経済・企業サイバー攻撃で滅びる日本

懲戒処分の社員の手紙まで暴露されたカプコンの情報漏えいが日本のゲーム開発にとって深刻なワケ

    ラグナロッカーの被害にあったカプコンの企業情報が閲覧できる暴露サイト(リークサイト)
    ラグナロッカーの被害にあったカプコンの企業情報が閲覧できる暴露サイト(リークサイト)

     2020年11月16日、東証1部上場の大手ゲームソフト会社カプコンが第三者からのサイバー攻撃を受けたと発表した。その後の調べで顧客や取引先などの個人情報約35万件、社員や関係者の人事情報と企業情報などが流出したことがわかっている。

    発端は偽メール

     今回のサイバー攻撃の発端は、偽メール(フィッシングメール)を開いてしまうエモテット(EMOTET)やアイスドアイディ(ICEDID)というマルウェアをパソコンに読み込むウイルス(ダウンローダー)に感染したのが発端である。

    勝手に身代金要求型ウイルスをダウンロード

     その後、そのダウンローダーがランサムウェア(身代金要求型ウイルス)の一種であるラグナロッカー(RAGNAR LOCKER)をインターネットから読み込み、ラグナロッカーがカプコンの顧客情報や取引先情報、人事や機密情報まで持ち出し、そのデータが暗号化されたと見られる。ラグナロッカーは2019年12月に初めて確認されたランサムウェアで標的にする企業ごとにメッセージをカスタマイズすることができる。

    攻撃対象から外されていたロシア語

     多くのメディアは、このマルウェアの動作が非常に巧妙で、ロシア語圏とロシア語が主要な言語に使用されている国の言語であれば、動作を止められる点を詳しく報道している。

     ラグナロッカーのソースコードにはあらかじめ攻撃対象から外すパソコンの言語が書かれている。ラグナロッカーが動作し始めるとまずOS(基本ソフト)の言語判定コマンドを発してOSの言語を調べる。その際、以下の言語(アゼルバイジャン語、アルメニア語、ベラルーシ語、カザフ語、キルギス語、モルドバ語、タジク語、ロシア語、トルクメン語、ウズベク語、ウクライナ語、ジョージア語)は攻撃対象から外されるのだ。

     しかし問題はサイバー攻撃が成功した発端が、あくまでも偽メールを開いてしまったことにある。

    身代金要求より恐ろしい2次被害

     犯人は1100万ドル(約12億5000万円)の身代金を要求したが、カプコンは身代金の支払い以前に交渉そのものに応じなかった。一方で犯人は盗んだ情報の一部60ギガバイト分をダークウェブと呼ばれる特殊なインターネット上に公開している。

     漏えいした情報には、顧客情報や販売情報、財務情報などの経理関係の情報に加え、元従業員の個人情報5件(氏名・サイン2件、氏名・住所1件、パスポート情報2件)、従業員の個人情報4件(氏名・人事情報3件、氏名・サイン1件)が含まれているほかに、退職者とその家族情報(約2万8000件)、採用応募者情報(約12万5000件)として氏名、生年月日、住所、電話番号、メールアドレス、顔写真等が含まれている。 漏えいデータは犯人が公開しているダークウェブのサイトでいまだ公開されている。

    懲戒処分の社員の手紙も暴露

     極め付けは、その中に懲戒処分を受けている社員へ出した手紙や、「CONFIDENTIAL」と記載された文書が多数あり、損害賠償や集団訴訟などの二次被害が懸念される。

     一方、2018年5月に施行されたEUの個人情報保護の新規制、GDPR(EU一般データ保護規則)で今回の事件は、最大で情報漏洩を起こした企業の全世界売上の4%という制裁金が科されるが、少なくとも公開された情報にはEUの個人情報は含まれていないようだ。今後の欧州GDPR監督官庁(ICO)の対応を注視したい。

    情報公開しないカプコン

     今回の事件の発端が偽メールの開封だとして、最初に感染したウイルスがエモテットかアイスドアイディかをカプコンは明らかにしていない。しかし、エモテットであればDMARCという技術で防ぐことができる。DMARCとは偽装メールが届かなくする仕組みで、設定に要する時間は数十分から最大4時間でできるセキュリティ対策である。

    防ぎようがないアイスドアイディ

     DMARCは送信者のアドレスの真正性や電子メールの電子署名を確認することで送信者の真正性を確実にする技術で、非常に簡単に設定でき、誰でも無料で利用できる技術である。DMARCの設定をしておけばウイルスに感染する確率は最小限に抑えられる。

     その一方で最初に感染したウイルスがアイスドアイディだった場合は厄介だ。アイスドアイディの偽メールは、送信者のメールアカウントが乗っ取られており、本人に代わってメールを送信してくるので、DMARCでも防ぎようがなく、運が悪かったとしかいいようがない。

    いまもDMARCに準拠していないカプコン

     いずれにせよカプコンが再びサイバー攻撃の被害に遭わないために真っ先に行うべきことは、カプコンのドメインをDMARCに準拠させることだろう。

     カプコンのドメイン(WWW.CAPCOM.CO.JP)はDMARCに対応していない。

     ここのところ立て続けに起こっている個人情報の漏えい事件に関していえば、東建コーポレーション(個人情報漏えい65万件)、イベント管理の「PTEAIX」(同677万件)、慶應大学(同3万件)、京セラ(同1万4000件)、また2度目のサイバー攻撃にあった三菱電機(個人情報8000件に加え防衛関係情報や口座情報)など、すべての企業が未だDMARCに準拠していない。

    人事、経理情報まで流出

     今回の事件が顧客情報という個人情報の漏えい以外に、深刻な被害に及んでいるのは人事や経理といった本来、顧客管理とは切り離せたはずのシステムまで侵害され、情報流出したことだ。

     ドメインが適切に分割してあれば、人事や経理のシステムまでは侵害されなかったはずだが、なぜ、そのようなセキュリティ意識が持てなかったのか疑問だ。

    ドメインを分割管理していなかったカプコン

     ドメイン分割が行われていたとすればアクティブディレクトリの乗っ取りが考えられる。企業システムではアクティブディレクトリというアクセス権をコントロールする仕組みが採用されているケースが多いが、この機能が乗っ取られた可能性がある。

     カプコンは調査結果について、再発防止の意味も込めて、事件の詳細を公開すべきだ。それが個人情報を漏えいした加害者になってしまった企業の社会的責任の取り方だろう。

    初代バイオハザードのゲーム画面=カプコン提供
    初代バイオハザードのゲーム画面=カプコン提供

    本業のゲームにも大きなダメージの可能性

     もう一つ大事な点は、カプコンの本業であるゲーム開発に関する情報が漏えいしたのかどうかである。

     すでに開発を終えているゲームや開発中のプログラム(ソースコード)は、高く売れる可能性がある。人事や経理システムへの侵入を許したということから開発環境への侵入も容易に想像がつく。

    「バイオハザード」や「ストリートファイター」など数々のヒット作品を生み出しているゲーム会社である。

    日本のお家芸「ゲーム」が侵される

     ソースコードが中国をはじめとする競争相手の手に渡ることによるダメージは計り知れないものがあるのではないだろうか。

     日本のお家芸ともいえる数少ない国際的にも通用するコンテンツが、ハッキングという手段で持ち出されたと思うと、今更ながらセキュリティの重要性について考えさせられる。

     政府には今回の事件を踏まえ知財流出がもたらす損失の大きさと再発防止のためのまずは、DMARCの普及について真剣に考えてもらいたい。

     カプコンには編集部から質問状を送ったが、「犯人の交渉には応じていない」という説明のほかは、「原因究明と被害状況の詳細は、大手セキュリティベンダーなどの協力で調査途上にあり改めて公表する」という回答のみにとどまった。

    (山崎文明・情報安全保障研究所首席研究員/編集部)

    インタビュー

    週刊エコノミスト最新号のご案内

    週刊エコノミスト最新号

    3月16日号

    コロナ後に残る弁護士14 売り上げ大幅減の“マチ弁” 「デジタル」で分かれた明暗 ■岡田 英/加藤 結花17 情報発信、専門性に磨き 遠方からも稼ぐ法律事務所 ■加藤 結花18 ここまで進化 仕事にもつながる!弁護士のSNS活用術 ツイッター 大西洋一 大西総合法律事務所代表 ユーチューブ 藤吉修崇 [目次を見る]

    デジタル紙面ビューアーで読む

    おすすめ情報

    最新の注目記事