piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

不正アクセスで発生したカプコンの社内システム障害についてまとめてみた

2020年11月4日、カプコンは第三者からの不正アクセスにより社内システムの一部に障害が発生したと発表しました。ここでは関連する情報をまとめます。

不正アクセス起因の社内システム障害(2020年11月4日 初報)

www.capcom.co.jp

  • 2020年11月2日未明より、カプコン社内のグループシステム(メールシステム、ファイルサーバー)の一部でアクセス障害が発生。
  • 障害に関連して第三者からの不正アクセス行為が確認されていると発表。
  • 2020年11月4日時点で顧客情報の流出は確認されていない。
  • カプコン社ゲームをプレイするためのインターネット接続、自社サイトへの悪影響は発生していない。
  • システム障害同日に大阪府警に被害を相談。*1

発掘されたマルウェアから標的型ランサム被害の可能性が浮上(2020年11月5日)

www.bleepingcomputer.com

  • 11月5日に海外テックメディア Bleeping computerがシステム障害にランサムウェア感染が関連していた可能性を指摘。
  • 関連が指摘されたランサムウェアはRagnar Locker Ransomware。暗号化とデータ公開の二重脅迫を行ういわゆる標的型ランサムタイプ
  • セキュリティ研究者のpancak3lullz氏がカプコン社向けに作成されたとみられるランサムウェアの検体を発見し、(本来であれば当事者のみに示される)エビデンスより確認されたもの*2
  • カプコン広報は取材に対し、「詳細調査中であり影響を最小化するために対応している」とコメント。*3
  • pancak3lullz氏が確認した情報によれば、犯行グループはカプコン社内の端末2000台の暗号化を主張しており、復号や窃取した機密データの削除、そしてセキュリティ侵害のレポートの対価として1100万ドル相当のBitcoinを要求しているという。発見者はこの情報を犯行グループに接触し聞き出した模様。*4
検体情報

カプコンのシステム障害との関連が疑われる検体は以下の通り。

ハッシュ値 9416e5a57e6de00c685560fa9fee761126569d123f62060792bf2049ebba4151
ファイル名 3.vmp.exe
f:id:piyokango:20201112062021p:plain
発見者とみられる検体へのコメント
日付の整理

以下が公開情報より確認された日付。

日時 エビデンス
2020年10月21日 0時17分 関連が疑われる検体のコンパイル日時
2020年11月1日 20時56分 関連が疑われる検体のデジタル署名日時
2020年11月2日未明 カプコンでシステム障害が発生した日付
2020年11月4日 21時23分 Virustotalへの検体サブミット日時

1TB超の機密データ窃取を主張

ランサムウェア感染後に表示される脅迫文には次の内容が記述されていた。

  • 日本、米国、カナダのネットワークにある全サーバーに接続でき,1TB超の機密データを入手したこと。
  • 会計関連、知的財産、取引先や従業員情報、電子メールや監査レポート等が含まれること。
  • 取引に応じない場合、すべてのデータがオークションを経て公開、または販売されること。

侵害成功の証拠として一時リークサイト*5上に複数の情報が掲示された。*6

  • 7枚のスクリーンショット(ADやNAS接続、社内ファイル、パスポート等が伺える画像)
  • 約20.4MBの圧縮ファイル(機密データやNDA情報と主張するファイル)
f:id:piyokango:20201110043804p:plain
一時リークサイトに複数のエビデンスを掲示
  • 圧縮ファイル内の複数のファイルの更新日付は2020年10月29日21時~22時頃だった。10月29日以前からカプコンが侵害を受けていた可能性がある。
  • 一時リークサイトの閲覧件数らしき数字も掲示されており、11月10日時点で約150と表記。(11月9日にリークサイトに掲示されたページは既に700件超)
リークサイトで暴露行為を開始

11月9日頃にRagner Lokcerのリークサイトでも同社に対する脅迫メッセージが投下された。

  • 掲示されたメッセージはランサムウェア感染後に表示される内容と同等。
  • 一時リークサイトで確認された画像、データ等のエビデンスはリークサイト上には11月10日時点では掲示されていない。
f:id:piyokango:20201110043359p:plain
Ragnar Locker Teamが掲示したメッセージ

11月11日8時24分、一時リークサイトを公開ページに置き換え、元々掲示していた内容を含む詳細情報を公開。

  • 最初の公開ファイルとして、11日午前中は67GBのファイルのリンクを掲載。*7
  • 11日夜には当該ファイルのリンクを分割した別のファイルに差し替え。合計サイズは25GB。*8
  • その後も10~20GBのファイルへのリンクを掲載。
f:id:piyokango:20201112060347p:plain
公開され続けるファイル群

被害詳細が判明(2020年11月16日 第二報)

www.capcom.co.jp

  • 2020年11月16日に被害の詳細として、約35万件の顧客情報流出の可能性を発表。
  • 攻撃は第三者によるオーダーメイド型ランサムウエアと表現。
  • サーバー保存情報の暗号化、アクセスログの抹消が行われており、調査に時間を要した。流出の可能性として最大件数を計上。
  • ECは全て外部委託していることから、決済情報の流出はない。
  • 同日社長名での謝罪文書も公開された。

対象情報の詳細は以下の通り。

対象情報 件数 概要 流出の状況
元従業員の情報 5件 ・氏名・サイン2件
・氏名・住所1件
・パスポート情報2件
流出確認
販売レポート、財務情報 流出確認
国内お客様相談室 家庭用ゲームサポート対応情報 約13万4千件 氏名、住所、電話番号、メールアドレス 流出の可能性
北米Capcom Store会員情報 約1万4千件 氏名、生年月日、メールアドレス 流出の可能性
北米eスポーツ運営サイト会員情報 約4千件 氏名、メールアドレス、性別 流出の可能性
株主名簿情報 約4万件 氏名、住所、株主番号、所有株式数 流出の可能性
退職者とその家族情報 約2万8千件 氏名、生年月日、住所、電話番号、メールアドレス、顔写真等 流出の可能性
採用応募者情報 約12万5千件 氏名、生年月日、住所、電話番号、メールアドレス、顔写真等 流出の可能性
従業員、関係者の情報 約1万4千件 人事情報 流出の可能性
企業情報 売上情報、取引先情報、営業資料、開発資料等 流出の可能性
採用応募者情報に対する見解
  • 今回の事案で流出可能性のある情報の中に採用応募者情報が含まれていた。
  • 公式サイトには選考の結果、採用に至らなかった人、採用辞退となった人は選考後に責任をもって破棄をするとの記載が採用サイトにあった。
  • 適切な破棄が行われていたのかに対する指摘に対し、カプコンは説明不足であったと釈明。*9
  • 履歴書等の書類は破棄しているが、再応募を想定し確認をスムーズにするためとして、一定期間保管していると回答。
  • 電子化されたデータが対象で、サイト記載に関しては修正を行っている。

当日以降の社内の様子

システム障害が発生した当日以降の社内の様子が報じられている。*10

  • 2日未明の社内システムの警告(異常検知)が最初の発端。
  • 社内システムに接続し状況確認を試みるも、最初接続できたが、その後しばらくして接続不可に。
  • システム異常を示す警告は別システムでも複数発生。同日の業務が完全に停止してしまった。
  • 出社後、従業員はPC接続のケーブル抜線対応を行った。
  • 社内メールが使用不可となったことから、災害の安否確認に使う外部のメールシステムを使用し、全従業員へ情報を共有。
  • 社内ネットワーク中枢のシステムで不正アクセスの痕跡を発見。
  • 危機管理委員会立ち上げに伴い、身代金支払い、交渉に応じないという方針を確認。海外拠点の法執行機関とも連絡。
  • Ragnar Lockerグループが公開したファイルを入手し、カプコンのロゴが入った文書ファイル等が大量に確認された。

関連タイムライン

日時 出来事
2020年11月2日未明 カプコンの社内システムでアクセス障害発生。調査を開始。
システム障害がランサムウェアを用いた不正アクセスであることが判明。
Ragnar Lockerを名乗るグループからの身代金要求が判明。大阪府警に通報。
2020年11月4日 カプコンが不正アクセスに起因したシステム障害発生を発表。
2020年11月12日 カプコンが個人情報9件と一部企業情報の流出を確認。
2020年11月16日 カプコンが不正アクセスによる個人情報流出発生を発表。

更新履歴

  • 2020年11月10日 AM 新規作成
  • 2020年11月12日 AM 検体関連の情報を追記
  • 2020年11月13日 AM 続報追記、誤字等や反映漏れを修正
  • 2020年11月17日 AM 続報追記(カプコンの第二報)

*1:カプコンにサイバー攻撃か 機密情報見返りに取引要求,日本経済新聞,2020年11月10日

*2:検体発見の経緯は不明だが、Virustotalには11/4 21時頃に関連検体が日本を送信元としてsubmitされていた。

*3:カプコンに「身代金ウイルス」攻撃 約11億円要求か,朝日新聞,2020年11月9日

*4:カプコンへのサイバー脅迫 記者はちらつく影を追った,朝日新聞,2020年11月12日

*5:本来は当事者以外に非公開であり、閲覧時にパスワードも求められる。

*6:カプコンにサイバー攻撃、情報漏えいか 犯罪集団が声明、大阪府警が捜査,毎日新聞,2020年11月11日

*7:カプコン脅迫、犯罪グループがファイル公開 機密情報か,朝日新聞,2020年11月11日

*8:カプコン脅迫、機密公開か 犯罪集団、闇サイトに,朝日新聞,2020年11月12日

*9:「カプコン」採用応募者情報めぐり「矛盾」指摘 不正アクセス被害で余波、広報「説明が不足していた」,J-CASTニュース,2020年11月19日

*10:ケーブルを引き抜いて回った カプコン脅迫、未明に何が,朝日新聞,2020年11月16日