2020年11月16日、カプコンは第三者からのサイバー攻撃による不正アクセスで、一部個人情報の流出が発生した可能性があることを公表した。

 これは、2020年11月4日にカプコンが“不正アクセスによるシステム障害発生に関するお知らせ”として公表したものに関する内容で、Ragnar Lockerと名乗る集団から、カプコンを標的としたランサムウェアによるサイバー攻撃を受け、身代金を要求されていたことを明かしていた。

 今回の不正アクセスで流出が確認された個人情報は9件、そのうち5件が元従業員、4件が在籍中の従業員のもの。また、流出の可能性があるものとしては、最大約35万件の個人情報(氏名、電話番号、メールアドレス)があるが、カプコンはクレジットカード情報を保有しておらず、クレジットカード情報の流出はないとのこと。

カプコン プレスリリース“不正アクセスによる情報流出に関するお知らせとお詫び”

 以下に、カプコン公式サイトに掲載されたリリースを引用する。

不正アクセスによる情報流出に関するお知らせとお詫び

株式会社カプコンは、第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃を受け、当社グループが保有する個人情報流出の発生を確認いたしました。
また、この攻撃により、当社が保有している個人情報・企業情報が流出した可能性があることを確認しましたので、「2.流出の可能性がある情報」にて併せてお知らせいたします。
なお、現時点ではコンテンツ開発や事業遂行において支障はございません。
お客様はじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申しあげます。

現在も調査を続けており、今後新たな情報が判明する可能性がございますが、現時点で概ね確認できた事実関係(2020年11月16日現在判明分)の概要は次の通りです。

1. 流出を確認した情報

(1) 個人情報9件

元従業員の個人情報5件
(氏名・サイン2件、氏名・住所1件、パスポート情報2件)
従業員の個人情報4件
(氏名・人事情報3件、氏名・サイン1件)
(2) その他

販売レポート
財務情報
2. 流出の可能性がある情報

(1) 個人情報(お客様・お取引先等)最大約35万件

国内 お客様相談室 家庭用ゲームサポート対応情報(約13万4千件)
氏名、住所、電話番号、メールアドレス
北米 Capcom Store会員情報(約1万4千件)
氏名、生年月日、メールアドレス
北米 eスポーツ運営サイト会員情報(約4千件)
氏名、メールアドレス、性別
株主名簿情報(約4万件)
氏名、住所、株主番号、所有株式数
退職者およびご家族情報(約2万8千件)、採用応募者情報(約12万5千件)
氏名、生年月日、住所、電話番号、メールアドレス、顔写真等
(2) 個人情報(社員およびご関係者)

人事情報(約1万4千人)
(3) 企業情報

売上情報、取引先情報、営業資料、開発資料等
なお、当社はネット販売等における決済は全て外部委託しておりますので、クレジットカード情報を保有しておらず、クレジットカード情報の流出はございません。
また、流出した可能性のある情報の総数は、一部ログの喪失などから特定できないため、現時点で判明している最大数としてお示ししております。

3. 個人情報の流出が確認された方々およびその可能性がある方々への対応

(1) 個人情報および企業情報の流出が確認された方々への対応

情報流出が確認された方々には、個別にご連絡を行い経緯・状況のご説明を始めています。

(2) 個人情報の流出の可能性がある方々への対応

窃取、流出の可能性がある情報について、引き続き調査を行ってまいります。
また、流出可能性のある情報に関連する皆さまには、下記の通りご照会専用窓口を設置致しました。

カプコン情報流出専用お問い合わせ窓口
日本:電話番号(フリーダイヤル):
ゲームユーザー問合わせ窓口 0120-400161
総合問合わせ窓口 0120-896680
受付時間:10:00~20:00
北米:カプコンUSAカスタマーサポートページ

4. 発覚と対応の経緯

(1)

11月2日未明に社内システムへの接続障害を確認、システムを遮断し被害状況の把握に着手しました。
今回の攻撃は、当社を標的としたランサムウェアを用いてサーバを破壊し暗号化するものであったことを確認しました。
「Ragnar Locker」を名乗る集団からのメッセージを確認し、身代金要求が判明し大阪府警に通報しました。
11月4日に「不正アクセスによるシステム障害発生に関するお知らせ」を公表しました。
11月12日に9件の個人情報および一部の企業情報の流出を確認しました。
流出が確認された情報9件に加え、流出可能性のある情報の範囲について調査を継続し、11月16日に開示しました。(本リリース)
今回の不正アクセスは、サーバ保存情報の暗号化やアクセスログの抹消を伴うもので、不正アクセスの調査、解析等に時間を要しました。

(2) 欧州GDPR監督官庁(ICO)、個人情報保護委員会(日本)にシステム障害の発生につき、報告しています。

(3) 対策ソフトを投入、疑わしい通信を遮断しつつ、サーバの再構築を実施し、復旧したサーバを基に各部署が保存していた情報の確認作業を実施(継続中)しています。

(4) 本件障害のシステム面における検証につきまして、外部のセキュリティ会社へ検証を委託ずみです。この検証結果については、別途公表する予定です。

(5) また、大手ソフトウェア企業、大手セキュリティ専門ベンダ、サイバーセキュリティに造詣の深い外部弁護士に状況を報告し、指導・アドバイスを得る体制といたしました。

情報の流出が確認された方、関係先にはご連絡を開始させていただくともに、その他窃取された可能性のある情報につき、引き続き調査を継続します。
この不正アクセスは、一部報道されておりますが、いわゆる「オーダーメイド型ランサムウェア」による「標的型攻撃」であり、当社を標的にして巧妙にサーバ保存情報の暗号化やアクセスログの抹消を伴うもので、不正アクセスの調査、解析等に時間を要しました。本日のご報告になりましたことをお詫び申しあげます。
皆様方宛にお心当たりのない郵送物が届く可能性や、不審な連絡が入る可能性がございますので、ご注意いただきますようお願い申しあげます。

5. 今後の対応

(1) 引き続き、日本・米国の警察当局との連携、関係各国の個人情報保護機関への適時報告を行いアドバイスを受ける体制を続けてまいります。

(2) 前述のとおり大手セキュリティベンダ等にも協力を依頼し、本件攻撃による障害の全容解明・再発防止に向け取り組んでまいります。

(3) すでに外部のセキュリティ専門家を交えた対策会議を開始しておりますが、今後外部専門家によるシステムセキュリティに関するアドバイザリー組織を新設し、再発防止に努めてまいります。

なお、当社ゲームをプレイするためのインターネット接続や当社ホームページ等へのアクセスにより、お客様や社外の皆様へ被害が拡大することはありません。

本件による当社グループの連結業績(2021年3月期)への影響は現時点で軽微と考えておりますが、改めて開示が必要な場合には、別途速やかにお知らせいたします。

皆様には、多大なるご心配とご迷惑をおかけしておりますことを、あらためてお詫び申しあげます。
当社では、今回の事態を重く受け止め、デジタルコンテンツを扱う企業として、再びこのようなことがないよう、より一層の管理体制の強化に努めるとともに、不正アクセスなどの犯罪行為には厳正に対処してまいります。

何とぞご理解とご協力を賜りますようお願い申しあげます。
出典:不正アクセスによる情報流出に関するお知らせとお詫び(カプコン公式サイト)

[2020年11月16日23時45分修正]
記事内の誤植を修正いたしました。