從卡普空的資訊洩露看危機管理與律師的角色
2020年11月(西元2020年)發生的卡普空資訊洩露事件,是由定製型勒索軟體所引起的,最多可能導致39萬筆個人資訊外洩。
當然,本所希望這種事件能夠避免發生,並且首要的工作就是建立一個能夠防止這種事件發生的體制。然而,無論本所建立了怎樣的體制,將發生機率完全降至零是不可能的。
萬一這種事件真的發生了,本所應該從事件發生的那一刻開始,採取什麼樣的對策和調查,以及在什麼時機,以何種方式來公開這個事件呢?
因此,本文將從「因惡意軟體導致個人資訊洩露事件」的危機管理角度出發,以卡普空的資訊洩露事件為例,從該公司的應對措施中學習如何建立適當的危機管理體制,並以時間序列的方式進行解說。
※律師有法律上的高度保密義務,必須對自己作為律師實際參與的案件保密。本文僅根據公開的資訊,對本所事務所未參與的過去事件,從律師的角度提出看法。
事件發現與初期應對
事件的發生確認於2020年11月2日。
在這個時候,已確認到公司內部系統的連接故障,並開始進行系統的隔離和了解損害情況。
然後在同一天,確定故障的原因是由於勒索軟體攻擊導致網路上的設備文件被加密。
在受到損害的終端上,發現了自稱為「Ragnar Locker」的集團的威脅訊息。
在這個時候,卡普空已向大阪府警察報案,並向外部公司要求恢復支援。
在事件發生時,為了公司的業務持續,急需恢復系統是當然必要的。然而,如果確認了是由於勒索軟體的攻擊,那麼這可能是所謂的非法訪問,並且有很高的可能性是被日本《非法訪問禁止法》所禁止的行為。
在確認包含個人信息的機密信息洩露的前階段,以及在確定入侵路徑的前階段,迅速向警察報案是非常重要的。
資訊洩露前的危機管理公關
然後在事件發生的第二天,也就是11月4日,卡普空首次發布了一份新聞稿,名為「關於系統故障發生由於非法訪問」。
關於此次故障,本所已確認是由第三方的非法訪問所導致,並從當天開始部分暫停了公司內部網路的運作。對於給相關各方帶來的巨大困擾,本所深感歉意。另外,目前本所並未確認到客戶資訊等的洩露。
關於系統故障發生由於非法訪問的公告 [ja]
在這個時候,只是確認到「非法訪問」導致的「系統故障」,並未發現資訊洩露。
資訊洩露後的新聞發布
可能洩露的個人資訊數量等
資訊洩露的發現日期為11月12日。
已確認有9筆個人資訊以及部分企業資訊的流出。
隔日,卡普空向大型安全專業公司提出原因調查,並於11月16日公開發布了確認資訊流出的新聞稿。
此時,
- 確認流出的資訊
- 可能流出的資訊
進行了區分,並對以下各項,
- 個人資訊(客戶・交易對象等)
- 個人資訊(員工及相關人士)
- 企業資訊(銷售資訊、交易對象資訊、業務資料、開發資料等)
進行了區分,並公布了大致的數量。
此時公開了「最多約35萬筆客戶個人資訊可能洩露」的消息。
信用卡資訊是否洩露及對應等
同時,
另外,本所公司的網路銷售等支付全都委託給外部,因此並未保有信用卡資訊,所以並無信用卡資訊的流出。
關於非法訪問導致資訊流出的通知與道歉[ja]
對於信用卡資訊是否流出進行了說明,並且,
- 對於確認個人資訊流出以及可能流出的人的對應
- 發現與對應的經過
- 未來的對應
等資訊也進行了公開。
外部律師等的指導・建議等
在新聞稿中,
本所向大型軟體公司、大型安全專業供應商、對於網路安全有深入了解的外部律師報告了情況,並獲得了指導和建議。本所已開始聯繫確認資訊流出的人和相關單位,並將繼續調查可能被竊取的資訊。
關於非法訪問導致資訊流出的通知與道歉[ja]
也表明了這樣的意向。
此外,設立了「個人資訊相關問題聯繫處」和「卡普空資訊流出專用問題聯繫處」,並提供了「遊戲用戶問題聯繫處」和「總問題聯繫處」的免費電話。
從至少部分資訊洩露的發現到公開發布資訊洩露的新聞稿,總共花了4天的時間。
這是因為需要一段時間來驗證上述的詳細資訊,以及進行未來對應等的決策。
個人資訊洩露與危機管理
與「系統故障」的首次報告不同,「最多可能洩露35萬筆客戶個人資訊」的第二次報告,會被多家媒體報導。
卡普空遭受第三方定制型勒索軟體的非法訪問攻擊,該公司集團持有的個人資訊被洩露。截至11月16日,可能洩露的資訊最多可能達到約35萬筆,包括客戶和交易對象。業務資料和開發資料等也可能被洩露。
卡普空,非法訪問導致最多35萬筆個人資訊洩露「遊戲玩家不會受影響」 – BCN+R[ja]
然而,在新聞發布時,也公開了「發現與應對的過程」和「未來的對策」等資訊,因此上述文章也以「未來將與警方合作,並新設由外部專家組成的系統安全諮詢組織,致力於防止再次發生。通過互聯網連接玩遊戲或訪問公司網站等方式,不會導致用戶或外部受害擴大。此外,對於可能洩露個人資訊的用戶,由於可能收到不明郵件或接到可疑聯繫,因此呼籲他們要保持警惕。」等句子來結尾。
在個人資訊洩露被發現後的新聞發布中,如上所述,公開「發現與應對的過程」和「未來的對策」等相對完整的資訊是非常重要的。
因此,當個人資訊洩露被發現時,
- 大型軟體公司
- 大型安全專業供應商
- 對網路安全有深入了解的外部律師
等外部專家組成的團隊,並且與確認資訊洩露的客戶等進行聯繫,進行危機管理公關等,與尋找原因等純IT對策並行進行,是非常重要的。
此外,對於上市公司來說,作為危機管理公關的一部分,對股東等進行說明也是必要的。
應徵者資訊的洩露可能性
此外,公開的新聞稿中提到「可能洩露的資訊」和「個人資訊(客戶、交易對象等)最多約35萬筆」,其中包含「應徵者資訊(約12萬5千筆)」這一項目。關於這一點,由於卡普空在其招聘網站上表示將進行銷毀,因此在社交媒體等地方引起了疑問。
卡普空在其招聘網站上寫道,「對於未被錄用或拒絕錄用的應徵者的申請文件等,本所將在選拔結束後負責任地進行銷毀」。然而,原本應該被銷毀的個人資訊並未被銷毀,這引起了Twitter上對該公司處理方式的質疑。卡普空解釋說,「本所將應徵者的履歷等數據化,並保存一段時間」,並為「未提及數據化,表述不足,導致誤解」道歉。對於保存理由,他們解釋說,「有些應徵者可能會多次申請。為了能夠順利查看過去的申請歷史」。對於是否一律保存應徵者的數據,他們表示「目前尚不清楚」。
卡普空,未錄用者的申請文件未銷毀 招聘頁面上寫著「負責任地銷毀」,但可能因網路攻擊而洩露資訊 – ITmedia NEWS[ja]
對於這種疑問的聲音的出現,卡普空是否預先預測到並不清楚。但是,如果公司內部存在「本來應該不存在(即使被認為不存在也無可奈何)的資訊」,並且可能洩露,那麼在發布新聞稿之前,最好先對這個問題進行考慮。
包括律師的安全監督委員會成立
公布第三次新聞稿
此外,卡普空於12月21日,為了成立「安全監督委員會」這個由外部專家組成的系統安全諮詢組織,舉行了準備會議。
在隔年的2021年1月12日,他們公布了第三次新聞稿「關於非法訪問導致信息洩露的通知和道歉【第三報告】」,
新確認了16,406人的信息洩露,從此事件發生以來的累計人數為16,415人。此外,本所確認了可能洩露的客戶和交易對象等外部人士的個人信息最多約39萬人(比上次增加約4萬人)。
隨著調查的進行,更新了相關信息。此外,他們還確認了信用卡信息並未洩露,
為了讓您玩本所的遊戲,本所原本並未使用受到此次攻擊的系統進行互聯網連接或下載購買,而是使用外部委託或外部服務器,現在仍然如此。因此,對於您玩本所的遊戲所需的互聯網連接或下載購買,與此次對本所系統的網絡攻擊無關,不會對客戶造成損害。
關於非法訪問導致信息洩露的通知和道歉【第三報告】 | 卡普空股份有限公司 [ja]
也有這樣的記載。
關於求職者個人信息洩露的可能性
此外,此次他們公布了「新確認的可能洩露信息」,具體來說,就是上述的「求職者約58,000人」的個人信息,包括「姓名、地址、電話號碼、電子郵件地址等中的一種或以上」的洩露可能性。
關於這一點,
關於求職者信息,該公司在11月發現,與網絡攻擊相關的是,他們在選拔結束後並未銷毀信息,而是繼續保留。在求職網站的「個人信息處理」中,最初寫著「選拔結束後,本所將負責銷毀」。然後,在20年12月,他們添加了「由於本所接受重新申請,為了方便確認以前的申請,本所可能會將您提交的紙質資料數據化並保存一段時間」這樣的文字。該公司表示,「求職者的個人信息現在仍然保存在公司內部系統中,與非法訪問前的操作幾乎沒有變化。
卡普空確認1.6萬人的個人信息洩露,新確認了5.8萬人的洩露可能性 – 20年11月的網絡攻擊 – ITmedia NEWS[ja]
有這樣的報導。
基於調查結果的危機管理公關
第四次新聞稿的公布
隨後,卡普空於1月18日舉行了第一次安全監督委員會,2月25日舉行了第二次安全監督委員會,3月26日舉行了第三次安全監督委員會,以每月一次的頻率舉行安全監督委員會,並於3月31日收到了來自大型安全專業公司的調查報告書和大型軟件公司的報告書。
接著,他們於4月13日公布了名為「關於非法訪問調查結果的報告【第四報】」的第四次新聞稿。
在這份報告中,他們對「應對過程」、「損害原因及影響範圍」、「為防止再次發生而加強的安全措施」進行了詳細的技術解釋,並提到了他們已經成立了包括一名專門從事網路安全和個人資訊保護法律的律師在內的安全監督委員會等組織對策。
關於贖金的報導和應對
此外,3月1日,有報導稱,前述的網路犯罪集團「Ragnar Locker」向卡普空要求約11億5000萬日元的贖金。
網路犯罪集團「Ragnar Locker」在其網站上公開了自稱從企業中竊取的數據文件,並要求以比特幣1100萬美元(約11億5000萬日元)的贖金,但卡普空方面目前拒絕支付。
卡普空拒絕支付11.5億日元!即使遭受勒索軟體攻擊,也不應支付贖金的理由 | 遠程工作時代的安全對策 | 鑽石在線[ja]
對此,他們在上述的第四次新聞稿中,也對贖金問題作出了回應。
關於贖金金額的認知
關於非法訪問調查結果的報告【第四報】 | 卡普空股份有限公司[ja]
感染了勒索軟體的設備上留下了攻擊者的訊息文件,事實上,本所被要求與攻擊者進行聯繫,但該文件並未註明贖金金額。如先前報導,本所已經在與警方協商後決定不與攻擊者進行談判,實際上,本所並未與他們進行任何聯繫(請參考2020年11月16日發布的新聞稿),因此本所並未確知金額。
他們發表了這樣的聲明。這可能是對於「11億5000萬日元」這一具體金額在上述報導中被提及的回應。
在相關網站等處的發布
此外,卡普空在同一天,除了在自家的企業網站外,還在「CAPCOM:Shadaloo戰士研究所」(街頭霸王5相關網站)和「CAPCOM ONLINE GAMES」上,
【後續報導】關於集團系統故障的通知
通知詳情 | Capcom Online Games(卡普空在線遊戲)[ja]
感謝您一直以來對『卡普空在線遊戲(COG)』的支持。關於2020年11月2日凌晨開始的本所集團系統因第三方非法訪問而導致的系統故障,本所已公開了最新的信息。請點擊這裡查看詳情。
公開了這樣的頁面。
這次的信息洩露,如早期發現的那樣,是「外包或使用外部服務器」的,「對於遊戲的網路連接或下載購買,與這次對本所系統的網路攻擊無關,不會對客戶造成損害」,
但在報告調查結果的時候,為了不讓用戶感到不安,他們在各個網站上再次公布了這樣的新聞稿。
總結
如此,當發生大規模的個人資訊洩露案件時,
- 應立即向警方報告事件發生
- 向「對網路安全有深入了解的外部律師」等報告情況,並獲得指導和建議
- 由上述團隊進行危機管理公關
而當一定程度的資訊已經收集齊全時,
- 應組成包括律師在內的安全監督委員會
可以說,迅速且有組織地進行危機管理是非常重要的。