株式会社カプコンは、第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃を受け、グループが保有する個人情報流出の発生を確認。最大約35万件の個人情報が流出した可能性があることを発表し、経緯の説明と謝罪、問合わせ窓口の開設を行いました。
不正アクセスによる株式会社カプコン個人情報流出
2020年11月4日に「不正アクセスによるシステム障害発生に関するお知らせ」として、不正アクセスがあったことを発表していた株式会社カプコンが、その不正アクセスによって個人情報の流出があったことを、11月16日「不正アクセスによる情報流出に関するお知らせとお詫び」で発表しました。なお、ネット販売等における決済は全て外部委託しているため、クレジットカード情報の流出はないとのこと。
「不正アクセスによるシステム障害発生に関するお知らせ」の発表時点では顧客情報等の漏洩は確認されていないとしていましたが、翌日コンピュータヘルプサイトBleeping Computerが「Capcom hit by Ragnar Locker ransomware, 1TB allegedly stolen(カプコンがRagnar Lockerのランサムウェアに襲われ、1TBが盗まれた模様)」として報道。
その記事では「Ragnar Locker」という名の集団から個人情報や売上記録、契約書、財務会計関連の機密情報を盗み出した(暗号化した)という文章が送られ、証拠として盗まれたデータのスクリーンショット数枚のURLが添付されていたと記載されていましたが、今回の発表によって個人情報の流出が確定的なものとなりました。
Bleeping Computerに掲載された「Ragnar Locker」からの声明
盗難データの削除とセキュリティ報告書と引き換えに、ビットコインで1100万ドル(約11.5億円)を要求。
株式会社カプコンは、引き続きの調査と管理体制の強化、不正アクセスなどの犯罪行為に対し厳正に対処を行う姿勢を発表。今回の個人情報流出についての謝罪と共に、今後起こり得る不審な連絡や見に覚えのない郵便物等への注意喚起と、専用の問合わせ窓口の開設を行っています。
また、現時点でコンテンツ開発や事業遂行において支障はないと発表されており、自社製のゲームをプレイするためのインターネット接続やホームページ等へのアクセスによって、被害が拡大することはないとのこと。
カプコン発表の「発覚と対応の経緯」
- 11月2日未明に社内システムへの接続障害を確認、システムを遮断し被害状況の把握に着手しました。
- 今回の攻撃は、当社を標的としたランサムウェアを用いてサーバを破壊し暗号化するものであったことを確認しました。
- 「Ragnar Locker」を名乗る集団からのメッセージを確認し、身代金要求が判明し大阪府警に通報しました。
- 11月4日に「不正アクセスによるシステム障害発生に関するお知らせ」を公表しました。
- 11月12日に9件の個人情報および一部の企業情報の流出を確認しました。
- 流出が確認された情報9件に加え、流出可能性のある情報の範囲について調査を継続し、11月16日に開示しました。(本リリース)
今回の不正アクセスは、サーバ保存情報の暗号化やアクセスログの抹消を伴うもので、不正アクセスの調査、解析等に時間を要しました。
- 欧州GDPR監督官庁(ICO)、個人情報保護委員会(日本)にシステム障害の発生につき、報告しています。
- 対策ソフトを投入、疑わしい通信を遮断しつつ、サーバの再構築を実施し、復旧したサーバを基に各部署が保存していた情報の確認作業を実施(継続中)しています。
- 本件障害のシステム面における検証につきまして、外部のセキュリティ会社へ検証を委託ずみです。この検証結果については、別途公表する予定です。
- また、大手ソフトウェア企業、大手セキュリティ専門ベンダ、サイバーセキュリティに造詣の深い外部弁護士に状況を報告し、指導・アドバイスを得る体制といたしました。
情報の流出が確認された方、関係先にはご連絡を開始させていただくともに、その他窃取された可能性のある情報につき、引き続き調査を継続します。
この不正アクセスは、一部報道されておりますが、いわゆる「オーダーメイド型ランサムウェア」による「標的型攻撃」であり、当社を標的にして巧妙にサーバ保存情報の暗号化やアクセスログの抹消を伴うもので、不正アクセスの調査、解析等に時間を要しました。本日のご報告になりましたことをお詫び申しあげます。
皆様方宛にお心当たりのない郵送物が届く可能性や、不審な連絡が入る可能性がございますので、ご注意いただきますようお願い申しあげます。
流出が確認された情報
- 個人情報9件
- 元従業員の個人情報5件
(氏名・サイン2件、氏名・住所1件、パスポート情報2件) - 従業員の個人情報4件
(氏名・人事情報3件、氏名・サイン1件)
- 元従業員の個人情報5件
- その他
- 販売レポート
- 財務情報
流出の可能性がある情報
- 個人情報(お客様・お取引先等)最大約35万件
- 国内 お客様相談室 家庭用ゲームサポート対応情報(約13万4千件)
氏名、住所、電話番号、メールアドレス - 北米 Capcom Store会員情報(約1万4千件)
氏名、生年月日、メールアドレス - 北米 eスポーツ運営サイト会員情報(約4千件)
氏名、メールアドレス、性別 - 株主名簿情報(約4万件)
氏名、住所、株主番号、所有株式数 - 退職者およびご家族情報(約2万8千件)、採用応募者情報(約12万5千件)
氏名、生年月日、住所、電話番号、メールアドレス、顔写真等
- 国内 お客様相談室 家庭用ゲームサポート対応情報(約13万4千件)
- 個人情報(社員および関係者)
- 人事情報(約1万4千人)
- 企業情報
- 売上情報、取引先情報、営業資料、開発資料等
※ネット販売等における決済は全て外部委託。そのため、クレジットカード情報の流出はなし。
※流出した可能性のある情報の総数は、一部ログの喪失などから特定できないため、現時点で判明している最大数。
流出が確認された方、および可能性がある方への対応
個人情報の流出が確認された方には個別に連絡を行い、経緯・状況の説明を実施。また、個人情報流出の可能性がある方への対応として、専用窓口の開設が行われています。
- 日本:カプコン情報流出専用お問合わせ窓口(受付時間:10:00~20:00)
- ゲームユーザー問合わせ窓口 0120-400161
- 総合問合わせ窓口 0120-896680
- 北米:カプコンUSAカスタマーサポートページ
- URL:https://capcom.com/support
今後の対応
(1) 引き続き、日本・米国の警察当局との連携、関係各国の個人情報保護機関への適時報告を行いアドバイスを受ける体制を続けてまいります。
(2) 前述のとおり大手セキュリティベンダ等にも協力を依頼し、本件攻撃による障害の全容解明・再発防止に向け取り組んでまいります。
(3) すでに外部のセキュリティ専門家を交えた対策会議を開始しておりますが、今後外部専門家によるシステムセキュリティに関するアドバイザリー組織を新設し、再発防止に努めてまいります。
なお、当社ゲームをプレイするためのインターネット接続や当社ホームページ等へのアクセスにより、お客様や社外の皆様へ被害が拡大することはありません。
本件による当社グループの連結業績(2021年3月期)への影響は現時点で軽微と考えておりますが、改めて開示が必要な場合には、別途速やかにお知らせいたします。
皆様には、多大なるご心配とご迷惑をおかけしておりますことを、あらためてお詫び申しあげます。
当社では、今回の事態を重く受け止め、デジタルコンテンツを扱う企業として、再びこのようなことがないよう、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。何とぞご理解とご協力を賜りますようお願い申しあげます。
[wpap service="with" type="detail" id="B082MBLNYM" title="BIOHAZARD RE:3 Z Version 【CEROレーティング「Z」】"]
Source: 株式会社カプコン
コメント