ユーザー情報サイトが標的になりやすい傾向が見えます。
攻撃の目的
海外勢力の可能性と本当の狙い
ご質問の「海外からの攻撃だと思いますが、
相手は何が目的でしょうか?」について、
サイバー攻撃の多くは海外
(主にロシア・東欧・北朝鮮系の犯罪集団や国家支援ハッカー)
によるもので、日本企業はセキュリティ対策の遅れや
「標的のしやすさ」から狙われやすいです。
目的は多岐にわたりますが、
以下に主なパターンをテーブルでまとめます。
ウマニティの場合、身代金要求の公表がないため、
データ窃取が主目的と推測されます。
| 目的の種類 | 詳細説明 | ウマニティへの該当可能性 | 事例(日本企業) |
|---|---|---|---|
| 金銭目的(ランサムウェア) | データ暗号化後、身代金(ビットコインなど)を要求。払っても脆弱性が残り、繰り返し攻撃されるリスク大。拒否して再構築が推奨されるのはその通りです。 | 中(要求なしだが、侵入成功で暗号化の可能性)。ニコ生のように要求が出るケースも。 | KADOKAWA(2024年、ランサムウェア感染でサービス停止)。大手製粉企業(2021年、基幹システム暗号化)。 |
| データ窃取・販売 | 会員情報(メール、ID、パスワード)を盗み、ダークウェブで販売やフィッシング詐欺に利用。クレジットカード情報は、確かに決済提携サイト(例: GMOや楽天ペイ)で管理される場合が多く、サイト側に全データが残らないため狙いにくい。ただし、メールアドレスなどで間接的に詐欺を仕掛ける。 | 高(流出未確認だが、競馬ユーザー情報が価値あり)。大掛かりな攻撃で「その程度」か?→ 窃取データは長期的に利益を生むため、十分元が取れます。 | 名古屋港運協会(2023年、個人情報30万人漏洩)。コクヨ(2023年、ランサムウェアでデータ公開脅迫)。 |
| サービス妨害(DDoS) | サイトをダウンさせて混乱を招く。政治・競争目的の場合あり。 | 中(大規模アクセス攻撃確認)。 | 商工会議所団体(2023年、ランサムウェア併用で業務停止)。 |
| 諜報・国家目的(APT) | 機密情報収集。北朝鮮系が日本企業を狙う例多し。 | 低(競馬サイトのため、金銭寄り)。 | 大手自動車関連会社(2024年、サプライチェーン攻撃)。 |
本当の目的の推測
ウマニティの場合、画像ファイル経由
の侵入からデータ窃取が最も可能性が高いです。
身代金要求がないのは、攻撃者が
「静かにデータを抜いて逃げる」タイプか、
早期発見で阻止されたため。
海外犯罪集団の多くは金銭優先で、
日本企業を「低セキュリティで高リターン」と見なしています。
クレカ狙いについてはご指摘通り限定的ですが、
窃取したメールアドレスで「偽JRA通知」などのフィッシングを送り、
間接的に金銭を巻き上げるのが一般的です。
大掛かりな攻撃に見えても、
自動化ツールで低コストなので、
個人情報だけでも十分「儲かる」んです。
アドバイスユーザー側
お知らせ通り、不審メールの削除と暗証番号変更を。
JRA窓口(電話: 03-5050-1119)や
メール(security@umanity.co.jp)で相談を。
企業側
身代金払いは避け、
再構築+セキュリティ強化(多要素認証、定期監査)が正解。
ウマニティの対応は迅速で好例です。
全体として
日本企業全体でランサムウェア被害が
243社(2024年)と急増中なので、
バックアップとオフラインストレージの活用を推奨。
犯人を特定する事は出来ないのですか?
サイバー攻撃の主な発信国について
ウマニティのサーバー攻撃のようなサイバー攻撃
(不正アクセス、DDoS、ランサムウェアなど)の発信元として、
2025年現在の統計・報告から、
主に国家支援のハッカー集団や犯罪組織が関与するケースが多く、
以下のような国々が上位を占めています。
これらはIP追跡、攻撃パターン分析、
国際機関の報告に基づくものです。
注意点として、攻撃の多くはVPNやプロキシ経由
で発信国を隠蔽するため、正確な特定は難しく、推定値です。
主な発信国ランキング(2025年上半期の傾向)順位
1位
中国
約30-40%(国家支援型)
先端技術やインフラを狙った情報窃取が主。
MirrorFace集団のようなAPT(Advanced Persistent Threat)が日本企業を標的に。
2位
ロシア
約20-30%(犯罪集団・国家支援)
ランサムウェア(例: LockBit)が急増。
東欧系ハッカーが多く、ウクライナ関連の
ハイブリッド戦でDDoSも。2025年Q1の攻撃元IPで上位。
3位
北朝鮮
約10-15%(国家支援)
金銭目的のランサムウェアやフィッシング。
Lazarus集団が日本企業を狙う。
4位
イラン
約5-10%(国家支援)
中東紛争関連の報復攻撃。
イスラエル・米国標的だが、日本も間接的に。
5位
アメリカ・東欧諸国(ウクライナ含む)
約10%(混在)
IP経由の攻撃元として上位だが、多くは中継地。
犯罪集団や報復攻撃。
全体傾向
中国・ロシア・イラン・北朝鮮の4カ国が
全サイバー作戦の77%を占めるという報告もあり、
これらは国家レベルの支援が疑われます。
日本向け攻撃では、中国系集団のインフラ標的化が目立ち、
2025年上半期の国内報告でもDDoSや情報窃取の多くがこれら起源。
サイバー攻撃の相手特定について
サイバー攻撃の相手(攻撃者)は、
たいていの場合、完全に特定しにくいのが実情です。
理由は以下の通りです。
追跡の難しさ
攻撃者はVPN、プロキシサーバー、ボットネット
(感染したPCのネットワーク)を使ってIPアドレスを隠蔽します。
発信元が「アメリカ経由」など中継地に見えても、
真の起源(例: 中国やロシアのハッカー集団)
が特定されるまで数ヶ月かかるケースがほとんど。
国際的な壁
国家支援の攻撃(APTなど)は、
外交問題になるため、証拠があっても公表を控える企業が多い。
犯罪集団の場合も、ダークウェブでの匿名取引が主流。
成功例の少なさ
稀にFBIやInterpolの捜査で逮捕される
(例: 2024年のLockBit集団メンバー逮捕)ものの、全体の1%未満。
ウマニティのようなケースでは、
侵入経路(画像ファイル経由)は分かっても、
誰がやったかは「海外系犯罪集団の可能性が高い」程度の推測止まりです。
企業はログ分析や専門家(例: ファイア・アイ社)
に頼りますが、予防が最優先になります。
