カプコン、身代金を要求されていたランサムウェア攻撃にて、情報流出を確認したと発表。最大約35万件のさらなる情報流出の可能性も
カプコンは11月16日、同社の投資家向けサイトにて「不正アクセスによる情報流出に関するお知らせとお詫び」を掲載した。
同社は11月4日、不正アクセスによってシステム障害が発生したことを報告していたが、これは第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃だったとし、その結果同社グループが保有する個人情報が流出。また、保有しているほかの個人情報および企業情報も流出した可能性があることを確認したとのこと。
今回の不正アクセス攻撃においては、Ragnar_Locker Teamと名乗るグループが犯行声明を発表。Ragnar_Locker と呼ばれるランサムウェアによって、カプコンが持つシステム内のデータを暗号化すると共に、1TB以上の内部データを不正に取得したと主張していた。同グループは、盗んだデータを流出させると脅しながら、データの復号化ツールの提供を持ちかけ、1100万ドル(約11億5500万円)分のビットコインの支払いをカプコンに要求。しかしその後、同社が交渉に応じなかったとして、カプコンの内部資料とみられるデータを段階的に流出させた(関連記事)。
カプコンによると、11月2日未明に社内システムへの接続障害を確認し、システムを遮断した上で被害状況の把握に着手。その後、Ragnar_Locker Teamからの“身代金”の要求を確認し、大阪府警に通報したという。そして、11月12日になって情報流出を確認したそうだ。
同社は、元従業員の個人情報5件と従業員の個人情報4件、また販売レポートや財務情報の流出を確認したという。さらに、最大約35万件にのぼる国内外の顧客・取引先の個人情報や、社員・関係者の人事情報、売上情報や開発資料などの企業情報について、流出した可能性があるとしている。この中には、サポート対応したユーザーの氏名・住所・電話番号・メールアドレスや、株主の名簿情報などが含まれている。海外フォーラムでは、未発表タイトルに関する情報や、過去作のソースコードも流出しているとの指摘が見られるが、こちらについてはカプコンから具体的な言及はない。なお、ネット販売などでのクレジットカード情報の管理は外部に委託しているため、こちらの流出はないとのこと。
今後の対応についてカプコンは、まず情報流出が確認された個人・企業への個別の説明をおこなうとのこと。個人情報の流出の可能性がある人のために、情報流出専用の問い合わせ窓口も設置している。このほか、日本・米国の警察当局と連携をとりながら、関係各国の個人情報保護機関への適時報告をおこないアドバイスを受ける体制を続けるという。また、大手セキュリティベンダなどに協力を依頼して、攻撃による障害の全容解明と再発防止に取り組み、さらに外部専門家によるシステムセキュリティに関するアドバイザリー組織を新設するとのことだ。
なお、現時点ではコンテンツ開発や事業遂行において支障はないとしている。また、本件による同社グループの連結業績(2021年3月期)への影響は軽微と考えているとのこと。カプコンは、発表の最後にて以下のようにコメントしている。
皆様には、多大なるご心配とご迷惑をおかけしておりますことを、あらためてお詫び申しあげます。当社では、今回の事態を重く受け止め、デジタルコンテンツを扱う企業として、ふたたびこのようなことがないよう、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。