2020年11月16日、東証１部上場の大手ゲームソフト会社カプコンが第三者からのサイバー攻撃を受けたと発表した。その後の調べで顧客や取引先などの個人情報約35万件、社員や関係者の人事情報と企業情報などが流出したことがわかっている。

発端は偽メール

　今回のサイバー攻撃の発端は、偽メール（フィッシングメール）を開いてしまうエモテット（EMOTET）やアイスドアイディ（ICEDID）というマルウェアをパソコンに読み込むウイルス（ダウンローダー）に感染したのが発端である。

勝手に身代金要求型ウイルスをダウンロード

　その後、そのダウンローダーがランサムウェア（身代金要求型ウイルス）の一種であるラグナロッカー（RAGNAR LOCKER）をインターネットから読み込み、ラグナロッカーがカプコンの顧客情報や取引先情報、人事や機密情報まで持ち出し、そのデータが暗号化されたと見られる。ラグナロッカーは2019年12月に初めて確認されたランサムウェアで標的にする企業ごとにメッセージをカスタマイズすることができる。

攻撃対象から外されていたロシア語

　多くのメディアは、このマルウェアの動作が非常に巧妙で、ロシア語圏とロシア語が主要な言語に使用されている国の言語であれば、動作を止められる点を詳しく報道している。

　ラグナロッカーのソースコードにはあらかじめ攻撃対象から外すパソコンの言語が書かれている。ラグナロッカーが動作し始めるとまずＯＳ（基本ソフト）の言語判定コマンドを発してＯＳの言語を調べる。その際、以下の言語（アゼルバイジャン語、アルメニア語、ベラルーシ語、カザフ語、キルギス語、モルドバ語、タジク語、ロシア語、トルクメン語、ウズベク語、ウクライナ語、ジョージア語）は攻撃対象から外されるのだ。

　しかし問題はサイバー攻撃が成功した発端が、あくまでも偽メールを開いてしまったことにある。

身代金要求より恐ろしい２次被害

　犯人は1100万ドル（約12億5000万円）の身代金を要求したが、カプコンは身代金の支払い以前に交渉そのものに応じなかった。一方で犯人は盗んだ情報の一部60ギガバイト分をダークウェブと呼ばれる特殊なインターネット上に公開している。

　漏えいした情報には、顧客情報や販売情報、財務情報などの経理関係の情報に加え、元従業員の個人情報５件（氏名・サイン２件、氏名・住所１件、パスポート情報２件）、従業員の個人情報４件（氏名・人事情報3件、氏名・サイン1件）が含まれているほかに、退職者とその家族情報（約２万8000件）、採用応募者情報（約12万5000件）として氏名、生年月日、住所、電話番号、メールアドレス、顔写真等が含まれている。　漏えいデータは犯人が公開しているダークウェブのサイトでいまだ公開されている。

懲戒処分の社員の手紙も暴露

　極め付けは、その中に懲戒処分を受けている社員へ出した手紙や、「CONFIDENTIAL」と記載された文書が多数あり、損害賠償や集団訴訟などの二次被害が懸念される。

　一方、2018年５月に施行されたＥＵの個人情報保護の新規制、ＧＤＰＲ(ＥＵ一般データ保護規則)で今回の事件は、最大で情報漏洩を起こした企業の全世界売上の４％という制裁金が科されるが、少なくとも公開された情報にはＥＵの個人情報は含まれていないようだ。今後の欧州ＧＤＰＲ監督官庁（ＩＣＯ）の対応を注視したい。

情報公開しないカプコン

　今回の事件の発端が偽メールの開封だとして、最初に感染したウイルスがエモテットかアイスドアイディかをカプコンは明らかにしていない。しかし、エモテットであればＤＭＡＲＣという技術で防ぐことができる。ＤＭＡＲＣとは偽装メールが届かなくする仕組みで、設定に要する時間は数十分から最大４時間でできるセキュリティ対策である。

防ぎようがないアイスドアイディ

　ＤＭＡＲＣは送信者のアドレスの真正性や電子メールの電子署名を確認することで送信者の真正性を確実にする技術で、非常に簡単に設定でき、誰でも無料で利用できる技術である。ＤＭＡＲＣの設定をしておけばウイルスに感染する確率は最小限に抑えられる。

　その一方で最初に感染したウイルスがアイスドアイディだった場合は厄介だ。アイスドアイディの偽メールは、送信者のメールアカウントが乗っ取られており、本人に代わってメールを送信してくるので、ＤＭＡＲＣでも防ぎようがなく、運が悪かったとしかいいようがない。

いまもＤＭＡＲＣに準拠していないカプコン

　いずれにせよカプコンが再びサイバー攻撃の被害に遭わないために真っ先に行うべきことは、カプコンのドメインをＤＭＡＲＣに準拠させることだろう。

　カプコンのドメイン（WWW.CAPCOM.CO.JP）はＤＭＡＲＣに対応していない。

　ここのところ立て続けに起こっている個人情報の漏えい事件に関していえば、東建コーポレーション（個人情報漏えい65万件）、イベント管理の「ＰＴＥＡＩＸ」（同６７７万件）、慶應大学（同３万件）、京セラ（同１万４０００件）、また２度目のサイバー攻撃にあった三菱電機（個人情報８０００件に加え防衛関係情報や口座情報）など、すべての企業が未だＤＭＡＲＣに準拠していない。

人事、経理情報まで流出

　今回の事件が顧客情報という個人情報の漏えい以外に、深刻な被害に及んでいるのは人事や経理といった本来、顧客管理とは切り離せたはずのシステムまで侵害され、情報流出したことだ。

　ドメインが適切に分割してあれば、人事や経理のシステムまでは侵害されなかったはずだが、なぜ、そのようなセキュリティ意識が持てなかったのか疑問だ。

ドメインを分割管理していなかったカプコン

　ドメイン分割が行われていたとすればアクティブディレクトリの乗っ取りが考えられる。企業システムではアクティブディレクトリというアクセス権をコントロールする仕組みが採用されているケースが多いが、この機能が乗っ取られた可能性がある。

　カプコンは調査結果について、再発防止の意味も込めて、事件の詳細を公開すべきだ。それが個人情報を漏えいした加害者になってしまった企業の社会的責任の取り方だろう。

本業のゲームにも大きなダメージの可能性

　もう一つ大事な点は、カプコンの本業であるゲーム開発に関する情報が漏えいしたのかどうかである。

　すでに開発を終えているゲームや開発中のプログラム（ソースコード）は、高く売れる可能性がある。人事や経理システムへの侵入を許したということから開発環境への侵入も容易に想像がつく。

「バイオハザード」や「ストリートファイター」など数々のヒット作品を生み出しているゲーム会社である。

日本のお家芸「ゲーム」が侵される

　ソースコードが中国をはじめとする競争相手の手に渡ることによるダメージは計り知れないものがあるのではないだろうか。

　日本のお家芸ともいえる数少ない国際的にも通用するコンテンツが、ハッキングという手段で持ち出されたと思うと、今更ながらセキュリティの重要性について考えさせられる。

　政府には今回の事件を踏まえ知財流出がもたらす損失の大きさと再発防止のためのまずは、ＤＭＡＲＣの普及について真剣に考えてもらいたい。

　カプコンには編集部から質問状を送ったが、「犯人の交渉には応じていない」という説明のほかは、「原因究明と被害状況の詳細は、大手セキュリティベンダーなどの協力で調査途上にあり改めて公表する」という回答のみにとどまった。

（山崎文明・情報安全保障研究所首席研究員／編集部）