Norsk English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_no/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hverdager 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > Lærer fra Capcoms informasjonslekkasje: Krisestyring og advokatens rolle

Lærer fra Capcoms informasjonslekkasje: Krisestyring og advokatens rolle

General Corporate

Lærer fra Capcoms informasjonslekkasje: Krisestyring og advokatens rolle

Informasjonslekkasjen hos Capcom som skjedde i november 2020 (Gregoriansk kalenderår), var forårsaket av skreddersydd ransomware, og det var en mulighet for at så mange som 390 000 personopplysninger kunne ha blitt lekket.

Det er selvfølgelig best om slike hendelser ikke skjer, og det er først og fremst viktig å etablere et system for å forhindre dem. Men uansett hvilket system man har på plass, er det umulig å redusere sannsynligheten for at de oppstår til null.

Hvis en slik hendelse skulle oppstå, hva slags tiltak og undersøkelser bør man gjennomføre umiddelbart etterpå, og når og hvordan bør man kunngjøre det?

I denne artikkelen vil vi forklare Capcoms informasjonslekkasje i kronologisk rekkefølge, for å lære om den nødvendige krisehåndteringsstrukturen fra selskapets respons på en “hendelse med personopplysninger lekket av malware”.

※Advokater har en streng taushetsplikt i henhold til den japanske advokatloven om saker de faktisk har vært involvert i som advokater. Denne artikkelen gir advokatens synspunkter basert på offentlig tilgjengelig informasjon om tidligere saker som vårt firma ikke har vært involvert i.

Avdekking av hendelsen og tidlig respons

Hendelsen ble bekreftet den 2. november 2020.

På dette tidspunktet ble det bekreftet en tilkoblingsfeil til bedriftssystemet, og tiltak for å isolere systemet og forstå skadeomfanget ble iverksatt.

Samme dag ble det avdekket at årsaken til feilen var kryptering av filer på nettverksutstyr som følge av et ransomware-angrep.

På de berørte terminalene ble det oppdaget trusselmeldinger fra en gruppe som kaller seg “Ragnar Locker”.

På dette tidspunktet hadde Capcom rapportert til politiet i Osaka og bedt om gjenopprettingsstøtte fra eksterne selskaper.

Når en hendelse oppstår, er det selvfølgelig nødvendig for bedriftens kontinuitet å raskt gjenopprette systemet. Imidlertid, hvis et ransomware-angrep er bekreftet, er det svært sannsynlig at det er en såkalt ulovlig tilgang, en handling som er forbudt under den japanske “Ulovlig tilgangsforbud-loven”.

Før det bekreftes at konfidensiell informasjon, inkludert personlig informasjon, har lekket, og før inntrengningsruten er identifisert, er det viktig å raskt rapportere til politiet.

Krisekommunikasjon før avsløring av informasjonslekkasje

Og dagen etter hendelsen, den 4. november, offentliggjorde Capcom sin første pressemelding, “Kunngjøring om systemfeil forårsaket av uautorisert tilgang”.

Vi har bekreftet at denne feilen skyldes uautorisert tilgang fra en tredjepart, og vi har delvis suspendert driften av vårt interne nettverk fra samme dag. Vi beklager dypt for de store ulempene dette vil forårsake for alle involverte. Videre er det på dette tidspunktet ikke bekreftet noen lekkasje av kundeinformasjon osv.

Kunngjøring om systemfeil forårsaket av uautorisert tilgang

På dette tidspunktet var det bare en “systemfeil” forårsaket av “uautorisert tilgang”, og informasjonslekkasjen hadde ennå ikke blitt avslørt.

Pressemelding etter avsløring av informasjonslekkasje

Antall personopplysninger som kan være lekket, etc.

Informasjonslekkasjen ble oppdaget den 12. november.

Det ble bekreftet at personopplysninger fra 9 personer og noen bedriftsinformasjon hadde lekket ut.

Dagen etter kontaktet Capcom et stort sikkerhetsselskap for å undersøke årsaken, og den 16. november offentliggjorde de en pressemelding som bekreftet lekkasjen av informasjon.

På dette tidspunktet,

  • Informasjon der lekkasjen ble bekreftet
  • Informasjon som kan ha lekket ut

ble skilt ut, og for hver av dem,

  • Personopplysninger (kunder, forretningspartnere, etc.)
  • Personopplysninger (ansatte og relaterte parter)
  • Bedriftsinformasjon (salgsinformasjon, forretningspartnerinformasjon, salgsmateriell, utviklingsmateriell, etc.)

ble skilt ut, og det ble publisert et grovt antall.

På dette tidspunktet ble det offentliggjort at “det er en mulighet for at opptil omtrent 350 000 kundepersonopplysninger kan ha lekket ut”.

Om det har lekket ut kredittkortinformasjon og hvordan det håndteres, etc.

I tillegg, samtidig,

For øvrig har vi outsourcet all betaling i netthandel, etc., så vi har ikke kredittkortinformasjon, og det har ikke lekket ut kredittkortinformasjon.

Melding og unnskyldning om informasjonslekkasje på grunn av uautorisert tilgang

ble det nevnt om det har lekket ut kredittkortinformasjon, og i tillegg,

  • Hvordan de håndterer personer som har bekreftet at deres personopplysninger har lekket ut og de som kan ha det
  • Hvordan de oppdaget og håndterte det
  • Hvordan de vil håndtere det i fremtiden

ble slik informasjon offentliggjort.

Veiledning og råd fra eksterne advokater, etc.

Og i pressemeldingen,

Vi rapporterte situasjonen til et stort programvareselskap, en stor sikkerhetsspesialistleverandør, og en ekstern advokat med dyp kunnskap om cybersikkerhet, og fikk veiledning og råd. Vi vil begynne å kontakte de som har bekreftet at informasjonen deres har lekket ut og de som er involvert, og vi vil fortsette å undersøke informasjonen som kan ha blitt stjålet.

Melding og unnskyldning om informasjonslekkasje på grunn av uautorisert tilgang

ble også uttalt.

I tillegg ble “Kontakt for personopplysninger” og “Capcom informasjonslekkasje spesifikk kontakt” forberedt som “Spillbruker kontakt” og “Generell kontakt”, begge med gratisnummer.

Og det tok 4 dager fra det ble oppdaget at minst noe informasjon hadde lekket ut til pressemeldingen om informasjonslekkasjen ble offentliggjort.

Dette er antatt å være en nødvendig periode for å utføre en viss grad av detaljert informasjonsverifisering og beslutningstaking om fremtidig håndtering, etc.

Personvernbrudd og krisehåndtering

I motsetning til den første rapporten om “systemfeil”, vil den andre rapporten som sier “det er mulig at personlig informasjon om opptil 350 000 kunder har lekket ut”, bli omtalt i flere medier.

Capcom har blitt utsatt for et skreddersydd ransomware-angrep fra en tredjepart, og personlig informasjon som selskapsgruppen har, har lekket ut. Per 16. november er det mulig at informasjonen som kan ha lekket ut, inkludert kunder og forretningspartnere, kan være opptil omtrent 350 000 tilfeller. Det er også mulig at forretningsdokumenter og utviklingsdokumenter har lekket ut.

Capcom, opptil 350 000 personopplysninger lekket ut i uautorisert tilgang “Ingen problemer med spill” – BCN+R

Imidlertid, siden informasjon som “historien om oppdagelsen og responsen” og “fremtidige tiltak” også ble offentliggjort på tidspunktet for pressemeldingen, ble artikkelen ovenfor avsluttet med en setning som “I fremtiden vil de samarbeide med politimyndighetene, etablere en rådgivende organisasjon for systemets sikkerhet av eksterne eksperter, og jobbe for å forhindre at det skjer igjen. Det vil ikke være noen skade på brukere eller utenfor selskapet ved å få tilgang til internett for å spille selskapets spill eller tilgang til selskapets hjemmeside. Videre, for brukere som kan ha hatt personlig informasjon lekket ut, blir de oppfordret til å være forsiktige da det kan være mulig at de mottar post de ikke kjenner til, eller mottar mistenkelige kontakter.”

I en pressemelding etter at et personvernbrudd er oppdaget, kan det sies at det er viktig å avsløre en viss mengde informasjon, inkludert “historien om oppdagelsen og responsen” og “fremtidige tiltak”.

Og når et personvernbrudd er oppdaget, er det viktig å danne et team av eksterne eksperter, som:

  • Store programvareselskaper
  • Store sikkerhetsspesialistforhandlere
  • Eksterne advokater med dyp kunnskap om cybersikkerhet

Det er viktig å gå frem med å kontakte kunder osv. hvor informasjonslekkasje er bekreftet, krisehåndtering PR, etc., parallelt med rene IT-tiltak som årsaksundersøkelse.

I tillegg, i tilfelle av børsnoterte selskaper, er det nødvendig å forklare aksjonærer osv. som en del av denne krisehåndterings PR.

Mulighet for lekkasje av jobbsøkerinformasjon

I tillegg har det blitt reist spørsmål på sosiale medier i forbindelse med at Capcom nevnte “informasjon om jobbsøkere (omtrent 125 000)” i sin offentliggjorte pressemelding “Mulig lekkasje av informasjon” og “Personlig informasjon (kunder, forretningspartnere, etc.) opptil omtrent 350 000”. Dette er fordi Capcom hadde angitt på sin egen rekrutteringsside at de ville ødelegge denne informasjonen.

Capcom hadde angitt på sin egen rekrutteringsside at “Vi vil ødelegge søknadsdokumentene til de som ikke ble ansatt eller som avslo jobbtilbudet etter intervjuet”. Det har blitt reist spørsmål på Twitter om hvorfor personlig informasjon som skulle ha blitt ødelagt, ikke ble det. Capcom forklarte at “Vi digitaliserte CV-er og andre dokumenter fra søkere og lagret dem i en viss periode”. De beklaget og sa, “Det oppstod en misforståelse fordi vi ikke nevnte digitalisering, og uttrykket var utilstrekkelig”. Angående grunnen til lagringen, forklarte de at “Noen søkere søker flere ganger. Det var for å kunne sjekke tidligere søknadshistorikk jevnt”. Om de lagret data fra alle søkere er “ukjent på dette tidspunktet”.

Capcom, ødelegger ikke søknadsdokumentene til de som ikke ble ansatt. Selv om det står “Ødelegger med ansvar” på rekrutteringssiden, er det mulighet for informasjonslekkasje på grunn av cyberangrep – ITmedia NEWS

Det er uklart om Capcom forutså at slike spørsmål ville bli reist, men hvis det er mulig at informasjon som “egentlig ikke skulle eksistere (og det er forståelig om det antas at det ikke gjør det)” eksisterer internt og at det kan ha lekket ut, ville det vært bedre å vurdere dette problemet på forhånd og deretter utgi en pressemelding.

Oppstart av sikkerhetstilsynskomiteen, inkludert advokater

Offentliggjøring av den tredje pressemeldingen

I tillegg holdt Capcom et forberedende møte den 21. desember for å etablere en “Sikkerhetstilsynskomite” som en rådgivende organisasjon for systemets sikkerhet, ledet av eksterne eksperter.

Året etter, den 12. januar 2021, offentliggjorde de den tredje pressemeldingen, “Beklagelse og informasjon om informasjonslekkasje på grunn av uautorisert tilgang【Tredje rapport】”,

Det ble bekreftet at ytterligere 16,406 personer hadde fått informasjonen sin lekket, noe som bringer det totale antallet til 16,415 personer siden hendelsen startet. I tillegg ble det avdekket at det potensielt kunne være så mange som 390,000 kunder og forretningspartnere (en økning på omtrent 40,000 fra forrige gang) hvis personlige informasjon kan ha lekket.

Oppdateringer på informasjonen ble publisert i takt med fremdriften i undersøkelsen. I tillegg til at det ble bekreftet at kredittkortinformasjon ikke hadde lekket, ble det også sagt at,

For å spille våre spill via internettforbindelse eller kjøpe dem via nedlasting, har vi alltid brukt et system som ikke var målet for dette angrepet, og vi har brukt eksterne tjenester eller separate eksterne servere, som vi fortsatt gjør. Derfor er det ingen forbindelse mellom dette cyberangrepet på vårt system og din internettforbindelse eller kjøp via nedlasting for å spille våre spill, og det vil ikke påføre noen skade på våre kunder.

Beklagelse og informasjon om informasjonslekkasje på grunn av uautorisert tilgang【Tredje rapport】 | Capcom Co., Ltd.

Dette ble også nevnt.

Om muligheten for lekkasje av personlig informasjon fra jobbsøkere

I tillegg ble det på dette tidspunktet offentliggjort at det var en mulighet for lekkasje av “personlig informasjon fra omtrent 58,000 jobbsøkere”, spesifikt “ett eller flere av følgende: navn, adresse, telefonnummer, e-postadresse” som “informasjon der lekkasjen ble bekreftet”.

Om dette punktet,

Det ble avslørt i november at selskapet hadde beholdt informasjonen etter utvelgelsen i forbindelse med cyberangrepet på selskapet, i stedet for å ødelegge den. I begynnelsen stod det i “Håndtering av personlig informasjon” på rekrutteringsnettstedet at “Vi vil ødelegge den ansvarlig etter utvelgelsen”. Senere, i desember 2020, ble det lagt til en setning som sa “På grunn av at vi aksepterer gjeninnsending, kan det hende at vi beholder digitaliserte søknadsdokumenter for en viss periode for å kunne bekrefte tidligere søknader mer smidig”. Ifølge selskapet, “er søkerens personlige informasjon fortsatt lagret i vårt interne system, og driften har nesten ikke endret seg siden før uautorisert tilgang.

Capcom bekrefter lekkasje av personlig informasjon for 16,000 personer, og avslører også muligheten for ytterligere 58,000 personer å lekke i cyberangrepet i november 2020 – ITmedia NEWS

Dette ble rapportert.

Krisekommunikasjon basert på undersøkelsesresultater

Offentliggjøring av den fjerde pressemeldingen

Deretter holdt Capcom sitt første sikkerhetstilsynsutvalg den 18. januar, det andre den 25. februar, og det tredje den 26. mars, og holdt sikkerhetstilsynsutvalg med en månedlig frekvens. I tillegg mottok de en undersøkelsesrapport fra et stort sikkerhetsspesialistselskap og en rapport fra et stort programvareselskap den 31. mars.

Basert på dette, offentliggjorde de den fjerde pressemeldingen, “Rapport om resultater av undersøkelsen om uautorisert tilgang [Rapport nr. 4]” den 13. april.

I denne pressemeldingen gir de en detaljert teknisk forklaring basert på rapportene nevnt ovenfor, inkludert en detaljert “historikk av respons”, “årsak og omfang av skaden”, og “forbedringstiltak for å forhindre gjentakelse”. De nevner også at de har etablert et sikkerhetstilsynsutvalg, inkludert en advokat som er ekspert på japansk cybersikkerhet og personvernlovgivning.

Rapporter og respons om løsepenger

For øvrig ble det den 1. mars rapportert at den ovennevnte cyberkriminelle gruppen “Ragnar Locker” hadde krevd omtrent 1,15 milliarder yen i løsepenger fra Capcom.

Cyberkriminelle gruppen “Ragnar Locker” har publisert filer på sin egen nettside som de hevder er stjålet data fra selskaper, og har krevd 11 millioner dollar (omtrent 1,15 milliarder yen) i Bitcoin som løsepenger. Capcom har imidlertid nektet å betale på dette tidspunktet.

Capcom nekter å betale 1,15 milliarder yen! Grunner til at løsepenger ikke bør betales selv ved ransomware-angrep | Sikkerhetstiltak i tele-arbeidstiden | Diamond Online

I lys av dette, i den fjerde pressemeldingen nevnt ovenfor, om løsepenger,

Erkjennelse om løsepengesummen
Det er sant at det var en meldingsfil fra angriperen igjen på utstyret som ble infisert med ransomware, og at vi ble bedt om å ta kontakt for forhandlinger med angriperen. Imidlertid var det ingen omtale av løsepengesummen i denne filen. Som tidligere rapportert, har vi bestemt oss for ikke å forhandle med angriperen etter å ha konsultert med politiet, og vi har faktisk ikke tatt noen kontakt (se pressemeldingen utgitt 16. november 2020), så vi er ikke klar over beløpet.

Rapport om resultater av undersøkelse om uautorisert tilgang【Fjerde rapport】 | Capcom Co., Ltd.

De har utstedt en slik uttalelse. Det antas å være en respons på at en spesifikk sum på “1,15 milliarder yen” har kommet ut i rapporter som nevnt ovenfor.

Utgivelse på relaterte nettsteder osv.

I tillegg har Capcom samme dag publisert på nettsteder utenfor sitt eget bedriftsnettsted, som “CAPCOM: Shadaloo Fighter Research Institute” (en Street Fighter 5-relatert side) og “CAPCOM ONLINE GAMES”.

[Oppfølging] Informasjon om systemfeil i gruppesystemet
Takk for at du alltid bruker “Capcom Online Games (COG)”. Vi har offentliggjort den nyeste informasjonen om systemfeilen i vårt gruppesystem, som skyldes uautorisert tilgang fra tredjepart siden tidlig morgen 2. november 2020. Vennligst sjekk her for detaljer.

Informasjonsdetaljer | Capcom Online Games

Sider som dette er publisert.

Denne informasjonslekkasjen, som ble oppdaget i en tidlig fase, involverte “bruk av eksterne entreprenører eller separate eksterne servere”, og det ble avdekket at “det er ingen forbindelse mellom denne cyberangrepet på vårt system og internettforbindelsen eller kjøpene du gjør for å spille spillet, og det vil ikke påføre skade på kundene våre”.

Det antas at de publiserte en utgivelse om dette på hvert nettsted igjen for å unngå å forårsake bekymring blant brukerne når de rapporterte resultatene av undersøkelsen.

Oppsummering

Som vi har sett, i tilfeller der det har oppstått en stor personlig informasjonslekkasje, er det viktig å:

  • Raskt rapportere hendelsen til politiet
  • Rapportere situasjonen til en ‘ekstern advokat med dyp kunnskap om cybersikkerhet’ og få veiledning og råd
  • Ha krisekommunikasjon håndtert av det ovennevnte teamet

Og når en viss mengde informasjon har blitt samlet,

  • Sette sammen en sikkerhetsovervåkningskomité, inkludert advokater

Det kan sies at det er viktig å håndtere krisehåndtering raskt og organisert.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

Fjernarbeid for oppdragsbaserte tjenester: Nødvendig innhold for å inngå nye kontrakter (memorandum)

Fjernarbeid for oppdragsbaserte tjenester: Nødvendig innhold for å inngå nye kontrakter (memoran.

General Corporate

Er det ulovlig å formidle arbeidskraft uten lisens? Når det er nødvendig med tillatelse for betalt arbeidsformidling

Er det ulovlig å formidle arbeidskraft uten lisens? Når det er nødvendig med tillatelse for beta.

General Corporate

Forklaring av Prosedyrer, Fordeler og Ulemper ved Bruk av M&A for Selskapssalg

Forklaring av Prosedyrer, Fordeler og Ulemper ved Bruk av M&A for Selskapssalg

General Corporate

Hva er vurderingen av gyldigheten av disiplinær oppsigelse basert på privat e-postbruk på jobben?

Hva er vurderingen av gyldigheten av disiplinær oppsigelse basert på privat e-postbruk på jobben.

General Corporate

Lære om krisehåndtering og advokatens rolle fra eksemplet med informasjonslekkasje på 650 000 saker hos det japanske selskapet Tōken Corp.

Lære om krisehåndtering og advokatens rolle fra eksemplet med informasjonslekkasje på 650 000.

General Corporate

En forklaring på opprettelse og godkjenning av elektroniske signaturer: Hva er deres juridiske kraft?

En forklaring på opprettelse og godkjenning av elektroniske signaturer: Hva er deres juridiske k.

General Corporate

Er skjult markedsføring villedende reklame? Forklaring om bevegelsen mot strengere regulering og den japanske loven om premier og reklame

Er skjult markedsføring villedende reklame? Forklaring om bevegelsen mot strengere regulering og.

General Corporate

Kan man kreve erstatning fra en oppdragsgiver uten en inngått kontrakt?

Kan man kreve erstatning fra en oppdragsgiver uten en inngått kontrakt?

General Corporate

Hvordan er amerikansk lov forskjellig fra japansk? Viktige punkter du bør vite før du etablerer et lokalt selskap

Hvordan er amerikansk lov forskjellig fra japansk? Viktige punkter du bør vite før du etablerer .

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection Personal Information Protection#Cross-border System Development Terms of Use

Weekly Popular Articles

Tilbake til toppen