Ubisoftが社内ソフトウェアや開発者ツールがデータ漏えいした可能性を受け調査を開始

アサシン クリードシリーズやFar Cryシリーズなどで知られるフランスのゲーム企業・Ubisoftが、社内ソフトウェアや開発者ツールがオンライン上に流出した可能性を受け、調査を開始したことを明らかにしています。

Ubisoft says it's investigating reports of a new security breach
https://www.bleepingcomputer.com/news/security/ubisoft-says-its-investigating-reports-of-a-new-security-breach/

Ubisoft Probes Potential Data Breach After Alleged Internal Software Leak
https://gamerant.com/ubisoft-data-breach-leak/

Ubisoft reportedly shutdown a "data security incident" earlier this week | Eurogamer.net
https://www.eurogamer.net/ubisoft-reportedly-shutdown-a-data-security-incident-earlier-this-week

Ubisoftがセキュリティ侵害を受けたと指摘したのは、マルウェアのソースコードなどを公開するセキュリティ研究集団のVX-Undergroundです。VX-Undergroundによると、2023年12月20日に未知の脅威アクターがUbisoftのネットワークに侵入し、データを盗み出したそうです。この脅威アクターは約48時間にわたってUbisoftのネットワークにアクセスすることに成功し、約900GBのデータを抜き出そうとした模様。ただし、どの程度のデータを実際に盗み出すことに成功したのかは不明です。

この脅威アクターはどのようにしてUbisoftのネットワークにアクセスしたのかについて明らかにしなかったものの、Ubisoftの社内ツールや従業員間で行われていたチャットなどにアクセスすることに成功したことを示唆しています。なお、脅威アクターはレインボーシックス シージのユーザーデータにもアクセスしようとしたそうですが、VX-Undergroundいわく「この試みは失敗した」そうです。

攻撃者はUbisoftのSharePointサーバー、Microsoft Teams、Confluence、MongoDB Atlasにアクセスし、スクリーンショットを撮影して共有しています。なお、MongoDB Atlasは2023年12月中旬にサイバー攻撃を受けたばかりですが、今回のセキュリティ侵害とは関連していない模様。

セキュリティメディアのBleepingComputerがUbisoftに問い合わせたところ、同社は「データセキュリティインシデントの疑いがあることを認識しており、現在調査中です。現時点でこれ以上共有できることはありません」とコメントしたそうです。

なお、Ubisoftは2020年にランサムウェアグループのEgregorからサイバー攻撃を受け、ウォッチドッグス レギオンのソースコード560GB分をデータ漏えいさせられるというセキュリティ侵害を経験しています。

直近では2023年12月にソニー傘下のゲームスタジオInsomniac Gamesがランサムウェア攻撃を受けており、200万ドル(約2億8000万円)の身代金支払いを拒否したところ、盗み出された1.67TBものデータがオンライン上に漏えいしました。

ソニー傘下のゲームスタジオ「Insomniac Games」から開発中のゲーム情報を含む1.6テラバイトのデータが流出、スパイダーマン新作など開発中のゲーム情報が明らかになってしまう - GIGAZINE