カプコンが不正アクセス攻撃を受け最大35万件の個人情報が漏洩した可能性、今後発表予定のゲームタイトルに関する情報なども漏洩か

2020年11月16日、カプコンが第三者からオーダーメイド型ランサムウェアによる不正アクセス攻撃を受けたことを発表しました。記事作成時点で流出したことが確認されているのは、従業員の個人情報4件および元従業員の個人情報5件の計9件と、販売レポートや財務情報などの情報のみですが、流出した可能性のある情報は最大約35万件にものぼるとのことです

不正アクセスによる情報流出に関するお知らせとお詫び | 株式会社カプコン
http://www.capcom.co.jp/ir/news/html/201116.html

すでに流出したことが確認されているのは、個人情報9件のみですが、顧客や取引先などの個人情報最大35万件分が流出した可能性がある情報として挙げられています。流出の可能性のある情報の詳細は以下の通り。

(1)個人情報(お客様・お取引先等)最大約35万件
・国内：お客様相談室 家庭用ゲームサポート対応情報(約13万4千件)
氏名、住所、電話番号、メールアドレス
・北米：Capcom Store会員情報(約1万4千件)
氏名、生年月日、メールアドレス
・北米：eスポーツ運営サイト会員情報(約4千件)
氏名、メールアドレス、性別
・株主名簿情報(約4万件)
氏名、住所、株主番号、所有株式数
・退職者およびご家族情報(約2万8千件)、採用応募者情報(約12万5千件)
氏名、生年月日、住所、電話番号、メールアドレス、顔写真等

(2) 個人情報（社員およびご関係者）
・人事情報(約1万4千人)

(3) 企業情報
・売上情報、取引先情報、営業資料、開発資料等

なお、カプコンによるとネット販売などにおける決済はすべて外部委託しているため、顧客のクレジットカード情報などの流出は一切ないとのこと。また、流出した可能性のある情報の総数は、一部のログ喪失などにより特定できない状況であるため、現時点で判明している最大数を記しているとカプコンは説明しています。

カプコンの説明によると、2020年11月2日未明に社内システムへの接続障害を確認し、システムを遮断。この際の調査で、カプコンを標的としたランサムウェアを用いた攻撃の存在が明らかになりました。なお、攻撃に使用されたランサムウェアは「サーバーを破壊し暗号化するもの」だったそうです。その後、「Ragnar Locker」を名乗る集団が、サーバー上の暗号化されたデータを複合化し、再び使用できる状態にしたい場合は身代金を支払うように要求してきた模様。

不正アクセス攻撃が発覚してから情報漏洩に関する報告が遅くなった理由としては、今回の攻撃は「いわゆる『オーダーメイド型ランサムウェア』による『標的型攻撃』であり、当社を標的にして巧妙にサーバー保存情報の暗号化やアクセスログの抹消を伴うもので、不正アクセスの調査、解析等に時間を要しました」とカプコンは説明しています。

カプコンがRagnar Lockerを名乗るハッキング集団による不正アクセス攻撃を受けたことを最初に報じたのは、テクノロジーメディアのBleepingComputerでした。BleepingComputerは2020年11月5日の時点で、「カプコンはアメリカ・日本・カナダの企業ネットワークから、1TBの機密データを盗んだと主張するランサムウェア攻撃に苦しんでいる」と報じていました。

Capcom hit by Ragnar Locker ransomware, 1TB allegedly stolen
https://www.bleepingcomputer.com/news/security/capcom-hit-by-ragnar-locker-ransomware-1tb-allegedly-stolen/

また、この時点でセキュリティ研究者のpancak3さんがRagnar Lockerによる攻撃に使用されたランサムウェアのサンプルを入手することに成功しています。同氏がRagnar Lockerのランサムウェアのサンプルを実行したところ、カプコンのコンピューター上で作成された「身代金を要求するメモ」にアクセスできるようになったとのこと。「身代金を要求するメモ」は以下の通りで、このテキストの中には「1TBを超える機密情報」、「銀行取引明細書や機密と分類された予算及び収益データ、税務書類」、「私的な企業内通信、電子メールやメッセンジャー上での会話、マーケティングプレゼンテーション、監査レポートなどその他多数の機密情報」なども含まれていると記されています。

盗まれた情報が本物であることを示すため、Ragnar Lockerは7つのスクリーンショットを公開しており、この中には従業員の解雇契約情報やパスポート情報、2020年8月におけるSteam上での販売レポート、銀行取引明細書、請負業者契約などが含まれます。以下はRagnar Lockerが盗み出したとされるカプコンの2020年8月におけるSteam上での販売状況をまとめたレポート。

なお、Pancak3さんはRagnar Lockerがカプコンのネットワーク上で2000台もの端末を暗号化したと主張しており、暗号化されたデータを復号するために1100万ドル(約11億円)相当のビットコインを要求していると語りました。

カプコンの大規模な情報漏洩に関する最新の報道では、カプコンの今後1年間のゲームリリース予定が明らかになったと報じられています。ゲームメディアのGame Informerによると、2021年発売予定となっているシリーズ最新作の「バイオハザード ヴィレッジ」は、2021年4月にリリースされるとのこと。また、バイオハザード ヴィレッジにはバトルロワイヤル要素やマルチプレイヤー要素が含まれる模様。加えて、OculusRift向けにバイオハザード4が発売される可能性もあるとのこと。他にも、Nintendo SwtichおよびPS4向けに「逆転裁判コレクション」、未発表プロジェクト「Reiwa」、コードネーム「Guillotine」のもとで開発が進められているNintendo Swtich向けの未発表タイトル、配信者向けに特別に設計された「シールド」と呼ばれるマルチプレイヤー型のシューティングゲームなどの存在も明らかになっています。このほか、すでに発表済みの「モンスターハンターライズ」と「モンスターハンターストーリーズ2 ～破滅の翼～」がPC向けにもリリースされる見込みだとのことです。

Massive Capcom Leak Reveals Resident Evil 4 Remake, A New Shooter, And More - Game Informer
https://www.gameinformer.com/2020/11/16/massive-capcom-leak-reveals-resident-evil-4-remake-a-new-shooter-and-more

なお、Ragnar LockerのホームページはTorネットワーク上の「p6o7m73ujalhgkiv.onion」に存在しており、Tor Browserを使えばアクセス可能。このホームページ上で、Ragnar Lockerはランサムウェアを用いた攻撃が自身の仕業であることを示すために、証拠となるスクリーンショットなどを公開しています。

Home Page of Ragnar_Locker Leaks site

・おまけ
カプコンにランサムウェアを用いた攻撃を仕掛けたRagnar Lockerは、ポルトガルの多国籍エネルギー企業であるEnergias de Portugal(EDP)に対しても大規模なハッキング攻撃を行ったことがあり、その際にも同程度の身代金を要求していました。

また、別のテクノロジーメディアであるSiliconANGLEによると、Ragnar Lockerは11月2日に「カンパリ」で知られるイタリアの飲料メーカー・ダビデカンパリ・ミラノに対してランサムウェアを用いた攻撃を仕掛けており、この攻撃の際にはFacebook広告を用いて身代金を要求していたことが明らかになっています。

Ragnar Locker gang uses Facebook ads to pressure ransomware victim into paying - SiliconANGLE
https://siliconangle.com/2020/11/10/ragnar-locker-gang-uses-facebook-ads-pressure-ransomware-victim-paying/