カプコン、不正アクセスを受け個人情報が流出
- 元記事:不正アクセスによる情報流出に関するお知らせとお詫び
- 元記事:不正アクセスによる情報流出に関するお詫び
- 元記事:不正アクセスによる情報流出に関するお知らせとお詫び【第3報】
- 元記事:不正アクセスに関する調査結果のご報告【第4報】
- HP:カプコン
| 会社名 | 株式会社カプコン |
|---|---|
| 株式情報 | 上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | web |
| 漏洩場所 | 社外 |
| 漏洩内容 | 氏名/住所/電話番号/メールアドレス |
| 漏洩件数 | |
| 漏洩日時 | 2020/11/2 |
| 発表日時 | 2020/11/16 |
カプコンにて、不正アクセスを受け個人情報が流出。同社のサイトが不正アクセスを受け、元従業員や現従業員の個人情報の流出を確認し、さらに最大で約35万人分の個人情報が流出の恐れがあることが判明した。
同社にて社内システムへの接続障害を確認したことから、システムを遮断して状況確認を行った結果、ランサムウェアでサーバを破壊し、暗号化する攻撃をされていたことを確認した。また、「Ragnar Locker」を名乗る集団から身代金を要求するメッセージが確認され不正アクセスが発覚。この不正アクセスは「オーダーメイド型ランサムウェア」による標的型攻撃で、サーバ保存情報の暗号化やアクセスログが抹消されていた。大阪府警に通報を行った。後日個人情報や一部の企業情報の流出が確認された。
同社は欧州GDPR監督官庁(ICO)や個人情報保護委員会に報告を行い、対策ソフトの導入や疑わしい通信の遮断、サーバの再構築などを実施している。また、システムの検証を外部のセキュリティ会社に委託しており、検証結果を後日公表する。
調査を進めた結果、新たに16,406人の流出が確認され本事案発生からの累計は16,415人となった。また、流出した可能性のある顧客や社外関係者の個人情報は、前回から約4万人増え、最大約39万人であることが判明したが、北米におけるCapcom Store会員情報、eスポーツ運営サイト会員情報の約1万8千件の個人情報は、再度調査した結果、現時点で流出の可能性が認められないことが判明した。同社は、現在も調査を続けており、今後新たな情報が判明次第公表するとしている。(2021/1/12発表)
複数の大手セキュリティベンダなど大手IT専門企業と共に調査を行った結果、2020年10月、同社の北米現地法人が保有していた予備の旧型VPN装置に対するサイバー攻撃を受け、社内ネットワークへ不正侵入されたことが確認された。同現地法人を含め同社グループでは既に別型の新たなVPN装置を導入済だったが、同社所在地であるカリフォルニア州における新型コロナウイルス感染急拡大に起因するネットワーク負荷の増大に伴い、通信障害等が発生した際の緊急避難用として同現地法人においてのみ当該旧型VPN装置1台が残存し、サイバー攻撃の対象となり、当該装置を経由し、米国および国内拠点における一部の機器に対する乗っ取り行為が実施され、情報が窃取され、これら一連の攻撃の後、米国および国内拠点における一部の機器がランサムウェアに感染させられ、各機器内のファイルを暗号化されたことが確認された。本インシデントは、外部の専門企業によっておおむね解明されており、防御が困難で多岐にわたる悪質な攻撃であったとの見解を受けている。同社は再発防止策として、従来の境界型セキュリティ対策に加え、外部との接続を常時監視するSOCサービスや機器の不正な挙動等を早期に検知するEDRの導入など、再発防止に向けた種々のセキュリティ強化策を講じるとしている。(2021/4/13発表)
