从卡普空的信息泄露看危机管理和律师的角色
2020年11月(令和2年),日本Capcom公司发生的信息泄露事件,是由定制型勒索软件引起的,最多可能导致39万条个人信息泄露。
当然,最好的情况是不发生这样的事件,首先,建立一个防止此类事件发生的体系是非常重要的。然而,无论我们建立何种体系,将发生概率完全降至零是不可能的。
万一,这样的事件发生了,我们应该从事件发生的那一刻开始,采取何种措施和调查,以及何时以何种方式进行公告呢?
因此,本文将从“因恶意软件导致个人信息泄露事件”的危机管理角度出发,通过时间顺序解析Capcom的信息泄露事件,从该公司的应对中学习应有的危机管理体系。
※律师有严格的保密义务,必须对自己作为律师实际参与的案件保密。本文是关于我们事务所未参与的过去事件的讨论,完全基于公开信息,并表达了作为律师的观点。
事件发现与初期应对
事件的发生被确认在2020年11月2日。
在这个时点,已经确认了对公司内部系统的连接故障,并开始了系统的切断和对损害状况的掌握。
然后在同一天,故障的原因被确认为网络设备被勒索软件攻击导致的文件加密。
在受到损害的终端上,发现了自称为“Ragnar Locker”的团体的威胁信息。
在这个时点,Capcom已经向大阪府警察报告,并向外部公司请求恢复支持。
在事件发生时,为了公司的业务连续性,急需恢复系统是当然必要的。然而,如果确认了勒索软件的攻击,那就是所谓的非法访问,有很高的可能性是被非法访问禁止法(Japanese Unauthorised Access Prohibition Law)禁止的行为。
在确认包含个人信息的机密信息泄露的前阶段,确定入侵路径的前阶段,迅速向警察报告是非常重要的。
信息泄露前的危机管理公关
然后,在事件发生的第二天,也就是11月4日,卡普空首次发布了一份名为“关于系统故障发生的非法访问通知”的新闻稿。
关于此次故障,我们已确认是由第三方的非法访问导致的,并从当天开始部分暂停了公司网络的运行。对于给相关各方带来的巨大困扰,我们深感歉意。另外,目前我们还未确认到客户信息等的泄露。
关于系统故障发生的非法访问通知 [ja]
在这个阶段,这仅仅是由“非法访问”导致的“系统故障发生”,信息泄露尚未被发现。
信息泄露后的新闻发布
可能泄露的个人信息数量等
信息泄露的发现日期是11月12日。
已确认有9份个人信息和部分企业信息的泄露。
次日,卡普空向大型安全专业公司提出原因调查,11月16日,公布了信息泄露的新闻发布。
此时,
- 已确认泄露的信息
- 可能泄露的信息
进行了区分,并且,对于每一种,
- 个人信息(客户・交易对手等)
- 个人信息(员工及相关人员)
- 企业信息(销售信息、交易对手信息、业务资料、开发资料等)
进行了区分,并发布了大致的数量。
此时公开了“最多约35万份客户个人信息可能泄露”的情况。
信用卡信息是否泄露及应对等
同时,
另外,我们公司的网络销售等支付全部委托给外部,因此并未持有信用卡信息,信用卡信息没有泄露。
关于非法访问导致信息泄露的通知和道歉[ja]
提到了信用卡信息是否泄露,并且,
- 对已确认个人信息泄露及可能泄露的人的应对
- 发现和应对的经过
- 今后的应对
公开了这些信息。
外部律师等的指导・建议等
在新闻发布中,
向大型软件公司、大型安全专业供应商、深谙网络安全的外部律师报告了情况,并得到了指导和建议。已确认信息泄露的人和相关方,我们已开始联系,并将继续调查可能被窃取的信息。
关于非法访问导致信息泄露的通知和道歉[ja]
也表明了这样的意向。
另外,“个人信息相关咨询处”和“卡普空信息泄露专用咨询窗口”设有“游戏用户咨询窗口”和“综合咨询窗口”,都是免费电话。
从至少部分信息泄露的发现到公布信息泄露的新闻发布,花了4天的时间。
这是因为,如上所述,需要一段时间来验证一定程度的详细信息,以及做出关于今后应对等的决定。
个人信息泄露与危机管理
与关于“系统故障”的第一报道不同,第二报道“最多可能泄露了35万客户的个人信息”会被多家媒体报道。
卡普空受到了第三方定制型勒索软件的非法访问攻击,该公司集团拥有的个人信息被泄露。截至11月16日,可能泄露的信息包括客户和交易对手,最多可能达到35万条。销售资料和开发资料等也可能被泄露。
卡普空,非法访问导致最多35万条个人信息泄露 “游戏玩家不会受到影响” – BCN+R[ja]
然而,在新闻发布时,也公开了“发现和应对的过程”、“未来的应对”等信息,因此,上述文章也以“未来,将与警察当局合作,另外,将新设由外部专家组成的系统安全咨询组织,努力防止再次发生。通过互联网连接玩公司游戏或访问公司主页等方式,不会使用户或公司外部受到更大的损害。此外,对于可能泄露个人信息的用户,可能会收到不明邮件或接到可疑电话,因此呼吁他们要注意。”这样的句子来结束。
在个人信息泄露被发现后的新闻发布中,可以说,像上述那样,包括“发现和应对的过程”、“未来的应对”等在内的一定程度的整体信息的披露是重要的。
并且,在个人信息泄露被发现的时候,
- 大型软件公司
- 大型安全专业供应商
- 对网络安全有深入了解的外部律师
等外部专家组成的团队,与确定泄露信息的客户等的联系,危机管理公关等,与查明原因等纯IT措施并行进行,可以说是重要的。
另外,对于上市公司来说,作为危机管理公关的一部分,向股东等解释也是必要的。
潜在的泄露应聘者的信息
此外,在公开的新闻发布稿中,“可能泄露的信息”和“个人信息(客户和交易伙伴等)最多约35万条”的部分,有关“应聘者信息(约12.5万条)”的项目,由于卡普空在其招聘网站上声明将进行销毁,因此在社交媒体等地方引起了疑问。
卡普空在其招聘网站上关于应聘者信息的部分写道:“对于未被录用的人,或者拒绝录用的人的申请材料等,我们公司将负责销毁。”原本应该被销毁的个人信息没有被销毁,Twitter上有人质疑该公司的处理方式。卡普空解释说:“我们将应聘者的简历等资料化,并保存一段时间。”由于没有提到数据化,表达不足,导致误解。我们道歉。”关于保管的理由,他们解释说:“有些应聘者可能会多次申请。为了能够顺利查看过去的申请历史。”关于是否一律保存应聘者的数据,他们表示:“目前还不清楚。”
卡普空,未录用者的申请材料未销毁。招聘页面上写着“负责销毁”,但可能因网络攻击泄露信息 – ITmedia NEWS[ja]
对于这样的疑问声音的出现,不清楚卡普空是否预先预测到,但如果“本来不存在的(即使被认为不存在也无可奈何)信息”存在于公司内部,并且可能泄露,那么在发布新闻稿之前,最好先对这个问题进行考虑。
包括律师的安全监督委员会成立
公布第三次新闻发布会
此外,卡普空公司于12月21日举行了准备会议,以建立由外部专家组成的系统安全咨询组织——“安全监督委员会”。
次年2021年1月12日,公布了第三次新闻发布会“关于非法访问导致信息泄露的通知和道歉【第三报告】”,
新确认了16,406人的信息泄露,从本案发生以来的累计人数为16,415人。此外,可能泄露的客户、交易伙伴等外部人员的个人信息最多约39万人(比上次增加约4万人)。
随着调查的进展,更新了相关信息。此外,除了信用卡信息没有泄露外,
为了玩我们的游戏的互联网连接和下载购买,原本就没有使用受到本次攻击的系统,而是使用外包或外部服务器,现在仍然如此。因此,为了玩我们的游戏的互联网连接和下载购买,与本次对我们系统的网络攻击无关,客户不会受到损害。
关于非法访问导致信息泄露的通知和道歉【第三报告】 | 卡普空公司 [ja]
也有这样的描述。
关于求职者个人信息泄露的可能性
此外,此次公布了“新确认可能泄露的信息”,具体来说,上述的“约58,000名求职者”的个人信息,具体来说,“姓名、地址、电话号码、电子邮件地址等至少一项”的泄露可能性。
关于这一点,
关于求职者信息,11月份发现,与该公司的网络攻击有关,选拔后没有销毁信息而是保存。在求职网站的“关于个人信息的处理”中,最初写着“选拔后,我们将负责销毁”。然后,在20年12月,“由于接受重新申请,为了顺利确认以前的申请等使用目的,可能会保存将您提交的纸质媒体数据化的申请资料一段时间”的文字被添加。据该公司,“求职者的个人信息仍然保存在公司内部系统中,与非法访问前的操作几乎没有变化。
卡普空,确认1.6万人的个人信息泄露,新的5.8万人可能泄露的可能性也明确,20年11月的网络攻击 – ITmedia NEWS[ja]
有这样的报道。
基于调查结果的危机管理公关
第四次新闻发布会公告
随后,卡普空于1月18日召开了第一次安全监督委员会,2月25日召开了第二次安全监督委员会,3月26日召开了第三次安全监督委员会,以每月一次的频率召开安全监督委员会。此外,3月31日,我们从大型安全专业公司收到了调查报告书,从大型软件公司收到了报告书。
接受了这些报告后,我们于4月13日公布了第四次新闻发布会,名为“关于非法访问的调查结果报告【第四报】”。
在这次发布会中,我们进行了详细的技术解释,包括“应对过程”、“损害原因和影响范围”以及“防止再次发生的安全强化措施”,这些都是基于上述报告书等。此外,我们还提到了作为组织对策,我们成立了包括一名擅长网络安全和个人信息保护法律的律师在内的安全监督委员会。
关于赎金的报道和应对
值得注意的是,在此期间,即3月1日,有报道称上述网络犯罪团伙“Ragnar Locker”向卡普空公司索要约115亿日元的赎金。
网络犯罪团伙“Ragnar Locker”在其网站上公开了自称从企业中窃取的数据文件,并要求以比特币1100万美元(约115亿日元)作为赎金,但卡普空公司目前拒绝支付。
卡普空拒绝支付11.5亿日元!即使是勒索软件的受害者,也不应支付赎金的理由 | 远程工作时代的安全措施 | 钻石在线[ja]
对此,卡普空在上述的第四次新闻发布会中,也对赎金问题进行了说明。
关于赎金金额的认知
关于非法访问的调查结果报告【第四报】 | 卡普空股份有限公司[ja]
在感染了勒索软件的设备上,留下了攻击者的消息文件,虽然事实上我们被要求与攻击者进行联系以进行谈判,但在该文件中并未提到赎金金额。如前所述,我们在与警方协商后决定不与攻击者进行谈判,实际上,我们并未进行任何联系(参见2020年11月16日发布的新闻稿),因此我们并未确认到具体金额。
他们已经公开了这一声明。这似乎是对上述报道中“115亿日元”这一具体金额的应对。
在相关网站上的发布
此外,CAPCOM在同一天,在其公司网站以外的网站,如”CAPCOM:Shadaloo战斗家研究所”(与Street Fighter 5相关的网站)和”CAPCOM ONLINE GAMES”上,也发布了以下内容:
【后续报道】关于集团系统故障的通知
通知详情 | Capcom Online Games(卡普空在线游戏)
一直以来,非常感谢您使用”CAPCOM在线游戏(COG)”。关于我们公司集团系统自2020年11月2日凌晨以来受到第三方非法访问导致的系统故障,我们已公开了最新信息。请在此处查看详细信息。
等页面。
这次的信息泄露,如早期发现的那样,是”外包或使用外部服务器”的,”为了玩游戏的互联网连接和下载购买,与本次针对我们公司系统的网络攻击无关,客户不会受到损害”,这已经被发现了,
但是,我们认为在报告调查结果的时候,为了不给用户带来不安等,再次在各个网站上公开发布了这个消息。
总结
如此,当发生大规模个人信息泄露的情况时,
- 事件发生时迅速向警方报告
- 向“精通网络安全的外部律师”等报告情况,并获得指导和建议的体制的建立
- 由上述团队进行危机管理公关
然后,当一定程度的信息已经准备就绪时,
- 组成包括律师在内的安全监督委员会
可以说,迅速和有组织地进行危机管理是非常重要的。
