แบบไทย English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_th/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248วันธรรมดา 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > การจัดการวิกฤติและบทบาทของทนายความจากการรั่วไหลของข้อมูลของ Capcom

การจัดการวิกฤติและบทบาทของทนายความจากการรั่วไหลของข้อมูลของ Capcom

General Corporate

การจัดการวิกฤติและบทบาทของทนายความจากการรั่วไหลของข้อมูลของ Capcom

การรั่วไหลของข้อมูลของ Capcom ที่เกิดขึ้นในเดือนพฤศจิกายน พ.ศ. 2563 (2020) เกิดจากแรนซัมแวร์ที่สร้างขึ้นเฉพาะเจาะจง และอาจมีข้อมูลส่วนบุคคลสูงสุด 390,000 รายการที่ถูกเปิดเผย

แน่นอนว่าเหตุการณ์ที่ไม่พึงประสงค์นี้ควรจะไม่เกิดขึ้น และการจัดระบบให้ไม่เกิดเหตุการณ์เช่นนี้เป็นสิ่งที่สำคัญที่สุด แต่อย่างไรก็ตาม ไม่ว่าจะมีระบบอย่างไร การลดความเป็นไปได้ให้เป็นศูนย์เป็นสิ่งที่เป็นไปไม่ได้

หากเกิดเหตุการณ์ที่ไม่พึงประสงค์นี้ขึ้น ควรจะดำเนินการแก้ไขและสอบสวนอย่างไร และควรจะประกาศในช่วงเวลาใด และด้วยวิธีใด

ดังนั้น ในบทความนี้ เราจะอธิบายเรื่องการจัดการวิกฤติจากมุมมองของ “เหตุการณ์ที่ข้อมูลส่วนบุคคลรั่วไหลจากมัลแวร์” โดยใช้เหตุการณ์การรั่วไหลของข้อมูลของ Capcom เป็นตัวอย่าง และเรียนรู้เกี่ยวกับระบบจัดการวิกฤติที่ควรจะมีจากการตอบสนองของบริษัท

※ทนายความมีหน้าที่รักษาความลับในระดับสูงตามกฎหมายของทนายความญี่ปุ่น ในกรณีที่ท่านเข้ามามีส่วนร่วมในคดีจริง บทความนี้เป็นการแสดงความเห็นของทนายความ โดยอ้างอิงจากข้อมูลที่เปิดเผยแก่สาธารณะเกี่ยวกับเหตุการณ์ในอดีตที่สำนักงานของเราไม่ได้มีส่วนร่วม

การเปิดเผยและการตอบสนองเบื้องต้นต่อเหตุการณ์

การยืนยันว่าเกิดเหตุการณ์ขึ้นเมื่อวันที่ 2 พฤศจิกายน 2563 (2020)

ณ จุดนี้ ได้ยืนยันว่ามีปัญหาการเชื่อมต่อกับระบบภายใน การตัดการเชื่อมต่อระบบและการเริ่มต้นทราบสถานการณ์ความเสียหาย

และในวันเดียวกัน สาเหตุของปัญหาถูกพบว่าเป็นการเข้ารหัสไฟล์บนอุปกรณ์ในเครือข่ายจากการโจมตีของรันซัมแวร์

ข้อความขู่เข็ญจากกลุ่มที่เรียกตัวเองว่า “Ragnar Locker” ถูกค้นพบในเครื่องที่ได้รับความเสียหาย

ณ จุดนี้ บริษัท Capcom ได้รายงานเหตุการณ์นี้แก่ตำรวจจังหวัดโอซาก้าและขอความช่วยเหลือในการกู้คืนจากบริษัทภายนอก

เมื่อเกิดเหตุการณ์ ความจำเป็นที่จะต้องรีบกู้คืนระบบเพื่อการดำเนินธุรกิจของบริษัทเป็นสิ่งที่เป็นธรรมดา แต่ถ้าการโจมตีด้วยรันซัมแวร์ได้รับการยืนยัน นั่นคือการเข้าถึงโดยไม่เป็นธรรมดา ซึ่งมีความเป็นไปได้สูงว่าจะเป็นการกระทำที่ถูกห้ามตาม “กฎหมายห้ามการเข้าถึงโดยไม่เป็นธรรมดาของญี่ปุ่น”

ก่อนที่จะยืนยันว่ามีการรั่วไหลของข้อมูลลับที่รวมถึงข้อมูลส่วนบุคคล และก่อนที่จะระบุเส้นทางการบุกรุก การรายงานเร็วๆ นี้แก่ตำรวจเป็นสิ่งที่สำคัญ

การจัดการวิกฤติก่อนการรั่วไหลของข้อมูลถูกเปิดเผย

และในวันถัดไปของวันที่เกิดเหตุ ซึ่งเป็นวันที่ 4 พฤศจิกายน, บริษัท Capcom ได้ประกาศข่าวสารแรกผ่านทางประกาศแถลงข่าวที่เรื่อง “การแจ้งเตือนเกี่ยวกับการเกิดปัญหาของระบบจากการเข้าถึงที่ไม่เป็นธรรม”

เราได้ยืนยันว่ามีการเข้าถึงที่ไม่เป็นธรรมจากบุคคลที่สามในปัญหานี้ และเราได้หยุดการทำงานของเครือข่ายภายในบริษัทบางส่วนตั้งแต่วันนั้น เราขออภัยอย่างยิ่งสำหรับความไม่สะดวกที่เกิดขึ้นกับทุกท่านที่เกี่ยวข้อง นอกจากนี้ ณ ตอนนี้ยังไม่มีการยืนยันว่ามีข้อมูลของลูกค้าหรือข้อมูลอื่นๆ รั่วไหล

การแจ้งเตือนเกี่ยวกับการเกิดปัญหาของระบบจากการเข้าถึงที่ไม่เป็นธรรม

ณ จุดนี้ยังเป็นเพียง “การเข้าถึงที่ไม่เป็นธรรม” ที่ทำให้ “ระบบเกิดปัญหา” และยังไม่มีการเปิดเผยว่ามีข้อมูลรั่วไหล

การประกาศข่าวหลังจากการรั่วไหลของข้อมูล

จำนวนข้อมูลส่วนบุคคลที่มีความเป็นไปได้ที่จะรั่วไหล

การรั่วไหลของข้อมูลถูกเปิดเผยในวันที่ 12 พฤศจิกายน

ได้ยืนยันการรั่วไหลของข้อมูลส่วนบุคคล 9 รายการและข้อมูลบางส่วนขององค์กร

ในวันถัดมา บริษัท Capcom ได้ขอให้บริษัทที่เชี่ยวชาญด้านความปลอดภัยชั้นนำทำการสอบสวนเพื่อหาสาเหตุ และในวันที่ 16 พฤศจิกายน ได้ประกาศข่าวว่าได้ยืนยันการรั่วไหลของข้อมูล

ณ จุดนี้

  • ข้อมูลที่ยืนยันการรั่วไหล
  • ข้อมูลที่มีความเป็นไปได้ที่จะรั่วไหล

ได้ถูกแยกออกเป็นสองประเภท และสำหรับแต่ละประเภท

  • ข้อมูลส่วนบุคคล (ลูกค้าและคู่ค้า)
  • ข้อมูลส่วนบุคคล (พนักงานและผู้ที่เกี่ยวข้อง)
  • ข้อมูลองค์กร (ข้อมูลการขาย, ข้อมูลคู่ค้า, ข้อมูลการขาย, ข้อมูลการพัฒนา ฯลฯ)

ได้ถูกแยกออกเป็นสองประเภท และได้ประกาศจำนวนรายการที่เป็นไปได้ในลักษณะทั่วไป

ณ จุดนี้ ได้มีการเปิดเผยว่า “มีความเป็นไปได้ที่ข้อมูลส่วนบุคคลของลูกค้าประมาณ 350,000 รายการจะรั่วไหล”

การรั่วไหลของข้อมูลบัตรเครดิตและการตอบสนอง

นอกจากนี้

ทั้งนี้ บริษัทของเราได้มอบหมายการชำระเงินทั้งหมดในการขายออนไลน์ให้กับบริษัทภายนอก ดังนั้น บริษัทของเราไม่ได้เก็บข้อมูลบัตรเครดิต และไม่มีการรั่วไหลของข้อมูลบัตรเครดิต

ข่าวและขออภัยเกี่ยวกับการรั่วไหลของข้อมูลจากการเข้าถึงที่ไม่เป็นธรรม

ได้กล่าวถึงการรั่วไหลของข้อมูลบัตรเครดิต และนอกจากนี้

  • การตอบสนองต่อผู้ที่ได้รับการยืนยันการรั่วไหลของข้อมูลส่วนบุคคลและผู้ที่มีความเป็นไปได้
  • การเปิดเผยและการตอบสนอง
  • การตอบสนองในอนาคต

ได้เปิดเผยข้อมูลดังกล่าว

คำแนะนำและคำปรึกษาจากทนายความภายนอกและอื่น ๆ

และในการประกาศข่าว

ได้รายงานสถานการณ์ให้กับบริษัทซอฟต์แวร์ชั้นนำ, บริษัทที่เชี่ยวชาญด้านความปลอดภัยและทนายความภายนอกที่มีความรู้ลึกซึ้งเกี่ยวกับความปลอดภัยไซเบอร์ และได้รับคำแนะนำและคำปรึกษา ผู้ที่ได้รับการยืนยันการรั่วไหลของข้อมูลและผู้ที่เกี่ยวข้องได้เริ่มติดต่อ และจะดำเนินการสอบสวนต่อเกี่ยวกับข้อมูลที่มีความเป็นไปได้ที่จะถูกโจรกรรม

ข่าวและขออภัยเกี่ยวกับการรั่วไหลของข้อมูลจากการเข้าถึงที่ไม่เป็นธรรม

ได้แสดงความเห็นดังกล่าว

นอกจากนี้ “ติดต่อสอบถามเกี่ยวกับข้อมูลส่วนบุคคล” และ “ติดต่อสอบถามเฉพาะเกี่ยวกับการรั่วไหลของข้อมูลของ Capcom” ได้เตรียม “ติดต่อสอบถามผู้ใช้เกม” และ “ติดต่อสอบถามทั่วไป” โดยใช้เบอร์โทรฟรี

และตั้งแต่การรั่วไหลของข้อมูลบางส่วนถูกเปิดเผย จนถึงการประกาศข่าวเกี่ยวกับการรั่วไหลของข้อมูล ใช้เวลา 4 วัน

นี่คือระยะเวลาที่จำเป็นสำหรับการตรวจสอบข้อมูลที่ละเอียดอ่อนและการตัดสินใจเกี่ยวกับการตอบสนองในอนาคต ดังที่ได้กล่าวไว้ข้างต้น

การรั่วไหลของข้อมูลส่วนบุคคลและการจัดการสถานการณ์วิกฤติ

ไม่เหมือนกับรายงานแรกเกี่ยวกับ “การขัดข้องของระบบ” รายงานที่สองที่กล่าวว่า “อาจมีการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าสูงสุด 350,000 รายการ” จะถูกนำมาพูดถึงในสื่อต่างๆ

Capcom ได้รับการโจมตีด้วยการเข้าถึงที่ไม่เป็นธรรมดาจากรังซัมแวร์ที่สร้างขึ้นเฉพาะจากบุคคลที่สาม ทำให้ข้อมูลส่วนบุคคลที่บริษัทกลุ่มของเขาเก็บรักษาไว้รั่วไหล ณ วันที่ 16 พฤศจิกายน ข้อมูลที่อาจรั่วไหลได้รวมถึงลูกค้าและคู่ค้าสูงสุดประมาณ 350,000 รายการ นอกจากนี้ยังมีความเป็นไปได้ว่าเอกสารทางธุรกิจและเอกสารการพัฒนาอาจรั่วไหลไปด้วย

Capcom, การรั่วไหลของข้อมูลส่วนบุคคลสูงสุด 350,000 รายการจากการเข้าถึงที่ไม่เป็นธรรมดา “ไม่มีผลกระทบต่อการเล่นเกม” – BCN+R

อย่างไรก็ตาม ในขณะที่ปล่อยข่าวสาร ข้อมูลเกี่ยวกับ “การเปิดเผยและการตอบสนอง” และ “การดำเนินการในอนาคต” ก็ได้รับการเปิดเผยด้วย ดังนั้นบทความข้างต้นจึงสรุปไว้ว่า “ในอนาคต จะมีการทำงานร่วมกับหน่วยงานตำรวจ นอกจากนี้ยังจะตั้งองค์กรที่ให้คำปรึกษาเกี่ยวกับความปลอดภัยของระบบโดยผู้เชี่ยวชาญภายนอก เพื่อป้องกันการเกิดขึ้นซ้ำ การเชื่อมต่ออินเทอร์เน็ตเพื่อเล่นเกมของบริษัทและการเข้าถึงเว็บไซต์ของบริษัทจะไม่ทำให้ผู้ใช้หรือบุคคลภายนอกได้รับความเสียหายที่ขยายขึ้น นอกจากนี้ยังเรียกให้ผู้ใช้ที่ข้อมูลส่วนบุคคลของพวกเขาอาจรั่วไหลไป ระวังเรื่องการรับจดหมายที่ไม่รู้จักหรือการติดต่อที่น่าสงสัย”

ในการปล่อยข่าวสารหลังจากที่พบว่าข้อมูลส่วนบุคคลรั่วไหล การเปิดเผยข้อมูลที่มีความสมบูรณ์ในระดับหนึ่ง รวมถึง “การเปิดเผยและการตอบสนอง” และ “การดำเนินการในอนาคต” จะเป็นสิ่งที่สำคัญ

และเมื่อพบว่าข้อมูลส่วนบุคคลรั่วไหล จะสำคัญที่จะ

  • สร้างทีมของผู้เชี่ยวชาญภายนอกจากบริษัทซอฟต์แวร์ชั้นนำ
  • ผู้ผลิตสินค้าด้านความปลอดภัยชั้นนำ
  • ทนายความภายนอกที่มีความรู้ลึกซึ้งเกี่ยวกับความปลอดภัยไซเบอร์

และดำเนินการติดต่อกับลูกค้าที่ข้อมูลของพวกเขาได้รับการยืนยันว่ารั่วไหล การจัดการสื่อสารในสถานการณ์วิกฤติ และอื่น ๆ พร้อมกับการตรวจสอบสาเหตุและการตอบสนองทาง IT

นอกจากนี้ ในกรณีของบริษัทที่มีการขายหุ้นในตลาด การอธิบายต่อผู้ถือหุ้นและอื่น ๆ จะเป็นส่วนหนึ่งของการจัดการสื่อสารในสถานการณ์วิกฤตินี้

ความเป็นไปได้ของการรั่วไหลของข้อมูลผู้สมัครงาน

นอกจากนี้ ในประกาศข่าวที่เผยแพร่ออกมา มีข้อมูลที่มีความเป็นไปได้ที่จะรั่วไหล และข้อมูลส่วนบุคคล (ลูกค้า และคู่ค้าฯลฯ) สูงสุดประมาณ 350,000 รายการ ซึ่งรวมถึงข้อมูลผู้สมัครงาน (ประมาณ 125,000 รายการ) ซึ่งเกี่ยวข้องกับการที่ Capcom ได้ระบุในเว็บไซต์สำหรับการสมัครงานของตนเองว่าจะทำการทำลายข้อมูล ทำให้มีความสงสัยที่เกิดขึ้นในโซเชียลมีเดียและอื่น ๆ

Capcom ได้ระบุในเว็บไซต์สำหรับการสมัครงานของตนเองว่า “เราจะทำลายเอกสารสมัครงานและอื่น ๆ ของผู้ที่ไม่ได้รับการจ้างหรือผู้ที่ปฏิเสธการจ้างด้วยความรับผิดชอบของเราหลังจากการคัดเลือก” ข้อมูลส่วนบุคคลที่ควรจะถูกทำลายไม่ได้ถูกทำลาย ทำให้มีความสงสัยเกี่ยวกับการตอบสนองของบริษัทใน Twitter และ Capcom ได้อธิบายว่า “เราได้ทำการดิจิตอลไฮส์ประวัติการสมัครงานของผู้สมัครและเก็บรักษาเป็นระยะเวลาหนึ่ง” และขอโทษว่า “เนื่องจากไม่ได้กล่าวถึงการดิจิตอลไฮส์ ทำให้เกิดความเข้าใจผิด” สำหรับเหตุผลในการจัดการเก็บรักษา ได้ชี้แจงว่า “มีผู้สมัครที่สมัครหลายครั้ง มันเป็นเพื่อการตรวจสอบประวัติการสมัครงานในอดีตอย่างราบรื่น” สำหรับการเก็บรักษาข้อมูลของผู้สมัครทั้งหมดหรือไม่ ได้ระบุว่า “ไม่ทราบในขณะนี้”

Capcom ไม่ทำลายเอกสารสมัครงานของผู้ที่ไม่ได้รับการจ้าง แม้ว่าจะมีการระบุว่า “ทำลายด้วยความรับผิดชอบ” ในหน้าสมัคงาน แต่ยังมีความเป็นไปได้ที่ข้อมูลจะรั่วไหลจากการโจมตีทางไซเบอร์ – ITmedia NEWS

ไม่ทราบว่า Capcom ได้ทำการคาดการณ์เกี่ยวกับการเกิดความสงสัยเหล่านี้ล่วงหน้าหรือไม่ แต่ถ้ามีข้อมูลที่ไม่ควรจะมีอยู่ (และถูกคิดว่าไม่มีอยู่ก็ยังดี) อยู่ในบริษัท และมีความเป็นไปได้ที่ข้อมูลนั้นจะรั่วไหล ควรจะพิจารณาปัญหานี้ล่วงหน้าและประกาศข่าว

การก่อตั้งคณะกรรมการดูแลความมั่นคงปลอดภัย ซึ่งรวมถึงทนายความ

การประกาศข่าวสารครั้งที่สาม

ในวันที่ 21 ธันวาคม บริษัทคาปคอมได้จัดการประชุมเตรียมการเพื่อก่อตั้ง “คณะกรรมการดูแลความมั่นคงปลอดภัย” ซึ่งเป็นองค์กรที่ให้คำปรึกษาเกี่ยวกับความมั่นคงปลอดภัยของระบบโดยผู้เชี่ยวชาญภายนอก

ในวันถัดมา 12 มกราคม 2564 (2021) บริษัทได้ประกาศข่าวสารครั้งที่สามที่มีชื่อว่า “ขอแจ้งและขออภัยเกี่ยวกับการรั่วไหลของข้อมูลจากการเข้าถึงที่ไม่เป็นธรรม”

ข้อมูลของผู้อื่นอีก 16,406 คนได้รับการยืนยันว่าได้รั่วไหล ทำให้จำนวนรวมตั้งแต่เริ่มเหตุการณ์นี้เป็น 16,415 คน นอกจากนี้ ข้อมูลส่วนบุคคลของลูกค้าและคู่ค้าที่อาจได้รั่วไหล มีจำนวนสูงสุดประมาณ 390,000 คน (เพิ่มขึ้นประมาณ 40,000 คนจากครั้งก่อน) ได้รับการยืนยัน

ข้อมูลที่ได้รับการปรับปรุงตามความคืบหน้าของการสอบสวนได้รับการเผยแพร่ นอกจากนี้ ข้อมูลบัตรเครดิตไม่ได้รั่วไหล

สำหรับการเชื่อมต่ออินเทอร์เน็ตและการซื้อผ่านการดาวน์โหลดเพื่อเล่นเกมของเรา ไม่ได้ใช้ระบบที่ถูกโจมตีครั้งนี้ตั้งแต่แรก แต่ใช้การจ้างภายนอกหรือใช้เซิร์ฟเวอร์ภายนอกแทน และยังคงเป็นอย่างนี้ในปัจจุบัน ดังนั้น การเชื่อมต่ออินเทอร์เน็ตและการซื้อผ่านการดาวน์โหลดเพื่อเล่นเกมของเรา ไม่มีความเกี่ยวข้องกับการโจมตีไซเบอร์ที่เกิดขึ้นกับระบบของเราครั้งนี้ และไม่มีผลกระทบต่อลูกค้า

ขอแจ้งและขออภัยเกี่ยวกับการรั่วไหลของข้อมูลจากการเข้าถึงที่ไม่เป็นธรรม【รายงานครั้งที่ 3】 | บริษัทคาปคอม

ได้รับการเขียนไว้ด้วย

เกี่ยวกับความเป็นไปได้ของการรั่วไหลของข้อมูลส่วนบุคคลของผู้สมัครงาน

นอกจากนี้ ในครั้งนี้ ข้อมูลที่ “ยืนยันความเป็นไปได้ของการรั่วไหลใหม่” ได้รับการเปิดเผย ได้แก่ ข้อมูลส่วนบุคคลของผู้สมัครงานประมาณ 58,000 คนที่กล่าวถึงข้างต้น โดยเฉพาะ “ชื่อ ที่อยู่ หมายเลขโทรศัพท์ ที่อยู่อีเมล หรืออย่างน้อยหนึ่งอย่าง” ที่อาจได้รั่วไหล

เกี่ยวกับประเด็นนี้

เกี่ยวกับข้อมูลของผู้สมัคร บริษัทได้เก็บข้อมูลไว้แม้ว่าการคัดเลือกจะเสร็จสิ้นแล้ว ซึ่งเป็นเรื่องที่เปิดเผยในเดือนพฤศจิกายนที่ผ่านมาเกี่ยวกับการโจมตีไซเบอร์ที่เกิดขึ้นกับบริษัท ใน “การจัดการข้อมูลส่วนบุคคล” ของเว็บไซต์สมัครงาน ข้อความเดิมเขียนว่า “หลังจากการคัดเลือก บริษัทจะทำลายข้อมูลด้วยความรับผิดชอบ” แต่ในเดือนธันวาคม 2563 (2020) ข้อความถูกเพิ่มเติมว่า “เนื่องจากเรายอมรับการสมัครใหม่ ข้อมูลสมัครงานที่เราได้รับจะถูกเก็บไว้เพื่อให้เราสามารถตรวจสอบการสมัครครั้งก่อนได้โดยราบรื่น และเราอาจเก็บข้อมูลที่ถูกแปลงเป็นข้อมูลดิจิตอลไว้เป็นระยะเวลาหนึ่ง” ตามที่บริษัทได้แจ้งว่า “ข้อมูลส่วนบุคคลของผู้สมัครยังคงเก็บไว้ในระบบภายในของบริษัท และการดำเนินการก่อนการเข้าถึงที่ไม่เป็นธรรมไม่ได้เปลี่ยนแปลงมาก

คาปคอมยืนยันการรั่วไหลของข้อมูลส่วนบุคคลของ 16,000 คน และเปิดเผยความเป็นไปได้ของการรั่วไหลของข้อมูลของผู้สมัครอีก 58,000 คนในการโจมตีไซเบอร์ในเดือนพฤศจิกายน 2563 – ITmedia NEWS

ได้รับการรายงาน

การบริหารจัดการวิกฤติภาพจากผลการสำรวจ

การประกาศข่าวสารครั้งที่ 4

หลังจากนั้น บริษัท Capcom ได้จัดการประชุมคณะกรรมการดูแลความปลอดภัยครั้งที่ 1 ในวันที่ 18 มกราคม คณะกรรมการดูแลความปลอดภัยครั้งที่ 2 ในวันที่ 25 กุมภาพันธ์ และคณะกรรมการดูแลความปลอดภัยครั้งที่ 3 ในวันที่ 26 มีนาคม โดยมีการจัดการประชุมคณะกรรมการดูแลความปลอดภัยทุกเดือน นอกจากนี้ บริษัทยังได้รับรายงานการสำรวจจากบริษัทที่เชี่ยวชาญด้านความปลอดภัยขนาดใหญ่ และรายงานจากบริษัทซอฟต์แวร์ขนาดใหญ่ในวันที่ 31 มีนาคม

และตามที่ได้รับรายงานเหล่านี้ บริษัทได้ประกาศข่าวสารครั้งที่ 4 ในวันที่ 13 เมษายน ซึ่งมีชื่อว่า “รายงานผลการสำรวจเกี่ยวกับการเข้าถึงที่ไม่เป็นธรรมครั้งที่ 4”

ในข่าวสารนี้ บริษัทได้ทำการอธิบายทางเทคนิคอย่างละเอียดเกี่ยวกับ “การดำเนินการตอบสนอง” “สาเหตุและขอบเขตของความเสียหาย” และ “มาตรการเพิ่มความแข็งแกร่งด้านความปลอดภัยเพื่อป้องกันการเกิดขึ้นซ้ำ” โดยอ้างอิงรายงานที่ได้รับดังกล่าว นอกจากนี้ บริษัทยังได้กล่าวถึงการดำเนินการทางองค์กร ซึ่งรวมถึงการจัดตั้งคณะกรรมการดูแลความปลอดภัย ซึ่งประกอบด้วยทนายความที่เชี่ยวชาญในกฎหมายด้านความปลอดภัยไซเบอร์และการคุ้มครองข้อมูลส่วนบุคคล

การรายงานและการตอบสนองเกี่ยวกับค่าไถ่

ในระหว่างนั้น ณ วันที่ 1 มีนาคม มีการรายงานว่ากลุ่มอาชญากรรมไซเบอร์ “Ragnar Locker” ได้ทำการขอค่าไถ่จาก Capcom ประมาณ 1,150 ล้านเยน

กลุ่มอาชญากรรมไซเบอร์ “Ragnar Locker” ได้เผยแพร่ไฟล์ที่อ้างว่าเป็นข้อมูลที่ขโมยมาจากบริษัทบนเว็บไซต์ของตนเอง และขอค่าไถ่เป็น Bitcoin 11 ล้านดอลลาร์ (ประมาณ 1,150 ล้านเยน) แต่ Capcom ปฏิเสธการชำระเงินในขณะนี้

Capcom ปฏิเสธการชำระเงิน 1.15 พันล้านเยน! เหตุผลที่ไม่ควรจ่ายค่าไถ่แม้ถูกเป้าหมายของ Ransomware | มาตรการความปลอดภัยในยุคทำงานจากที่บ้าน | Diamond Online

เมื่อรับรู้เรื่องนี้ ในการประกาศข่าวครั้งที่ 4 ก็มีการกล่าวถึงค่าไถ่ด้วย

เกี่ยวกับการรับรู้เรื่องจำนวนเงินค่าไถ่
บนอุปกรณ์ที่ติดไวรัส Ransomware มีไฟล์ข้อความจากผู้โจมตีที่ถูกทิ้งไว้ และเราได้รับการขอติดต่อเพื่อเจรจากับผู้โจมตี ซึ่งเป็นความจริง แต่ในไฟล์นั้นไม่มีการระบุจำนวนเงินค่าไถ่ ดังที่รายงานแล้ว บริษัทของเราได้ตัดสินใจไม่เจรจากับผู้โจมตีหลังจากปรึกษากับตำรวจ ดังนั้น ในความเป็นจริง เราไม่ได้ติดต่อกับผู้โจมตีเลย (โปรดดูในการประกาศข่าววันที่ 16 พฤศจิกายน 2020) ดังนั้น บริษัทของเราไม่ทราบจำนวนเงินที่แน่นอน

รายงานผลการสอบสวนเกี่ยวกับการเข้าถึงข้อมูลโดยไม่ชอบด้วยกฎหมาย【รายงานครั้งที่ 4】 | บริษัท Capcom จำกัด

และได้ประกาศคำชี้แจงดังกล่าว ซึ่งเป็นการตอบสนองต่อการรายงานที่มีการเปิดเผยจำนวนเงินค่าไถ่ “1,150 ล้านเยน” ที่เกิดขึ้น

การปล่อยข้อมูลในเว็บไซต์ที่เกี่ยวข้อง

ในวันเดียวกัน บริษัท Capcom ได้ประกาศข้อมูลในเว็บไซต์ที่ไม่ใช่เว็บไซต์องค์กรของตนเอง ได้แก่ “CAPCOM: Shadaloo Combat Research Institute” (เว็บไซต์ที่เกี่ยวข้องกับ Street Fighter 5) และ “CAPCOM ONLINE GAMES”

【รายงานต่อ】ข้อมูลเกี่ยวกับปัญหาของระบบกลุ่ม
ขอบคุณที่ใช้บริการ “Capcom Online Games (COG)” อย่างต่อเนื่อง ในวันที่ 2 พฤศจิกายน 2563 (2020) ตั้งแต่ตีเล็ก เราได้เผยแพร่ข้อมูลล่าสุดเกี่ยวกับปัญหาของระบบกลุ่มของเราที่เกิดจากการเข้าถึงที่ไม่เป็นธรรมจากบุคคลที่สาม กรุณาตรวจสอบรายละเอียดที่นี่

รายละเอียดของข้อมูล | Capcom Online Games

เราได้เผยแพร่หน้าเว็บเหล่านี้

การรั่วไหลของข้อมูลครั้งนี้ ตามที่เราได้ตรวจสอบได้ในช่วงเริ่มต้น คือ “การใช้บริการภายนอกหรือใช้เซิร์ฟเวอร์ภายนอก” และ “การเชื่อมต่ออินเทอร์เน็ตเพื่อเล่นเกมหรือการซื้อผ่านการดาวน์โหลด ไม่มีความเกี่ยวข้องกับการโจมตีไซเบอร์ที่เกิดขึ้นกับระบบของเราในครั้งนี้ และไม่มีผลกระทบต่อลูกค้า” ซึ่งเราได้รู้มาแล้ว

เราคิดว่าการประกาศข้อมูลนี้ในแต่ละเว็บไซต์เป็นการแจ้งให้ทราบอีกครั้ง เพื่อไม่ให้ผู้ใช้รู้สึกวิตกกังวลเมื่อเรารายงานผลการสอบสวน

สรุป

ดังนั้นในกรณีที่เกิดการรั่วไหลของข้อมูลส่วนบุคคลขนาดใหญ่ จะมีขั้นตอนดังนี้

  • รีบแจ้งตำรวจทันท่วงทีเมื่อเกิดอุบัติการ
  • รายงานสถานการณ์และขอคำแนะนำจาก “ทนายความที่มีความรู้ลึกซึ้งในความมั่นคงปลอดภัยไซเบอร์”
  • การจัดการวิกฤติการณ์และการประชาสัมพันธ์โดยทีมที่กล่าวมาข้างต้น

และเมื่อข้อมูลมีความสมบูรณ์ถึงระดับหนึ่ง จะมีขั้นตอนดังนี้

  • การจัดตั้งคณะกรรมการดูแลความมั่นคงปลอดภัยที่มีทนายความร่วมด้วย

สรุปแล้ว การจัดการวิกฤติการณ์อย่างรวดเร็วและองค์กรเป็นสิ่งที่สำคัญ

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

จุดที่ต้องตรวจสอบเพื่อหลีกเลี่ยงปัญหาในสัญญาฐานของการซื้อขายโฆษณา

จุดที่ต้องตรวจสอบเพื่อหลีกเลี่ยงปัญหาในสัญญาฐานของการซื้อขายโฆษณา

General Corporate

สัญญาการลงทุนคืออะไร? ความจำเป็นของการทำสัญญาสำหรับธุรกิจ

สัญญาการลงทุนคืออะไร? ความจำเป็นของการทำสัญญาสำหรับธุรกิจ

General Corporate

วิธีป้องกันอุบัติการณ์ด้านความปลอดภัยที่บริษัทที่ได้รับมอบหมาย? การสร้างและดำเนินการระบบควบคุมภายในของบริษัทที่สั่งซื้อ

วิธีป้องกันอุบัติการณ์ด้านความปลอดภัยที่บริษัทที่ได้รับมอบหมาย? การสร้างและดำเนินการระบบควบคุมภา.

General Corporate

ความสามารถทางกฎหมายของ 'ข้อจำกัดในการคบค้าง' ของไอดอล มีผลหรือไม่? นำเสนอตัวอย่างจากการพิจารณาคดี 2 รายการ

ความสามารถทางกฎหมายของ 'ข้อจำกัดในการคบค้าง' ของไอดอล มีผลหรือไม่? นำเสนอตัวอย่างจากการพิจารณาคด.

General Corporate

การโฆษณาการขจัดขนทางการแพทย์และการควบคุมตามกฎหมาย ทนายความอธิบายกฎหมายการแพทย์ญี่ปุ่น

การโฆษณาการขจัดขนทางการแพทย์และการควบคุมตามกฎหมาย ทนายความอธิบายกฎหมายการแพทย์ญี่ปุ่น

General Corporate

ความสัมพันธ์ระหว่าง 'กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น' และการละเมิดความเป็นส่วนตัว

ความสัมพันธ์ระหว่าง 'กฎหมายการคุ้มครองข้อมูลส่วนบุคคลของญี่ปุ่น' และการละเมิดความเป็นส่วนตัว

General Corporate

มาตรการในกรณีที่เกิดการก่อกวนบน SNS คืออะไร? การไล่ออกจากงานหรือการเรียกร้องค่าเสียหายเป็นไปได้หรือไม่

มาตรการในกรณีที่เกิดการก่อกวนบน SNS คืออะไร? การไล่ออกจากงานหรือการเรียกร้องค่าเสียหายเป็นไปได้ห.

General Corporate

「Japanese Provider Responsibility Limitation Law」เปลี่ยนเป็น「Japanese Information Distribution Platform Measures Law(情プラ法)」 จุดเด่นของการแก้ไขกฎหมาย

「Japanese Provider Responsibility Limitation Law」เปลี่ยนเป็น「Japanese Information Distribution P.

General Corporate

ข้อดีและกระบวนการทำสัญญาของ 'การโอนหุ้น' ซึ่งเป็นรูปแบบง่ายๆ ในการควบรวมและซื้อกิจการ (M&A)

ข้อดีและกระบวนการทำสัญญาของ 'การโอนหุ้น' ซึ่งเป็นรูปแบบง่ายๆ ในการควบรวมและซื้อกิจการ (M&A)

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Recent Articles

Weekly Popular Articles

กลับไปด้านบน