「バイオハザード」や「ストリートファイター」などのゲームで有名なカプコンが、
2020年11月初めに発生したランサムウェア攻撃により不正アクセスを受けて
最大35万人件の個人情報等が流出した可能性があることを公表しました。
(カプコンHPより抜粋:https://www.capcom.co.jp/ir/info/pdf/exannounce01.pdf)
世の中でこのニュースが大きく取り上げられたのは、
「身代金を支払わなければデータを公開する」と脅されたカプコンが、
それに応えなかったため、実際にデータがダークウェブに公開されてしまったということ。
(要求された身代金は、なんと!1,100万ドル(約11億5千万円)!!)
これまでのランサムウェアは、
感染したコンピュータをロックしたり、ファイルを暗号化したりすることによって
使用不能にし、元に戻すことと引き換えに「身代金」を要求する・・・
という攻撃手法でしたが、
最近はそれに加えてデータを公開するという脅しが追加されて来ているようです。
恐ろしい…
ランサムウェアは何年も前から流行しており、
その対策として、万が一データが使用不可能になっても事業を継続できるように、
バックアップをしっかり取っておきましょう!と言われていましたが、
今回の攻撃手法だと、バックアップを取っていても対策にはなりません。。
「データ」を人質にすることで、
万が一身代金を支払ったとしても、
すでに「データ」をコピーされてしまっていた場合は、
何回でも要求される可能性があります。
こういう時代になってきたのか…と何とも言えない気分です。
今回カプコンは「支払わない」という決定をしたわけですが、
今後同様の事例が発生した企業は、この対応を参考にしていくことになるでしょうね。
イチ消費者としては、自分の個人情報が企業の対応によって流出してしまう不安はありますが、
企業にとっても、こういう事態に対する対応を想定しておく必要がありそうです。
事業継続計画(BCP)を策定している企業は、
ランサムウエアによって事業が止まるというリスクの他に、
身代金を要求された場合の対応についても、
判断基準も含めて事前に検討しておきましょう。
原因や対策についてまだ詳細な情報が公開されていないので、
そのあたりについても引き続き注目していきたいと思います。