事業運営

カプコン事件に学ぶランサムウェア対策|身代金拒否の判断と実務的教訓

経営リスクナビ編集部

企業の経営判断を揺るがすランサムウェア攻撃の中でも、カプコンの情報漏洩事件は特に注目すべき事例です。攻撃の手口や被害の深刻さを知ることは、自社のセキュリティ体制を見直す上で不可欠と言えるでしょう。この記事では、カプコンのランサムウェア事件の経緯から原因、被害規模、そして「身代金は支払わない」という毅然とした対応までを詳細に解説し、企業が学ぶべき対策を考察します。

カプコンのランサムウェア事件とは

事件の概要とタイムライン

カプコンのランサムウェア事件は、「二重恐喝型」と呼ばれる、データを暗号化するだけでなく窃取した情報を公開すると脅迫する悪質なサイバー攻撃の代表例です。国内の大手ゲームメーカーが標的となり、機密データが人質に取られたことで社会に大きな衝撃を与えました。

事件発覚からの主な経緯は以下の通りです。

事件のタイムライン
  1. 2020年11月2日未明:社内システムへの接続障害を検知し、被害拡大を防ぐためシステムを遮断。
  2. 2020年11月4日:不正アクセスによるシステム障害の発生を公式に発表(第一報)。
  3. 2020年11月12日:詳細な調査により、個人情報および企業情報の流出を初めて確認。
  4. 2020年11月16日:最大で約35万件の顧客個人情報などが漏えいした可能性があると公表。
  5. 2021年1月12日:調査の進展に伴い、流出の可能性がある個人情報を最大約39万件に更新。

この事件は、日本企業が直面するサイバー攻撃のリスクがいかに深刻であるかを広く知らしめる契機となりました。

攻撃グループの手口と目的

この攻撃を実行したのは「Ragnar Locker(ラグナロッカー)」と名乗る国際的なサイバー犯罪集団です。彼らの主な目的は、標的とした企業からデータを人質にとって莫大な身代金を脅し取ることでした。

攻撃者は、特定の企業を入念に調査して侵入する「オーダーメイド型」のランサムウェアを用いました。その手口は、以下の通り極めて計画的かつ悪質です。

Ragnar Locker(ラグナロッカー)の主な攻撃手口
  • 企業のネットワークに侵入し、内部を広範囲に探索して重要なデータを窃取する。
  • データを盗み出した後、社内システムを暗号化して業務を完全に停止させる。
  • 窃取したデータの一部をインターネット上に公開し、身代金を支払わなければ全情報を暴露すると脅迫する(二重恐喝)。
  • 調査を困難にするため、攻撃の痕跡となるログを意図的に消去する。

このように、ラグナロッカーは標的を絞った高度な手法で、企業を金銭的にも精神的にも追い詰めることを狙っていました。

最終的な被害規模の公表内容

カプコンが受けた被害は、顧客や取引先だけでなく、従業員や採用応募者の情報にまで及ぶ広範なものでした。社内ネットワークに保管されていた多様なデータが攻撃対象となったためです。

最終的な調査結果によると、流出した情報の内訳は以下の通りです。

主な流出情報の内訳
  • 流出が確認された個人情報:16,415人分(取引先、退職者、従業員およびその家族の氏名や人事情報など)
  • 流出の可能性がある個人情報:最大約39万人分(家庭用ゲームのサポート対応情報、株主名簿、採用応募者情報など)
  • 流出が確認された企業情報:売上情報、営業資料、開発資料など
  • 流出がなかった情報:クレジットカード情報(ネット販売などの決済は全て外部の決済代行会社に委託していたため)

決済情報を除く広範囲の個人情報と企業秘密が漏えいしたことで、関係者への影響は極めて大きなものとなりました。

攻撃を許した原因と侵入経路

旧型VPN機器の脆弱性が起点

今回のサイバー攻撃の直接的な侵入経路は、北米の現地法人に設置されていた旧型のVPN(Virtual Private Network)機器でした。この機器は、テレワークへの移行期に予備機として残されており、その脆弱性が攻撃者に狙われました。

新型コロナウイルス感染症の拡大を受け、カプコンでも急遽テレワークが推進されました。その際、ネットワーク負荷の増大に対応するため、通信障害時の緊急避難用として、この旧型VPN機器が例外的に稼働していました。グループ全体ではすでに最新の機器への移行が進んでいましたが、この一台だけがセキュリティ対策の適用から漏れてしまっていたのです。

パンデミックという緊急事態への対応の中で生じた、システム管理上のわずかな隙が、深刻なサイバー攻撃を招く引き金となりました。

バックアップ用機器の管理不備

侵入を許した背景には、予備機やバックアップ回線といった「例外的」な運用体制における管理の不備がありました。緊急時に備えて残されていた機器が、最新のセキュリティ基準から外れた状態にあったことが根本的な原因です。カプコンでは、外部ネットワークとの境界に防御策を講じ、端末の不審な挙動を検知するソフトウェアの導入も進めていました。しかし、コロナ禍でのインフラ整備が優先され、この旧型機器は最新の監視体制や防御策の適用から取り残されていました。結果として、セキュリティパッチの適用といった基本的な脆弱性対策も不十分な状態であったと推測されます。

例外的な運用を安易に認めることが、組織全体のセキュリティを脅かす致命的な弱点となり得ることを示す教訓です。

ネットワーク内部での感染拡大

旧型VPN機器から侵入した攻撃者は、北米の拠点内にとどまらず、ネットワークを介して日本国内のサーバーにまで感染を拡大させました。これは、一度内部への侵入を許した後の、水平方向への移動(ラテラルムーブメント)を防ぐ対策が不十分であったことを意味します。

攻撃者は、以下の手順でネットワーク内部での犯行を進めたと考えられています。

ネットワーク内部での攻撃手順
  1. 旧型VPN機器の脆弱性を突き、北米法人のネットワークへ侵入する。
  2. システム内で高い権限を不正に取得し、内部を自由に移動できる足がかりを築く。
  3. 社内ネットワークを水平移動しながら、日本国内の拠点を含む複数のサーバーを次々と掌握する。
  4. この過程で、大量の機密情報を外部のサーバーへ窃取する。
  5. 2020年11月1日深夜、日米の複数拠点の機器に対し、一斉にランサムウェアを実行してファイルを暗号化する。

攻撃者はログを消去するなどの隠蔽工作も行っていたため、被害の発覚と初期調査は非常に困難なものとなりました。

カプコンの身代金拒否という判断

身代金要求と交渉の経緯

カプコンは、ランサムウェア攻撃によってデータを人質に取られましたが、攻撃者からの身代金の要求には一切応じないという毅然とした判断を下しました。犯罪組織の要求に応じることが根本的な解決にならないだけでなく、犯罪を助長することになると考えたためです。

感染した機器には、攻撃グループ「Ragnar Locker」からのメッセージファイルが残されており、交渉を求める連絡先の記載がありました。一部報道では約11億5千万円相当の暗号資産が要求されたと伝えられましたが、カプコンの公式発表によれば、メッセージファイル自体に具体的な金額の記載はなかったとされています。カプコンは速やかに警察当局へ相談し、専門的な助言を踏まえて攻撃者とは一切の交渉を行わないことを決定しました。この決断を受け、攻撃者は報復として窃取した情報をダークウェブ上のサイトで公開しました。

支払いを拒否した根拠と法的見解

身代金の支払いを拒否した背景には、コンプライアンス上の重大なリスクと、企業としての経営責任に対する強い配慮がありました。安易に支払いに応じることは、様々な法的・経営的リスクを伴います。

身代金支払いに伴う主なリスク
  • 法的リスク:支払先が制裁対象組織だった場合、外国為替及び外国貿易法に違反する可能性があります。
  • 経営的リスク:身代金を支払う判断が合理的でないとみなされた場合、経営陣が善管注意義務違反として株主から訴えられる恐れがあります。
  • 実効性の欠如:支払ってもデータが確実に復旧されたり、情報が公開されないという保証は一切ありません。
  • 倫理的・社会的リスク:犯罪組織に資金を提供することになり、さらなるサイバー犯罪を助長する社会的責任が問われます。

これらの点を総合的に考慮すれば、身代金の支払いに応じないことは、法的にも経営的にも最も妥当な判断であったと評価できます。

警察への通報と外部専門家との連携

カプコンは、インシデント対応を自社のみで抱え込まず、初期段階から公的機関や外部の専門家と緊密に連携する体制を構築しました。サイバー攻撃への対応には、高度な技術的知見と法的な助言が不可欠だからです。

具体的には、以下のような組織と連携して事態の収拾にあたりました。

主な連携先と役割
  • 警察(大阪府警):システム障害発生当日に通報し、捜査に協力。
  • セキュリティ専門企業:原因究明や復旧に向けたフォレンジック調査(デジタル鑑識)を依頼。
  • 外部弁護士:サイバーセキュリティに詳しい法律の専門家から、法的対応に関する助言を獲得。
  • 監督官庁:個人情報保護委員会や欧州のデータ保護機関に対し、法令に基づき報告。

事後においても、外部有識者を含む「セキュリティ監督委員会」を新設するなど、客観的な視点を取り入れた再発防止策を進めています。

身代金支払いを検討する際の財務・法務上のリスク比較

ランサムウェア被害に遭った際、身代金を支払うか否かの判断は、単純な費用対効果では測れません。短期的な事業復旧と、中長期的な法的・信用的リスクを天秤にかける、極めて難しい経営判断となります。

判断 メリット(期待される効果) デメリット(想定されるリスク)
支払う 事業停止による短期的な損失を抑制できる可能性がある。 データ復旧の保証はない/犯罪組織への資金提供となり、次の標的とされる/法的違反や社会的信用の失墜につながる。
拒否する 法的・レピテーションリスクを回避できる/犯罪の助長に加担しないという毅然とした姿勢を示せる。 事業の停止期間が長期化する/自力でのデータ復旧が困難になる/窃取されたデータが公開される可能性が高い。
身代金の支払い・拒否におけるリスク比較

一般的に、サイバー保険でも身代金自体は補償対象外となるケースが多く、財務上の短期的な損害軽減よりも、中長期的なリスク回避を優先するべきとされています。

事件から学ぶべき企業の対策

【予防策】脆弱性管理と認証強化

ランサムウェアの侵入を防ぐための基本であり最も重要な対策は、システムの脆弱性管理と認証の強化です。近年の攻撃の多くは、外部に公開された機器の弱点や、窃取された認証情報を悪用して始まります。

カプコンの事例から学ぶべき具体的な予防策は以下の通りです。

主な侵入予防策
  • 脆弱性管理の徹底:VPN機器など外部と接続するすべての機器に対し、セキュリティ更新プログラムを速やかに適用する。
  • 不要な機器の排除:使用していない、あるいは管理が行き届かない機器はネットワークから完全に切り離す。
  • 多要素認証(MFA)の導入:特に管理者権限を持つアカウントや外部からのアクセスには、IDとパスワード以外の認証要素を必須とする。
  • アクセス権限の最小化:従業員には業務上必要最小限のデータにしかアクセスできない権限を付与する。
  • 攻撃対象領域の管理:自社のシステムで外部に公開されている資産を正確に把握し、リスクを管理する(アタックサーフェスマネジメント)。

【予防策】従業員へのセキュリティ教育

強固な技術的対策を導入しても、それを扱う従業員のセキュリティ意識が低ければ、そこが弱点となり得ます。不審なメールの開封や脆弱なパスワードの使い回しなど、人的なミスが攻撃の起点となるケースは後を絶ちません。

セキュリティ教育のポイント
  • 標的型攻撃メールへの対処法:実在の取引先などを装った巧妙なメールの手口を周知し、安易に添付ファイルやリンクを開かないよう徹底する。
  • パスワード管理の重要性:推測されにくい複雑なパスワードを設定し、他のサービスとの使い回しを禁止する。
  • 実践的な訓練の実施:疑似的な攻撃メールを送る訓練などを定期的に行い、従業員の対応力を高める。
  • 報告ルールの定着:少しでも不審な点があれば、速やかに情報システム部門へ報告する文化を醸成する。

技術的対策と人的対策は、車の両輪として機能させることが不可欠です。

【事後策】インシデント対応計画(IRP)

万が一インシデントが発生してしまった際に、被害を最小限に抑え、迅速に復旧するためには、事前にインシデント対応計画(IRP: Incident Response Plan)を策定しておくことが極めて重要です。初期対応の遅れは、被害の拡大に直結します。

インシデント対応計画(IRP)に盛り込むべき項目
  • 緊急時の連絡網:インシデント検知時に誰が誰に報告するかのフローを明確にする。
  • 初期対応の手順:被害拡大を防ぐためのネットワーク遮断などの具体的な手順を定める。
  • 対応チームの役割分担:指揮官、技術担当、法務、広報などの役割と責任を事前に決めておく。
  • 事業継続計画(BCP)との連携:システムの停止が事業に与える影響を評価し、事業を継続するための方策を講じる。
  • 経営判断に関する方針:身代金を要求された場合に「支払わない」など、重要な方針をあらかじめ合意しておく。

この計画は一度作成して終わりではなく、定期的な訓練を通じて実効性を検証し、改善を続ける必要があります。

【事後策】データのバックアップ戦略

ランサムウェアによってデータが暗号化された場合の最後の砦は、安全な場所に保管されたバックアップデータです。信頼できるバックアップがあれば、身代金の要求を拒否し、自力でシステムを復旧させることが可能になります。

効果的なバックアップのポイント
  • 「3-2-1ルール」の実践:データを3つ持ち、2種類の異なる媒体に保存し、そのうち1つは物理的に離れた場所(オフサイト)に保管する。
  • ネットワークからの隔離:バックアップデータ自体が攻撃されないよう、普段はネットワークから切り離されたオフライン環境に保管する。
  • 書き換え不可能な設定の活用:一度書き込んだら変更・削除ができない「イミュータブルストレージ」などを利用する。
  • 定期的な復元テストの実施:バックアップデータから実際にシステムを復元できるかを定期的にテストし、いざという時に確実に使えることを確認する。

安全なバックアップは、ランサムウェアの脅威を無力化する最も効果的な手段の一つです。

インシデント公表における情報開示のタイミングと範囲

情報漏えいなどのインシデントが発生した際、不適切な情報開示は社会的な信用をさらに失う原因となります。関係者の不安を和らげ、信頼を回復するためには、誠実で透明性の高いコミュニケーションが不可欠です。

カプコンの事例では、障害発生から数日後に第一報を公表し、情報漏えいの可能性が判明した段階で、その時点での最大被害件数を含めて詳細に開示しました。

情報開示における重要な姿勢
  • 迅速性:調査の途中であっても、判明している事実関係を速やかに公表する。
  • 透明性:対応状況や今後の見通しなどを包み隠さず、誠実に説明する。
  • 法令遵守:個人情報保護法などの法令に基づき、監督官庁への報告を遅滞なく行う。

正確で誠実な情報開示を積み重ねることが、結果として企業の信頼回復につながります。

よくある質問

要求された身代金の金額は?

カプコンが攻撃者から要求された具体的な身代金の金額は、公式には確認されていません。カプコンの調査によれば、感染した機器に残されたメッセージファイルには、身代金額の直接的な記載はなかったとされています。

一部の海外メディアなどでは、攻撃者が約11億円相当の暗号資産を要求したと報じられましたが、これは攻撃者側が一方的に公開した情報です。カプコンは警察と相談の上、初期段階で攻撃者と一切の交渉を行わない方針を決定したため、企業として要求金額を直接確認する立場にはありませんでした。

事件後の業績への影響は?

大規模な情報漏洩事件でしたが、カプコンの連結業績に与えた直接的な影響は軽微でした。これは、同社の主力事業であるゲームソフトウェアの開発や販売に致命的な支障が生じなかったためです。

顧客がゲームをプレイするためのオンラインサービスや、ダウンロード販売の決済システムは、攻撃を受けた社内ネットワークとは別の外部サーバーで運用されていたため、事件の影響を受けませんでした。これにより、デジタル販売の好調を維持することができました。システムの復旧やセキュリティ強化に対策費用は発生しましたが、事業の根幹を揺るがすほどの経済的損失には至らなかったと公表されています。

犯人グループは特定された?

はい、カプコンを攻撃したサイバー犯罪集団は「Ragnar Locker(ラグナロッカー)」と呼ばれる組織であることが特定されています。これは、犯行声明や使用されたランサムウェアの特徴などから、セキュリティ専門家によって分析された結果です。

ラグナロッカーは、企業のデータを暗号化するだけでなく、事前に窃取した情報を公開すると脅す「二重恐喝」の手口で知られる国際的なハッカー集団です。事件後、日本を含む各国の法執行機関による国際共同捜査が進められ、2023年10月にはこのグループが使用していたウェブサイトが差し押さえられました。さらに、グループの中心メンバーとされる人物がフランスで逮捕されるなど、犯行グループの摘発が進んでいます。

現在の再発防止策は?

カプコンは事件の教訓を踏まえ、技術面と組織面の両方から、以下のような多層的な再発防止策を講じています。

技術的対策
  • 24時間365日体制でネットワークを監視するサービス(SOC)の導入。
  • PCなど端末上の不審な挙動を早期に検知・対応する仕組み(EDR)の全社展開。
  • 侵入経路となったVPN機器の管理体制の厳格化とセキュリティ強化。
組織的対策
  • 外部の大学教授や弁護士などの専門家を含む「セキュリティ監督委員会」を新設。
  • 社内に設置した専門部署を中心に、最新の攻撃手法に関する情報収集と防御ノウハウの蓄積。
  • 従業員のアカウント管理の見直しと、全社的なセキュリティ意識の向上。

これらの包括的な取り組みにより、サイバー攻撃に対する組織全体の防御力を高める努力を継続しています。

まとめ:カプコンの事例に学ぶランサムウェア対策と経営判断

カプコンの事件は、旧型VPN機器の脆弱性を突かれ、データを暗号化するだけでなく窃取した情報を公開すると脅す「二重恐喝型」ランサムウェア攻撃を受けた典型的な事例です。同社は警察や外部専門家と連携し、身代金の支払いを毅然と拒否しましたが、結果として広範囲の個人情報と企業情報が流出する深刻な被害に至りました。この事例から学ぶべきは、技術的な脆弱性管理や安全なバックアップの重要性に加え、サイバー攻撃が単なるシステム障害ではなく、経営判断そのものを問う重大なリスクであるという点です。自社の対策を見直す際は、技術的な防御策はもちろん、インシデント発生時の対応計画(IRP)を策定し、特に身代金要求に対する方針を経営陣で事前に定めておくことが不可欠です。本記事で解説した内容はあくまで一例です。具体的な対応は個々の状況で異なるため、平時からサイバーセキュリティに詳しい弁護士や専門家と連携できる体制を構築しておくことが、有事の備えとなります。



Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

記事URLをコピーしました