カプコンは11月16日、第三者からの不正アクセスで最大35万件の個人情報が流出した可能性があると発表しました。国内外の顧客情報や株主名簿、従業員、採用応募者などの情報が含まれるとのことです。
漏えいした可能性があるのは、国内顧客の氏名や住所など(約13万4000件)、採用応募者の氏名や顔写真など(約12万5000件)、株主名簿情報(約4万件)、退職者やその家族の氏名、顔写真など(約2万8000件)、社員の人事情報(約1万4000件)、北米向けに運営しているECサイト「Capcom Store」の会員情報(約1万4000件)、北米向けのeスポーツ大会の運営に使っているサイトの会員情報(約4000件)、売上情報、取引先情報、営業資料、開発資料など。
従業員や元従業員の個人情報9件と、社内の財務情報は実際に流出を確認しました。これら以外の情報も漏えいした可能性があるとのことです。ECサイトなどでの決済は外部業者に委託しているため、クレジットカード情報は流出していないとしています。
4日の発表当初は「顧客情報の漏えいは確認していない」としていたが、実際はランサムウェアを使った攻撃で、実態の把握に時間がかかっていたとのことです。
カプコンによれば、不正アクセスに気づいたのは2日。社内システムで発生した接続障害を調査したところ、同社を標的にした攻撃であることが判明。保管しているデータを第三者からロックされ、データとの引き換えに身代金を要求されるランサムウェアの被害を確認しました。
その後、犯人を名乗る「Ragnar Locker」(ラグナロッカー)という集団から金銭を要求するメッセージを受けたため、大阪府警に通報。12日には一部の個人情報流出を確認し、16日に漏えいの可能性がある情報の目安を把握できたため、発表に至ったとのことです。
4日に情報漏えいの可能性を発表しなかった理由については「今回の不正アクセスは、サーバに保存していた情報の暗号化やアクセスログの抹消を伴うもので、調査や解析に時間を要していた」と説明しています。
現在は不審な通信を遮断しつつサーバを再構築し、保存していたデータの状況を確認中とのことです。
カプコンは今後、外部のセキュリティベンダーと協力し、攻撃の全容解明や再発防止に取り組む方針で、外部の専門家を交えた対策チームも新設すると発表しています。
情報が漏えいした可能性のある顧客や取引先に対しては、順次経緯や状況を説明するとしています。カプコンは顧客や取引先に対し「心当たりのない郵送物が届く場合や、不審な連絡が入る可能性がある。注意してほしい」と呼び掛けています。