企業においてリモートワークが常態化する中、リモートワークに伴う企業の情報管理体制の不備に付け込んだ不正アクセスによる情報流出事故が多発しています。特に、最近はランサムウェアによる不正アクセスが多く、情報流出事故が発生した場合、企業側は極めて厳しい状況に追い込まれています。今回ご紹介する不正アクセスによるカプコンの情報流出事故は、正しくドンピシャのケースですが、カプコンは苦境の中、事故後の対応は非常に的確な対応をされています。同社のリリースを拝見すると、最近のランサムウェアによる情報流出事故の実態がよくわかるとともに、お客様本位の丁寧な対応をされています。カプコン社の対応から情報流出事故が発生した場合のポイントを解説します。
カプコンに対する不正アクセスによる情報流出問題
株式会社カプコンは、2020年4月13日、不正アクセス攻撃を受け、グループが保有する個人情報が流出したことの第4報を公表しています。実は、カプコンは、2020年11月から、不正アクセスによる個人情報の流出について公表を行っており、今回の公表は4報目です。経緯は、以下のとおりです。
20年11月02日 カプコン 社内システムの異常を覚知
20年11月02日 調査をしたところ、ランサムウェアの攻撃があったことが判明。不正アクセスをしたグループから脅迫メッセージ(身代金の要求)を発見
20年11月04日 不正アクセスによる情報流出の疑いをリリース(第1報)
20年11月16日 「不正アクセスによる情報流出に関するお知らせとお詫び」(第2報)
21年01月12日 「不正アクセスによる情報流出に関するお知らせとお詫び」(第3報)
21年01月18日 カプコン セキュリティ監督委員会を設置・開催 これまで3回実施
21年04月13日 「不正アクセスによる情報流出に関するお知らせとお詫び」(第4報)
ここまで継続的に丁寧に情報開示をしているケースは大変珍しいです。本件不正アクセスは攻撃した犯行グループからカプコン側に交渉を要求しており、極めて悪質です。会社側としては、何とかして大切なお客様情報の流出状況を丁寧にお客様に発信して少しでもお客様に安心してもらうべく対応していることが伺えます。
被害状況
●件数
約35万件の個人情報の流出の可能性
●対象となる情報
・お客様の氏名、住所、電話番号、メールアドレス
・カプコンの人事情報(社員の個人情報)
・カプコンの企業情報(売上情報、取引先情報、営業資料など)
ランサムウェア攻撃の怖さ
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせて作られた名称で、コンピュータウィルスの一種です。PCをロックしたり、ファイルを暗号化したりすることによって使用不能にし、元に戻すことと引き換えに「身代金」を要求してきます。
今回のケースでカプコンは、犯行グループからのコンタクトはあったものの、身代金の要求はなかったと否定していますが、犯行グループにコンタクトすれば身代金を要求してくるのは確実だったと考えられます。
今回のケースの最も怖いのが、犯行グループが運営するウェブページで、入手した個人情報を誰もが閲覧可能な状態とした二重の被害が発生した点です。企業側としては、お客様の情報が明確に危険な状態に晒されており、お客様から「何とかしろ!!!」との問い合わせが殺到し、戦々恐々の状態となったことが想像されます。企業側としては、絶対に身代金の要求に屈しない対応を前提とするものの、本当に厳しい状況に追い込まれます。
単に、身代金を要求されるならまだしも、情報が誰もが閲覧できる状態におき、身代金を払わざるを得ない状況に追い込んでくるのは本当に悪質です。
リモートワーク推進が不正アクセスのきっかけ
カプコンによると、本件不正アクセスの原因は、以下のとおりと発表しています。
2020年10月、当社の北米現地法人(Capcom U.S.A., Inc.)が保有していた予備の旧型VPN(Virtual Private Network)装置に対するサイバー攻撃を受け、社内ネットワークへ不正侵入されたものと調査により判断されています。当時、同現地法人を含め当社グループでは既に別型の新たなVPN装置を導入済でしたが、同社所在地であるカリフォルニア州における新型コロナウイルス感染急拡大に起因するネットワーク負荷の増大に伴い、通信障害等が発生した際の緊急避難用として同現地法人においてのみ当該旧型VPN装置1台が残存しており、サイバー攻撃の対象となりました。なお、現時点で当該装置は既に廃棄済みです。 その後、かかる北米現地法人の当該旧型VPN装置を経由して米国および国内拠点における一部の機器に対する乗っ取り行為が実施され、情報が窃取されるに至ったと判断されています。従来より境界型のセキュリティ対策は敷いており、また、後述するSOCサービスやEDRといった防御策の導入にも着手しておりましたところ、新型コロナウイルス感染拡大に伴いインフラ整備を優先せざるを得なかった結果、本件発生時は検証の途上(未済)でした。
不正アクセスに関する調査結果のご報告【第4報】(株式会社カプコン)
簡単にいうと、米国の現地法人に、旧型のVPN装置があり、そのセキュリティの脆弱性に付け込んだものでした。新型コロナウイルスの感染拡大により、どの企業もリモートワークを推進していますが、リモートワークのインフラ整備を急ぐあまり、セキュリティ対策が万全ではない状況の隙をついてくるケースが多発しています。
攻撃を受けたらどうする?
カプコンの対応は、不正アクセスを受けた際の対応として非常に的確かつスピーディーに行われています。
- 第1報までのスピーディーさ
- 第2報から第4報まで段階的に情報を丁寧に開示
- 開示内容が非常にわかりやすく、経緯も時系列で理解しやすい
- 「セキュリティ監督委員会」(社外の専門家を入れる)を設置し、現状の不正アクセス対応および再発防止に向けた対応の透明性を確保
今回の公表がなされた時点では、「ご照会の件数は減少傾向にあり、本ご報告公表前1ヵ月平均で1日あたり0.2件、1週間平均で1日あたり0.1件程度となっております。」と公表されており、本件発覚後約6か月経った現在において、問い合わせがほぼ収束してきた状況が示されています。
不正アクセスなどの情報流出が発覚した際、経営陣は「何から動くのか???」と思考が停止します。私はこのような事象が発生した際の対応の経験があることから、緊急で呼び出されて何度か経営陣と対応方針を策定することがありますが、本当に皆さん戸惑われています。セキュリティの避難訓練などを行っている会社などがありますが、なかなかそこまで実施していない企業がほとんどなので、思考停止になるのは仕方ありません。
この思考停止状態にならないための対策とは?
1.サイバー保険に加入しておくこと
金額的な補償もありますが、流出事象発生時にセキュリティ専門家を紹介してくれます。
2.情報漏洩対応の専門家へのアクセス
セキュリティの専門会社や弁護士などにより対応方針を立ててもらいます
上記2つの対策を最低限心がけておくと、いざという時の初動の遅れを防げます。もちろん、普段からセキュリティ診断を受けて、セキュリティ対策を万全にしておくことがベストですが、どこまで対策しても流出可能性を0にすることはできないので、流出した際には、どうする?ということを少しでも想定しておくことが安心です。