「バイオハザード」や「ストリートファイター」などのゲームタイトルを展開するCapcom(カプコン)は、2020年11月初めに発生したランサムウェア攻撃により、ハッカーが社内ネットワークから顧客データやファイルを盗み出したことを確認したと発表した。
サイバー攻撃の直後の数日間、カプコンは顧客データにアクセスされたという証拠はない(カプコンリリース)と述べていたが、一転して顧客データが盗まれたことを確認したという。
カプコンは声明の中で、氏名、住所、電話番号、場合によっては生年月日など、35万人もの顧客データが盗まれた可能性があると述べている。同社によると、ハッカーは氏名、住所、生年月日、写真などを含む社内の財務データや、現在および過去の従業員の人事ファイルも盗み出したという。またビジネスパートナーや販売、開発に関する文書を含む「企業の機密情報」も盗まれたとのこと。
カプコンによると、決済は外部の会社が行っているため、クレジットカード情報は盗まれていないという。
なおカプコンは、今回のサイバー攻撃で内部ログが失われたことで、盗まれたデータの容量は「具体的に確認できない」と表明している。
カプコンは今回の被害について謝罪している。声明文には、「お客様はじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申しあげます」と記載されている。
同社は米国時間11月2日にランサムウェア 「Ragnar Locker」 の攻撃を受け、ネットワークを遮断した。Ragnar Lockerはデータを盗むランサムウェアで、ネットワークを暗号化する前に被害者からデータを抜き取り、身代金が支払われない限り盗まれたファイルを公開すると脅す。そうすることで、たとえ被害者がファイルやシステムをバックアップから復元したとしても、ランサムウェアグループは企業に身代金の支払いを要求することができる。
Ragnar Lockerのウェブサイトにはカプコンから盗まれたとされるデータが掲載されており、同社が身代金を支払わなかったことを示唆するメッセージが表示されている。
カプコンは欧州のGDPRデータ侵害通知規則に基づき、日本とイギリスのデータ保護規制当局に通知したという。GDPRの規則に違反した場合、企業は年間売上の4%までの罰金を科せられる可能性がある。
カテゴリー:ゲーム / eSports
タグ:カプコン、ランサムウェア、データ漏洩
画像クレジット:Chesnot / Getty Images
[原文へ]
(翻訳:塚本直樹 / Twitter)
