カプコン、旧型VPN装置が個人情報流出事件の一因となったと発表

 
大手ゲームソフトメーカーのカプコンは4月13日、2020年11月に発生した大規模な不正アクセスによる個人情報流出に関する報告書を発表しました。

カプコンの個人情報流出事件

カプコンでは2020年11月、何者かから不正アクセス攻撃を受け、大規模な個人情報流出が発生しています。
 
2021年1月12日の発表によると、個人情報の流出が確認された人は取引先や社員、関係者等、16,415人となっています。
 
さらに、流出した可能性のある個人情報は最大39万人分に達しており、非常に大規模な個人情報流出事件となりました。
 
なお、サイバーセキュリティ企業のMcAfeeが発表している2020年情報セキュリティ事件ランキングにおいて、ドコモ口座不正出金事件に次ぐ第2位に挙げられています。

旧型VPN装置がターゲットに

 
カプコンは不正アクセスの原因に関する調査を実施しており、米国の現地法人に設置していた旧型のVPN装置が不正アクセスの標的になったと報告しています。
 
カプコングループは新型のVPN装置を導入済でしたが、米国現地法人には、ネットワーク負荷が増大し通信障害が発生した場合に備え、旧型VPN装置が予備機として残置されていました。
 
旧型のVPN装置にはファイヤーウォール等の従来型のセキュリティ対策は実施されていたものの、システム内を常時監視するSOCサービス等の対策は導入準備中の段階でした。
 
犯人は旧型のVPNを攻撃し、カプコンの社内ネットワークへ侵入した上で、米国や日本の一部機器を乗っ取って個人情報を盗み出した模様です。
 
カプコンは、攻撃を受けた旧型のVPN装置を廃棄し新たなセキュリティ対策を導入するとともに、外部専門家を含めた「セキュリティ監督委員会」等を設立し、個人情報保護の強化を図ると表明しています。
 
 
Source:カプコン
Photo:カプコン米国法人
(seng)