2020年11月4日、カプコンは第三者からの不正アクセスにより社内システムの一部に障害が発生したと発表しました。ここでは関連する情報をまとめます。
不正アクセス起因の社内システム障害(2020年11月4日 初報)
- 2020年11月2日未明より、カプコン社内のグループシステム(メールシステム、ファイルサーバー)の一部でアクセス障害が発生。
- 障害に関連して第三者からの不正アクセス行為が確認されていると発表。
- 2020年11月4日時点で顧客情報の流出は確認されていない。
- カプコン社ゲームをプレイするためのインターネット接続、自社サイトへの悪影響は発生していない。
- システム障害同日に大阪府警に被害を相談。*1
発掘されたマルウェアから標的型ランサム被害の可能性が浮上(2020年11月5日)
- 11月5日に海外テックメディア Bleeping computerがシステム障害にランサムウェア感染が関連していた可能性を指摘。
- 関連が指摘されたランサムウェアはRagnar Locker Ransomware。暗号化とデータ公開の二重脅迫を行ういわゆる標的型ランサムタイプ。
- セキュリティ研究者のpancak3lullz氏がカプコン社向けに作成されたとみられるランサムウェアの検体を発見し、(本来であれば当事者のみに示される)エビデンスより確認されたもの。*2
- カプコン広報は取材に対し、「詳細調査中であり影響を最小化するために対応している」とコメント。*3
- pancak3lullz氏が確認した情報によれば、犯行グループはカプコン社内の端末2000台の暗号化を主張しており、復号や窃取した機密データの削除、そしてセキュリティ侵害のレポートの対価として1100万ドル相当のBitcoinを要求しているという。発見者はこの情報を犯行グループに接触し聞き出した模様。*4
検体情報
カプコンのシステム障害との関連が疑われる検体は以下の通り。
| ハッシュ値 | 9416e5a57e6de00c685560fa9fee761126569d123f62060792bf2049ebba4151 |
|---|---|
| ファイル名 | 3.vmp.exe |
日付の整理
以下が公開情報より確認された日付。
| 日時 | エビデンス |
|---|---|
| 2020年10月21日 0時17分 | 関連が疑われる検体のコンパイル日時 |
| 2020年11月1日 20時56分 | 関連が疑われる検体のデジタル署名日時 |
| 2020年11月2日未明 | カプコンでシステム障害が発生した日付 |
| 2020年11月4日 21時23分 | Virustotalへの検体サブミット日時 |
検体解析レポート
1TB超の機密データ窃取を主張
ランサムウェア感染後に表示される脅迫文には次の内容が記述されていた。
- 日本、米国、カナダのネットワークにある全サーバーに接続でき,1TB超の機密データを入手したこと。
- 会計関連、知的財産、取引先や従業員情報、電子メールや監査レポート等が含まれること。
- 取引に応じない場合、すべてのデータがオークションを経て公開、または販売されること。
侵害成功の証拠として一時リークサイト*5上に複数の情報が掲示された。*6
- 7枚のスクリーンショット(ADやNAS接続、社内ファイル、パスポート等が伺える画像)
- 約20.4MBの圧縮ファイル(機密データやNDA情報と主張するファイル)
- 圧縮ファイル内の複数のファイルの更新日付は2020年10月29日21時~22時頃だった。10月29日以前からカプコンが侵害を受けていた可能性がある。
- 一時リークサイトの閲覧件数らしき数字も掲示されており、11月10日時点で約150と表記。(11月9日にリークサイトに掲示されたページは既に700件超)
リークサイトで暴露行為を開始
11月9日頃にRagner Lokcerのリークサイトでも同社に対する脅迫メッセージが投下された。
- 掲示されたメッセージはランサムウェア感染後に表示される内容と同等。
- 一時リークサイトで確認された画像、データ等のエビデンスはリークサイト上には11月10日時点では掲示されていない。
11月11日8時24分、一時リークサイトを公開ページに置き換え、元々掲示していた内容を含む詳細情報を公開。
- 最初の公開ファイルとして、11日午前中は67GBのファイルのリンクを掲載。*7
- 11日夜には当該ファイルのリンクを分割した別のファイルに差し替え。合計サイズは25GB。*8
- その後も10~20GBのファイルへのリンクを掲載。
被害詳細が判明(2020年11月16日 第二報)
- 2020年11月16日に被害の詳細として、約35万件の顧客情報流出の可能性を発表。
- 攻撃は第三者によるオーダーメイド型ランサムウエアと表現。
- サーバー保存情報の暗号化、アクセスログの抹消が行われており、調査に時間を要した。流出の可能性として最大件数を計上。
- ECは全て外部委託していることから、決済情報の流出はない。
- 同日社長名での謝罪文書も公開された。
流出の影響を受けた延べ人数は以下の通り。
| 流出確認された個人情報 | 16,415人 |
|---|---|
| 流出の可能性のある個人情報 | 最大約39万人 |
対象情報の詳細は以下の通り。
- 流出が確認された情報
| 対象情報 | 件数 | 概要 | 流出の状況 |
|---|---|---|---|
| 元従業員の情報 | 5件 | ・氏名・サイン2件 ・氏名・住所1件 ・パスポート情報2件 |
流出確認 |
| 従業員の情報 | 4件 | ・氏名・人事情報3件 ・氏名・サイン1件 |
流出確認 |
| 取引先情報 | 3,248件 | 氏名、住所、電話番号、メールアドレスなど、1項目以上 | 流出確認 |
| 退職者と関係者情報 | 9,164件 | 氏名、メールアドレス、人事情報など、1項目以上 | 流出確認 |
| 従業員、関係者の情報 | 3,994件 | 氏名、メールアドレス、人事情報など、1項目以上 | 流出確認 |
| 販売レポート、財務情報 | - | - | 流出確認 |
| 企業情報 | - | 売上情報、取引先情報、営業資料、開発資料等 | 流出確認 |
- 流出の可能性のある情報
| 国内お客様相談室 家庭用ゲームサポート対応情報 | 約13万4千件 | 氏名、住所、電話番号、メールアドレス | 流出の可能性 |
| 株主名簿情報 | 約4万件 | 氏名、住所、株主番号、所有株式数 | 流出の可能性 |
| 退職者とその家族情報 | 約1万9千件 | 氏名、生年月日、住所、電話番号、メールアドレス、顔写真等 | 流出の可能性 |
| 採用応募者情報 | 約18万3千件 | 氏名、生年月日、住所、電話番号、メールアドレス、顔写真など、1項目以上 | 流出の可能性 |
| 従業員、関係者の情報 | 約1万件 | 人事情報 | 流出の可能性 |
以下約1万8000件については事後調査で流出の可能性がないと判明した。
| 対象情報 | 件数 | 概要 | 流出の状況 |
|---|---|---|---|
| 北米Capcom Store会員情報 | 約1万4千件 | ||
| 北米eスポーツ運営サイト会員情報 | 約4千件 |
採用応募者情報に対する見解
- 今回の事案で流出可能性のある情報の中に採用応募者情報が含まれていた。
- 公式サイトには選考の結果、採用に至らなかった人、採用辞退となった人は選考後に責任をもって破棄をするとの記載が採用サイトにあった。
- 適切な破棄が行われていたのかに対する指摘に対し、カプコンは説明不足であったと釈明。*9
- 履歴書等の書類は破棄しているが、再応募を想定し確認をスムーズにするためとして、一定期間保管していると回答。
- 電子化されたデータが対象で、サイト記載に関しては修正を行っている。
対応状況など調査で判明した情報を更新(2021年1月12日 第三報)
不正アクセスによる情報流出に関するお知らせとお詫び【第3報】
- 三報発表時点で社内システムは概ね復旧、業務もほぼ平常化。
- 当該事案によるグループの連結業績(2021年3月期)の見通しへの変更はない。
- 今後の対応として、日米警察との連携と関係国の個人情報保護期間への報告。セキュリティベンダなどと調査協力を受け、全容解明を行い調査終了後に改めて報告。セキュリティ監督委員会の発足に向けた準備。の3点を挙げている。
当日以降の社内の様子
システム障害が発生した当日以降の社内の様子が報じられている。*10
- 2日未明の社内システムの警告(異常検知)が最初の発端。
- 社内システムに接続し状況確認を試みるも、最初接続できたが、その後しばらくして接続不可に。
- システム異常を示す警告は別システムでも複数発生。同日の業務が完全に停止してしまった。
- 出社後、従業員はPC接続のケーブル抜線対応を行った。
- 社内メールが使用不可となったことから、災害の安否確認に使う外部のメールシステムを使用し、全従業員へ情報を共有。
- 社内ネットワーク中枢のシステムで不正アクセスの痕跡を発見。
- 危機管理委員会立ち上げに伴い、身代金支払い、交渉に応じないという方針を確認。海外拠点の法執行機関とも連絡。
- Ragnar Lockerグループが公開したファイルを入手し、カプコンのロゴが入った文書ファイル等が大量に確認された。
米国から侵害拡大
- カプコンが3月31日にセキュリティ専門企業からの調査報告書の受領したことを受け、調査結果とその対応について公表。
- 報告内容は対応の経緯、被害原因と影響範囲、セキュリティ強化(再発防止)策、流出被害確認及びその可能性のある情報、脅迫への対応の主に5点。
旧VPN装置が侵入の発端
- カプコンの北米現地法人(Capcom USA)が保有するVPN装置が攻撃を受けたことが発端。この攻撃を通じて社内ネットワークへ侵入された。
- 攻撃を受けたVPN装置は旧型で米現地法人で1台のみ稼働。グループ内で既に新型VPN装置を導入済みであったが、新型コロナウイルス感染症を受けたネットワーク負荷増大を受け通信障害発生用の緊急避難目的で使用していた。
- VPN装置侵害後は一部の機器に対するのっとり行為が行われ、情報窃取に至った。
- 同報告では「旧型VPN装置」が具体的にどのような機種だったのか公表されていない。
再発防止に向けた対策
技術的、組織的の2点から対策を行ったことを説明。
主要な技術的な対策は6点に分け説明。
- 新型コロナ感染症対策のインフラ整備優先のため、攻撃当時はSOC、EDRといった対策途中だった。その後これらを導入。
- VPN機器の管理方法の改善、外部のソフトウェア企業により侵害の疑いのある社内機器をクリーニングやアカウント設定を見直し。
組織的対策としては外部の専門家を含む体制による取り組みを説明。
サイバーセキュリティに係る外部チェック、ノウハウの早期蓄積を目的として、セキュリティ監督委員会が1月下旬に発足。
社外より次の4名より構成。
- 立命館大学 上原哲太郎 教授
- 英知法律事務所 岡村久道 弁護士
- 大阪大学 猪俣敦夫 教授
- PwCコンサルティング合同会社 丸山満彦 パートナー
社内から参加するメンバーは以下の通り。
- 取締役1名、セキュリティおよびネットワーク担当技術職3名
同委員会直下に次の機能を担うセキュリティ対策室が設置された。
- サイバーセキュリティに関する情報収集
- 防御に関するノウハウ蓄積、提案
交渉に応じず
- 交渉目的の攻撃者からのメッセージが残されていたが身代金の記載なし。
- 警察とも相談した結果、交渉に応じない判断を行った。攻撃者側とのコンタクトは一切行っていない。
大阪府警による捜査
- カプコンの内部調査を受け、大阪府警が任意での関連資料提出を受領。
- 13日に捜査員をカプコンへ派遣。被害調書を作成、関連資料分析を行い、適用罪名を検討。*11
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2020年10月 | Capcom USAのVPN装置が攻撃を受け、内部ネットワークへ侵入。 |
| 2020年11月1日23時頃 | カプコンの国内、米国拠点の一部機器でランサムウェア感染による暗号化が発生。 |
| 2020年11月2日未明 | カプコンの社内システムでアクセス障害発生。調査を開始。 |
| : | システム障害がランサムウェアを用いた不正アクセスであることが判明。 |
| : | Ragnar Lockerを名乗るグループからの身代金要求が判明。大阪府警に通報。 |
| 2020年11月4日 | カプコンが不正アクセスに起因したシステム障害発生を発表。 |
| 2020年11月12日 | カプコンが個人情報9件と一部企業情報の流出を確認。 |
| 2020年11月16日 | カプコンが不正アクセスによる個人情報流出発生を発表。 |
| 2020年12月 | カプコンがセキュリティ対策室を新設。 |
| 2021年1月12日 | カプコンが調査で新たに判明した個人情報の流出などを発表。 |
| 2021年1月18日 | セキュリティ監督委員会を開催(第1回) |
| 2021年2月25日 | セキュリティ監督委員会を開催(第2回) |
| 2021年3月26日 | セキュリティ監督委員会を開催(第3回) |
| 2021年3月31日 | セキュリティ専門企業より調査結果報告を受領。 |
| 同日 | ソフトウェア企業より報告を受領。 |
| 2021年4月13日 | カプコンが調査報告受領に伴う調査結果、対応状況を報告。 |
| 同日 | 大阪府警がカプコンへ捜査員を派遣。不正アクセス事案の捜査着手。 |
更新履歴
- 2020年11月10日 AM 新規作成
- 2020年11月12日 AM 検体関連の情報を追記
- 2020年11月13日 AM 続報反映、誤字等や反映漏れを修正
- 2020年11月17日 AM 続報反映(カプコンの第二報)
- 2021年1月13日 AM 続報反映(カプコンの第三報)
- 2021年4月15日 PM 続報反映(カプコンの第四報)
*1:カプコンにサイバー攻撃か 機密情報見返りに取引要求,日本経済新聞,2020年11月10日
*2:検体発見の経緯は不明だが、Virustotalには11/4 21時頃に関連検体が日本を送信元としてsubmitされていた。
*3:カプコンに「身代金ウイルス」攻撃 約11億円要求か,朝日新聞,2020年11月9日
*4:カプコンへのサイバー脅迫 記者はちらつく影を追った,朝日新聞,2020年11月12日
*5:本来は当事者以外に非公開であり、閲覧時にパスワードも求められる。
*6:カプコンにサイバー攻撃、情報漏えいか 犯罪集団が声明、大阪府警が捜査,毎日新聞,2020年11月11日
*7:カプコン脅迫、犯罪グループがファイル公開 機密情報か,朝日新聞,2020年11月11日
*8:カプコン脅迫、機密公開か 犯罪集団、闇サイトに,朝日新聞,2020年11月12日
*9:「カプコン」採用応募者情報めぐり「矛盾」指摘 不正アクセス被害で余波、広報「説明が不足していた」,J-CASTニュース,2020年11月19日
*10:ケーブルを引き抜いて回った カプコン脅迫、未明に何が,朝日新聞,2020年11月16日
*11:カプコンにサイバー攻撃、情報流出 大阪府警が本格捜査,朝日新聞,2021年4月15日
