MONOLITH LAW OFFICE+81-3-6262-3248Vardagar 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Lärdomar från Capcoms informationsläckage: Krismanagement och advokatens roll

General Corporate

Lärdomar från Capcoms informationsläckage: Krismanagement och advokatens roll

Informationläckan hos Capcom som inträffade i november 2020 (Gregorianska kalendern) orsakades av skräddarsydd ransomware, och det fanns en möjlighet att upp till 390 000 personuppgifter hade läckt ut.

Självklart är det bäst att incidenter inte inträffar, och det är viktigt att först och främst skapa ett system för att förhindra dem. Men oavsett vilket system man har på plats, är det omöjligt att helt eliminera risken för att de inträffar.

Om en sådan incident skulle inträffa, vad bör man göra direkt efteråt? Vilka åtgärder och undersökningar bör man vidta, och när och hur bör man offentliggöra informationen?

I den här artikeln kommer vi att diskutera Capcoms informationsläcka ur ett krishanteringsperspektiv, och lära oss om det lämpliga krishanteringssystemet utifrån företagets respons, i kronologisk ordning.

※ Som advokat har man en strikt tystnadsplikt enligt japansk advokatlagstiftning när det gäller ärenden man har varit direkt involverad i. Den här artikeln är baserad på offentligt tillgänglig information om tidigare händelser som vår byrå inte har varit inblandad i, och uttrycker advokatens åsikter.

Avslöjandet av incidenten och den initiala responsen

Incidenten bekräftades ha inträffat den 2 november 2020.

Vid denna tidpunkt identifierades anslutningsproblem till företagets interna system, och åtgärder för att isolera systemet och bedöma skadorna inleddes.

Senare samma dag blev det klart att orsaken till problemet var kryptering av filer på nätverksutrustning orsakad av ett ransomware-angrepp.

På de drabbade terminalerna upptäcktes hotmeddelanden från en grupp som kallar sig “Ragnar Locker”.

Vid denna tidpunkt hade Capcom redan rapporterat till polisen i Osaka prefektur och begärt återställningsstöd från externa företag.

När en incident inträffar är det naturligtvis nödvändigt för företagets kontinuitet att snabbt återställa systemet. Men om ett ransomware-angrepp bekräftas, är det mycket troligt att det är en så kallad olaglig åtkomst, vilket är en handling som är förbjuden enligt den japanska lagen om förbud mot olaglig åtkomst.

Det är viktigt att snabbt rapportera till polisen innan det bekräftas att konfidentiell information, inklusive personuppgifter, har läckt ut och innan intrångsvägen har identifierats.

Krismanagement PR före upptäckten av informationsläckage

Och dagen efter händelsen, den 4 november, publicerade Capcom sitt första pressmeddelande, “Meddelande om systemfel orsakat av obehörig åtkomst”.

Vi har bekräftat att detta fel beror på obehörig åtkomst från en tredje part, och vi har tillfälligt stoppat delar av vårt interna nätverk sedan samma dag. Vi ber om ursäkt för det stora besväret detta orsakar alla berörda. Vid denna tidpunkt har vi inte bekräftat något läckage av kundinformation etc.

Meddelande om systemfel orsakat av obehörig åtkomst [ja]

Vid denna tidpunkt var det fortfarande bara ett “systemfel” orsakat av “obehörig åtkomst”, och ingen informationsläcka hade upptäckts ännu.

Pressmeddelande efter upptäckt av informationsläcka

Antal möjliga personuppgifter som kan ha läckt ut

Informationsläckan upptäcktes den 12 november.

Det bekräftades att personuppgifter från 9 individer och viss företagsinformation hade läckt ut.

Dagen efter kontaktade Capcom ett stort säkerhetsföretag för att undersöka orsaken, och den 16 november offentliggjorde de ett pressmeddelande som bekräftade informationsläckan.

Vid denna tidpunkt,

  • Information som bekräftats ha läckt ut
  • Information som kan ha läckt ut

skiljdes åt, och för var och en av dem,

  • Personuppgifter (kunder, affärspartners, etc.)
  • Personuppgifter (anställda och intressenter)
  • Företagsinformation (försäljningsinformation, affärspartnerinformation, försäljningsmaterial, utvecklingsmaterial, etc.)

skiljdes åt, och det grova antalet publicerades.

Vid denna tidpunkt offentliggjordes att “det finns en möjlighet att upp till cirka 350 000 kunders personuppgifter kan ha läckt ut”.

Om kreditkortsinformation har läckt ut och hur man hanterar det

Samtidigt,

För övrigt, eftersom vi outsourcar all betalning i samband med onlineförsäljning, etc., har vi ingen kreditkortsinformation, och det har inte läckt ut någon kreditkortsinformation.

Meddelande och ursäkt om informationsläcka på grund av obehörig åtkomst[ja]

de nämnde om kreditkortsinformation hade läckt ut, och dessutom,

  • Åtgärder för personer vars personuppgifter har bekräftats ha läckt ut och de som kan ha det
  • Historik och åtgärder vid upptäckt
  • Framtida åtgärder

de offentliggjorde sådan information.

Vägledning och råd från externa advokater, etc.

Och i pressmeddelandet,

Vi rapporterade situationen till ett stort mjukvaruföretag, en stor säkerhetsspecialistleverantör och en extern advokat med djup kunskap om cybersäkerhet, och fick vägledning och råd. Vi kommer att börja kontakta de personer vars information har bekräftats ha läckt ut och de intressenter som har det, och vi kommer att fortsätta undersöka information som kan ha stulits.

Meddelande och ursäkt om informationsläcka på grund av obehörig åtkomst[ja]

de uttryckte också sådana saker.

Dessutom, som “kontaktpunkt för frågor om personuppgifter” och “Capcom informationsläcka speciell kontaktpunkt”, förbereddes “spelanvändarkontaktpunkt” och “allmän kontaktpunkt”, båda med gratis telefonnummer.

Och från det att det upptäcktes att åtminstone en del av informationen hade läckt ut, tog det 4 dagar att offentliggöra ett pressmeddelande om att det hade varit en informationsläcka.

Detta anses ha varit en nödvändig period för att genomföra en viss grad av detaljerad information och för att fatta beslut om framtida åtgärder.

Personuppgiftsläckor och krishantering

Till skillnad från den första rapporten om “systemfel”, kommer den andra rapporten som säger “upp till 350 000 kunders personuppgifter kan ha läckt ut” att uppmärksammas av flera medier.

Capcom har utsatts för en skräddarsydd ransomware-attack från en tredje part, vilket har lett till att personuppgifter som företagsgruppen innehar har läckt ut. Den 16 november (2020) uppgick den potentiella läckan av information, inklusive kunder och affärspartners, till maximalt cirka 350 000 poster. Det finns också en möjlighet att försäljningsmaterial och utvecklingsmaterial har läckt ut.

Capcom, upp till 350 000 personuppgifter läckta ut i en obehörig åtkomstattack “Ingen störning i spelupplevelsen” – BCN+R[ja]

Emellertid, vid tidpunkten för pressmeddelandet, offentliggjordes också information om “upptäckt och svar” och “framtida åtgärder”, så ovanstående artikel avslutas med en text som “Framöver kommer de att samarbeta med polismyndigheterna och etablera en rådgivande organisation för systemets säkerhet med externa experter för att förhindra återkommande händelser. De försäkrar att det inte kommer att finnas någon utökad skada på användare eller externa parter genom internetanslutning för att spela företagets spel eller tillgång till företagets hemsida. Dessutom uppmanar de användare som kan ha läckt ut personuppgifter att vara försiktiga eftersom de kan få post som de inte känner igen eller misstänkta samtal.”

I ett pressmeddelande efter att en personuppgiftsläcka har upptäckts, kan det sägas vara viktigt att avslöja en viss mängd sammanhängande information, inklusive “upptäckt och svar” och “framtida åtgärder”.

Och vid tidpunkten för upptäckten av personuppgiftsläckan,

  • Stora mjukvaruföretag
  • Stora säkerhetsspecialistleverantörer
  • Extern advokat med djup kunskap om cybersäkerhet

Det kan sägas vara viktigt att bilda ett team av externa experter som ovan och parallellt med rena IT-åtgärder som att undersöka orsaken, kontakta kunder vars information har bekräftats läckt ut, och hantera kriskommunikation.

Dessutom, i fallet med börsnoterade företag, är det nödvändigt att förklara för aktieägare som en del av denna kriskommunikation.

Potentiell läcka av jobbsökandes information

I det offentliggjorda pressmeddelandet “Information som kan ha läckt ut” och “Personuppgifter (kunder, affärspartners, etc.) upp till cirka 350 000 poster”, fanns det en punkt som nämnde “Jobbsökandes information (cirka 125 000 poster)”. Detta ledde till frågor på sociala medier, i samband med att Capcom hade meddelat på sin egen rekryteringssida att de skulle förstöra denna information.

Angående jobbsökandes information, hade Capcom skrivit på sin egen rekryteringssida att “Ansökningsdokument och liknande från personer som inte blev anställda eller som avböjde jobberbjudandet kommer att förstöras ansvarsfullt av oss efter urvalsprocessen”. Det faktum att personuppgifter som borde ha förstörts inte hade förstörts ledde till frågor om företagets hantering på Twitter. Capcom förklarade att de “digitaliserade ansökares CV och liknande och lagrade dem under en viss period”. De bad om ursäkt och sa att “det uppstod missförstånd eftersom det inte fanns någon hänvisning till digitalisering och uttrycket var otillräckligt”. Angående skälen till lagringen förklarade de att “det finns de som ansöker flera gånger. Det var för att smidigt kunna kontrollera tidigare ansökningshistorik”. Om alla sökandes data lagrades enhetligt eller inte är “oklart vid denna tidpunkt”.

Capcom, behåller ansökningsdokument från icke-anställda. Rekryteringssidan säger “ansvarsfullt förstörd”, men det finns en möjlighet att information läckt ut genom cyberattacker – ITmedia NEWS[ja]

Det är oklart om Capcom förutspådde dessa frågor, men om det finns information inom företaget som inte borde finnas (och det är till viss del oundvikligt att det tänks så), och det finns en möjlighet att den har läckt ut, skulle det vara bättre att överväga detta problem i förväg och publicera ett pressmeddelande.

Uppstart av säkerhetsövervakningskommittén, inklusive advokater

Offentliggörande av den tredje pressmeddelandet

Capcom höll ytterligare ett förberedande möte den 21 december för att starta “Säkerhetsövervakningskommittén” som en rådgivande organisation för systemets säkerhet av externa experter.

Året därpå, den 12 januari 2021, offentliggjorde de det tredje pressmeddelandet, “Meddelande och ursäkt om informationsläckage på grund av obehörig åtkomst [Tredje rapport]”,

Det bekräftades att ytterligare 16 406 personer hade läckt ut, vilket gör att det totala antalet personer som har läckt ut sedan denna händelse började är 16 415. Dessutom har det visat sig att det maximala antalet kunder och affärspartners vars personliga information kan ha läckt ut är cirka 390 000 (en ökning med cirka 40 000 sedan förra gången).

Informationen har uppdaterats i takt med att undersökningen har fortskridit. Dessutom, förutom att kreditkortsinformation inte har läckt ut,

För att spela våra spel via internetanslutning eller köpa dem via nedladdning, har vi ursprungligen inte använt det system som attackerades denna gång, utan har använt externa leverantörer eller separata externa servrar, vilket fortfarande är fallet. Därför har internetanslutningen eller köpet via nedladdning för att spela våra spel inget att göra med denna cyberattack mot vårt system, och det kommer inte att orsaka någon skada för våra kunder.

Meddelande och ursäkt om informationsläckage på grund av obehörig åtkomst [Tredje rapport] | Capcom Co., Ltd. [ja]

Detta har också noterats.

Om möjligheten till läckage av personlig information för jobbsökande

Dessutom, vid denna tidpunkt, som “information där läckagepotentialen har bekräftats”, offentliggjordes möjligheten till läckage av personlig information för “cirka 58 000 jobbsökande”, specifikt “ett eller flera av namn, adress, telefonnummer, e-postadress etc.”

Om detta,

Angående sökandeinformation, i november upptäcktes det att företaget hade behållit informationen efter urvalet i samband med cyberattacken mot företaget. Ursprungligen stod det i “Hantering av personlig information” på rekryteringssidan att “vi kommer att förstöra den ansvarigt efter urvalet”. Senare, i december 2020, lades frasen “På grund av att vi accepterar återansökningar, kan vi behålla digitaliserade versioner av de pappersdokument vi har mottagit för en viss tid för att smidigt bekräfta tidigare ansökningar” till. Enligt företaget, “Sökandens personliga information lagras fortfarande i vårt interna system, och driften har knappast ändrats sedan före den obehöriga åtkomsten.

Capcom bekräftar läckage av personlig information för 16 000 personer, och avslöjar också möjligheten till läckage av ytterligare 58 000 personer i cyberattacken i november 2020 – ITmedia NEWS[ja]

Denna rapport har gjorts.

Krismanagementkommunikation baserat på undersökningsresultat

Offentliggörande av fjärde pressmeddelandet

Därefter höll Capcom sitt första säkerhetsövervakningskommittémöte den 18 januari, sitt andra möte den 25 februari och sitt tredje möte den 26 mars, med en takt på ett möte per månad. Dessutom mottog de en undersökningsrapport från ett stort säkerhetsföretag och en rapport från ett stort mjukvaruföretag den 31 mars.

Med detta i åtanke offentliggjorde de sitt fjärde pressmeddelande, “Rapport om resultaten av undersökningen om obehörig åtkomst [Fjärde rapporten]” den 13 april.

I detta pressmeddelande ger de en detaljerad teknisk förklaring baserad på ovanstående rapporter, inklusive “historik över svar”, “orsaker och omfattning av skadan” och “åtgärder för att förstärka säkerheten för att förhindra återkommande händelser”. Dessutom nämner de att de har inrättat en säkerhetsövervakningskommitté, inklusive en advokat som är expert på cybersäkerhet och japansk personuppgiftslagstiftning.

Rapportering och respons gällande lösesumma

Under tiden, den 1 mars, rapporterades det att den tidigare nämnda cyberbrottsgruppen ‘Ragnar Locker’ hade krävt en lösesumma på cirka 1,15 miljarder yen från Capcom.

Cyberbrottsgruppen ‘Ragnar Locker’ har publicerat filer på sin webbplats som de hävdar är stulna data från företag, och har krävt 11 miljoner dollar (cirka 1,15 miljarder yen) i Bitcoin som lösesumma, men Capcom har för närvarande vägrat att betala.

Capcom vägrar att betala 1,15 miljarder yen! Anledningen till att man inte bör betala lösesumma även vid ransomware-skador | Säkerhetsåtgärder i teleworking-eran | Diamond Online[ja]

I samband med detta, i den fjärde pressmeddelandet ovan, angående lösesumman,

Erkännande av lösesumman
Det finns ett meddelande från angriparen på den infekterade utrustningen, och det är sant att vi blev ombedda att kontakta för förhandlingar med angriparen, men det fanns ingen anteckning om lösesumman i filen. Som tidigare rapporterat, har vi beslutat att inte förhandla med angriparen efter att ha rådfrågat polisen, så vi har faktiskt inte tagit någon kontakt alls (se pressmeddelandet från den 16 november 2020), så vi vet inte beloppet.

Rapport om resultaten av undersökningen om obehörig åtkomst【Fjärde rapporten】 | Capcom Co., Ltd.[ja]

De har uttalat sig. Detta verkar vara ett svar på att den specifika summan “1,15 miljarder yen” har kommit ut i rapporter som den ovan nämnda.

Pressmeddelande på relaterade webbplatser

Capcom har även på samma dag publicerat information på andra webbplatser än företagets officiella webbplats, såsom “CAPCOM: Shadaloo Combat Research Institute” (en webbplats relaterad till Street Fighter 5) och “CAPCOM ONLINE GAMES”.

[Uppdatering] Meddelande om systemfel i gruppsystemet
Tack för att du använder “Capcom Online Games (COG)” som vanligt. Vi har offentliggjort den senaste informationen om systemfel i vårt gruppsystem orsakat av obehörig åtkomst från tredje part sedan tidig morgon den 2 november 2020. Vänligen kontrollera detaljerna här.

Meddelande detaljer | Capcom Online Games[ja]

Sådana sidor har publicerats.

Detta informationsläckage, som upptäcktes i ett tidigt skede, var något som “använde extern outsourcing eller en separat extern server”, och det visade sig att “det inte finns något samband mellan cyberattacken mot vårt system denna gång och internetanslutningen eller inköp via nedladdning för att spela spelet, och det finns ingen skada på kunderna”.

Det antas att de har offentliggjort ett pressmeddelande om detta på varje webbplats igen vid tidpunkten för att rapportera resultaten av undersökningen för att inte orsaka oro bland användarna.

Sammanfattning

Som vi har sett, i fall där stora personuppgiftsläckor har inträffat, är det viktigt att:

  • Snabbt rapportera incidenten till polisen
  • Rapportera situationen till externa advokater med djup kunskap inom cybersäkerhet och få deras vägledning och råd
  • Genomföra krishantering och PR genom ovanstående team

Och när tillräckligt med information har samlats in, är det viktigt att:

  • Skapa en säkerhetsövervakningskommitté som inkluderar advokater

Det kan sägas att det är viktigt att snabbt och organiserat genomföra dessa krishanteringsåtgärder.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Tillbaka till toppen