カプコンは1月12日、同社の投資家向けサイトにて「不正アクセスによる情報流出に関するお知らせとお詫び」の第3報を公開した。同社は昨年11月、不正アクセスによってシステム障害が発生したことを報告し、のちに第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃を受けていたと公表していた。
カプコンへの不正アクセス攻撃については、同社がシステム障害を報告した直後の昨年11月9日に、Ragnar_Locker Teamと名乗るグループが犯行声明を発表。サーバーなどシステム内のデータを暗号化して利用不可能にし、データを復旧させる代わりに金銭を要求するランサムウェア攻撃を実施したと主張した。また、その際に約1TB分のデータをダウンロードしており、これを流出させるとカプコンを脅し、1100万ドル(約11億5500万円)分のビットコインを“身代金”として要求。しかしカプコンが要求に応じなかったことから、個人情報や内部資料を含むデータが段階的に流出する事態となった(関連記事)。
カプコンは昨年11月16日に公開した第2報にて、元従業員の個人情報5件と従業員の個人情報4件などの流出を確認したとし、さらに顧客や取引先の個人情報最大約35万件についても流出した可能性があると報告していた。今回の第3報によると、調査を進めた結果新たに1万6406人分の個人情報の流出を確認し、流出した可能性のある件数についても約39万件に増加したとのこと。
具体的には、取引先など3248人の氏名・住所・電話番号・メールアドレスなどのうちひとつ以上、退職者および関係者9164人、また社員および関係者3994人の、氏名・メールアドレス・人事情報などのうちひとつ以上の流出を確認したという。さらに、売上情報・営業資料・開発資料・取引先情報などの流出も確認したとしている。一方流出の可能性については、採用応募者約5万8000人の氏名・住所・電話番号・メールアドレスなどのうちひとつ以上について、新たに確認したとのこと。なお、クレジットカード情報の流出はない。
カプコンは、個人情報および企業情報の流出が確認された対象者には、個別の連絡および経緯・状況の説明を順次開始しているという。また、流出の可能性がある情報については、引き続き調査をおこなうとのこと。
今後の対応については、日本・米国の警察当局と連携し、関係各国の個人情報保護機関への適時報告をおこないアドバイスを受ける体制を継続。また大手セキュリティベンダなどの協力のもと、本件攻撃による障害の全容解明・再発防止を進めていくとしている。さらに、外部専門家によるシステムセキュリティに関するアドバイザリー組織として、「セキュリティ監督委員会」の発足に向けた準備会を実施するとのことだ。
カプコンは、個人情報の流出の可能性がある人に向けた照会専用窓口を設置している。
日本:カプコン情報流出専用お問合わせ窓口
電話番号(フリーダイヤル):
ゲームユーザー問合わせ窓口 0120-400161
総合問合わせ窓口 0120-896680
受付時間:10:00~20:00
