| 発生時期 | 2020年11月 |
|---|
| 種別 | ランサムウェア(二重恐喝型)+個人情報流出 |
|---|
| 対象組織 | 株式会社カプコン(大手ゲーム会社) |
|---|
| 被害規模 | 社内システム障害に加え、顧客・取引先・従業員等の個人情報が最大約39万人分流出した可能性 |
|---|
| 主な手口 | 北米子会社の旧型VPN装置の脆弱性を突かれて侵入され、ランサムウェアで暗号化。さらに事前に盗み出した情報を「公開されたくなければ金を払え」と脅す二重恐喝が行われた |
|---|
1. 事件の概要
2020年11月、大手ゲーム会社カプコンがランサムウェア攻撃を受け、社内システムに障害が発生しました。この事件が注目されたのは、単にデータが暗号化されただけでなく、攻撃者が事前に情報を盗み出し、「身代金を払わなければ、盗んだ情報を公開する」と脅した点にあります。これを二重恐喝(ダブルエクストーション)と呼びます。
従来のランサムウェアは「データを暗号化して使えなくする」一手だけでした。これに対し二重恐喝は、「①データを暗号化して業務を止める」「②盗んだ情報をばらまくと脅す」という二段構えです。バックアップから復旧できても、情報公開の脅しは残る——だから「バックアップさえあれば安心」が通用しなくなりました。カプコンは身代金には応じない方針を示し、被害状況を順次公表しました。
2. 被害の内容と規模
社内システムの障害に加え、顧客・取引先・元従業員などの個人情報が、最大で約39万人分流出した可能性があると公表されました。氏名・住所・電話番号・メールアドレスなどが含まれ、一部は実際に攻撃者側に取得されたとみられます。
主な影響
- 社内システムの障害により、業務に支障が出た。
- 個人情報流出の可能性により、対象者への通知・問い合わせ対応など多大なコストが発生。
- 情報公開の脅迫を受け、企業としての対応判断(身代金を払うか否か)を迫られた。
- 「二重恐喝」という新しい脅威を、国内に広く知らしめた。
二重恐喝では、たとえ身代金を払っても「本当に情報を消したか」は確認できません。払えば「払う会社」と認識され再び狙われるリスクも。多くの専門機関は、安易に支払わない方針を推奨しています。
3. 原因と手口
侵入の入り口
- 旧型VPN装置の脆弱性:北米子会社で使われていた古いVPN(外部接続)装置の弱点を突かれて侵入された。コロナ禍で在宅勤務が急増し、急ぎ用意した接続機器が狙われた面もあるとされる。
攻撃の流れと背景
- 侵入:脆弱なVPN装置から内部ネットワークへ。
- 情報の窃取:暗号化の前に、価値ある情報を盗み出す。
- 暗号化+脅迫:データを暗号化して業務を止め、盗んだ情報の公開をちらつかせて身代金を要求。
- 海外拠点が弱点に:本社より管理が手薄になりがちな海外子会社が、侵入口になった。
- 古い機器の放置:更新されていない機器が、既知の脆弱性を抱えたまま使われていた。
「本社は守れていても、子会社・拠点の古い機器が穴になる」——これは
サプライチェーン攻撃とも共通する弱点です。守りは“一番弱いところ”から破られます。
4. 対策と教訓
二重恐喝が当たり前になった今、ランサムウェア対策は「復旧できるか」だけでなく「侵入・窃取を防げるか」まで広げる必要があります。
企業がとるべき対策
- VPN・外部接続機器を最新に保つ:古い機器は真っ先に狙われる。海外拠点・子会社も含めて棚卸しする。
- 多要素認証(MFA)を必須にする:VPNやリモート接続に、ID・パスワード以外の認証を加える。
- オフラインバックアップを備える:暗号化対策の基本は変わらず重要。ネットから切り離した複製を持つ。
- 侵入の検知・対応力を高める:不審な動きを早く見つけ、被害が広がる前に止める(情報を盗まれる前に気づく)。
- 重要情報を暗号化・アクセス制限する:盗まれても中身を使われにくくする。
- 身代金への対応方針を決めておく:「払わない」前提で、復旧・通知・公表の手順を準備する。
5. まとめ
カプコンの事件は、ランサムウェアが「暗号化」から「暗号化+情報公開の脅迫(二重恐喝)」へ進化したことを国内に知らしめました。教訓は——外部接続機器の更新・多要素認証・侵入検知・オフラインバックアップを、海外拠点まで含めて徹底すること。復旧力に加え、「侵入させない・盗ませない」守りが不可欠です。
※本記事は報道・公表資料など一般に公開された情報をもとに、教育・啓発を目的として再構成したものです。流出件数は「可能性」を含む公表時点の数値であり、正確な情報は公式発表をご確認ください。