情報システム部でセキュリティを担当している城咲子です。
2025年11月、アニメファンのインフラとも言える「バンダイチャンネル」が、外部からのサイバー攻撃により全サービスを停止する事態となりました。
このインシデントで最も特異だったのは、**「不正侵入されたアカウントが、勝手に退会させられる」**という現象です。通常、攻撃者はアカウントを乗っ取って「タダ乗り」や「転売」を目論むもの。自らその価値を捨てるような「退会処理」になぜ走ったのか?
今回は、11月22日時点の最新情報を踏まえ、CISO(最高情報セキュリティ責任者)やセキュリティエンジニアの視点から、この不可解な攻撃の裏側をプロファイリングします。また、企業が講じるべき防衛策について、既存の技術解説記事とも絡めながら深掘りします。
- 1. インシデントの全容:タイムラインと事実関係(2025/11/22現在)
- 2. なぜ「退会」させたのか? 専門家による3つの仮説
- 3. 「全サービス停止」という判断の是非
- 4. 過去のインシデントとの比較:標的の変化
- 5. 私たちが学ぶべき対策:パスワードの終焉
- まとめ
1. インシデントの全容:タイムラインと事実関係(2025/11/22現在)
当初は「システムの不具合」と思われていた事象が、いかにして「全サービス停止」という経営判断に至ったのか。11月19日の公式発表を含めた最新の時系列を整理します。
| 日時 (2025年) | フェーズ | 発生事象および対応詳細 |
|---|---|---|
| 11月4日 | 予兆検知 | 一部の利用者から「操作していないのに退会済みになっている」との報告が相次ぐ。当初はシステム不具合と認識し、被害拡大防止のため「退会機能」のみを停止。 |
| 11月6日 23:30 |
緊急遮断 | 調査過程で外部からの不正アクセスによる攻撃と断定。単なるバグではなく「攻撃者による意図的な操作」の可能性が高まったため、情報保護とデータ整合性の維持を最優先し、視聴・ログイン・新規登録を含む全サービスの緊急停止を断行。 |
| 11月7日 | 第一報 | 公式サイトおよびSNSにて、全サービス停止と「不正アクセスの疑い」を公表。 |
| 11月19日 | 詳細報告 (被害確定) |
調査の中間報告を発表。 1. 漏洩範囲の特定: メールアドレス、ニックネーム、バンダイナムココイン残高、決済手段(種類のみ)が参照された可能性を公表。クレジットカード番号やパスワード自体の流出は否定。 2. 攻撃性質: **「ランサムウェアによる被害ではない」**と明言。 3. 補償: 停止期間中の料金請求が発生しないよう措置を講じると発表。 |
| 11月22日 | 継続中 | サービス停止継続中。 原因究明と再発防止策の実装を行っており、再開時期は「未定(いましばらく時間を要する見込み)」とされている。 |
最新のファクト(11/19発表): 運営元は今回の件が「ランサムウェア(身代金要求型ウイルス)」ではないことを明確にしました。これは、攻撃がサーバーそのものの破壊ではなく、「ユーザーアカウント(アプリケーション層)」を標的にしたリスト型攻撃(クレデンシャルスタッフィング)であったという私の仮説を強く裏付けるものです。
引用元:
2. なぜ「退会」させたのか? 専門家による3つの仮説
ここが本記事の核心です。なぜ攻撃者は、自分たちの利益(アカウントの利用価値)を損なう「退会」という行動に出たのでしょうか?
【推論・仮説】A:攻撃ツール(Bot)の「設定ミス」説
私が最も可能性が高いと考えているのがこの説です。 攻撃者は「Sentry MBA」や「OpenBullet」といったクラッキングツールを使用し、ログイン成功後にそのアカウントが「有料会員(Premium)」か「無料会員(Free)」かを判定(パース)します。
- シナリオ: 攻撃者が作成したConfigスクリプトにバグがあった。
- 詳細: 本来は「会員ステータスを確認する」だけのつもりだったが、バンダイチャンネルのサイト構造(DOM)上で「退会ボタン」の要素指定を誤ってConfigに組み込んでしまい、Botがログインのたびに自動的に退会リクエスト(POST)を送信してしまった。
いわゆる「Script Kiddie(他人のツールを深く理解せずに使う攻撃者)」による自爆的なミスです。WAF(Web Application Firewall)による防御を回避しようと設定をいじっているうちに、誤動作を引き起こした可能性があります。
【関連記事】 Bot検知や誤検知のメカニズム、WAFのチューニングについては以下の記事で詳しく解説しています。
【推論・仮説】B:アカウント洗浄プロセスの失敗説
転売目的のプロによる犯行の場合、足がつきやすい「元の所有者の決済情報」を消去(退会)し、別の決済手段で再契約して「きれいなアカウント」として販売する手法(Laundering)が存在します。
- シナリオ: 退会処理までは自動化で成功したが、その後の再契約プロセスでクレジットカードの不正検知システムやWAFに引っかかり、エラーとなった。
- 結果: 「退会済み」のアカウントだけが大量に残骸として積み上がった。
【推論・仮説】C:愉快犯・破壊活動(Vandalism)説
金銭目的ではなく、最初から「サービスを混乱させること」が目的だった可能性です。この場合、サービスの可用性(Availability)を損なわせることがゴールとなります。
【関連記事】 サービスの「可用性」を守るための防衛戦略については、以下の記事が参考になります。
3. 「全サービス停止」という判断の是非
【ファクトに基づく考察】 バンダイナムコフィルムワークスは、11月6日深夜に「全サービス停止」という重い決断を下しました。 セキュリティ担当としては、これを**「英断」**と評価します。
もし、「意図しない退会」を放置していればどうなっていたでしょうか?
- データの完全性(Integrity)の崩壊: 誰が正規に退会し、誰が攻撃されたのか判別不能になる。
- 課金トラブルの泥沼化: サブスクリプションの解約処理が乱れ、カード会社との連携不整合が発生する。
一時的にサービスを止めてでもデータベースを保全・修復することは、結果として最短の復旧ルートになります。この判断は、BCP(事業継続計画)の観点からも正当化されます。
4. 過去のインシデントとの比較:標的の変化
バンダイナムコグループは、その知名度ゆえに過去にも攻撃を受けています。比較することで、脅威のトレンドが見えてきます。
| 発生年 | 攻撃主体・手法 | 標的・影響 | 教訓 |
|---|---|---|---|
| 2025年 | リスト型攻撃(Bot) | アプリケーション層 顧客アカウントの破壊・混乱 |
Bot対策とアプリロジックの堅牢化が必要 |
| 2022年 | ランサムウェア(ALPHV) | インフラ・社内NW 情報の暗号化・二重脅迫 |
ゼロトラスト・境界防御の強化が必要 |
| 2013年 | リスト型攻撃 | Web認証基盤 3万件超の不正ログイン |
パスワード依存からの脱却が未達 |
2022年の事例は「社内ネットワークへの侵入」でしたが、今回は「顧客アカウントへの直接攻撃」です。侵入後のラテラルムーブメント(横展開)を防ぐゼロトラストの考え方はインフラ防御に有効ですが、今回のような正規の認証情報を悪用したアプリケーション層への攻撃には、別の防御アプローチ(振る舞い検知など)が必要です。
【関連記事】 2022年の事例で課題となった、侵入を前提とした防御モデルについてはこちらで解説しています。
5. 私たちが学ぶべき対策:パスワードの終焉
今回の件で、「パスワードを使い回さないで」とユーザーに呼びかけるだけでは限界があることが改めて浮き彫りになりました。
企業側(サービス提供者)に求められる対策
- MFA(多要素認証)の強制化: 特に「退会」や「メールアドレス変更」などの重要アクション時には、必ず再認証(ステップアップ認証)を挟むべきです。
- 高度なBot検知: CDNエッジでのBot Managementを導入し、IPアドレス単位ではなく「振る舞い」でBotを遮断する必要があります。これはシステムのパフォーマンスを落とさずにセキュリティを高める有効な手段です。
- パスキー(Passkeys)への移行: パスワードそのものを無くすFIDO2認証への移行こそが、リスト型攻撃への根本的な解です。
【関連記事】 Bot対策を含むWebセキュリティとパフォーマンスの両立については、CDNの活用が鍵となります。
まとめ
今回のバンダイチャンネルのインシデントは、攻撃ツールの設定ミス(推測)が、企業の事業継続性を脅かすほどの影響を与えた特異な事例です。「勝手に退会させられる」というユーザー体験は最悪ですが、クレジットカード情報の流出を防げた点は、PCI DSS等の基準に準拠した一定の防御力が機能していた証左でもあります。
私たち情シス担当者も、「攻撃者は常に合理的に動くとは限らない(ミスもするし、破壊もする)」という前提で、防御シナリオを見直す必要があります。
