有名事故・脆弱性
カプコン ランサムウェア事件(2020)— 旧型VPN装置はなぜ突かれたか、二重恐喝への防御
2020年、ゲーム大手カプコンがランサムウェア(Ragnar Locker)の被害を受け、最大約39万人分の個人情報が漏洩の可能性、内部システムが暗号化されました。侵入口は北米子会社に残っていた『旧型の予備VPN装置』。データを盗んでから暗号化する『二重恐喝』でした。攻撃手順ではなく、あなたの組織で旧機器の廃止・境界のパッチ・窃取と暗号化の両面をどう防ぐかを、公開記録の事実だけにもとづいて解説します。
実際に起きた公開事故を、ニュースの再放送ではなく 「あなたの環境でどう防ぐか」 の視点で読み解きます。本記事は 公開記録(企業公式・報道)にもとづく解説です。出典は末尾に明記し、攻撃の再現手順は扱いません。
- 対象
- カプコングループの社内システムと、顧客・取引先・従業員などの個人情報(運営:株式会社カプコン)
- 発覚
- 2020年11月2日(システム障害を検知・公表)
- 手口分類
- 北米子会社の旧型予備VPN装置経由で侵入 → データ窃取 → ランサムウェアで暗号化(二重恐喝)
- 影響規模
- 最大約39万人分の個人情報が漏洩の可能性(確認された窃取は一部・クレジットカード情報は含まず)
- 根本原因
- 廃止されず稼働し続けた旧型VPN装置(攻撃対象領域)+ 境界機器の防御不足 + 内部での横移動・窃取を止める仕組みの弱さ
- 本命の対策
- 未使用機器の廃止・棚卸し/VPN等境界機器のパッチ・多要素認証/セグメント化・最小権限・大量持ち出しの検知/バックアップと復旧訓練
何が起きたか(平易に)
ランサムウェア は、社内のファイルを暗号化して「元に戻したければ払え」と要求する攻撃です。近年はさらに、暗号化の前に データを盗み出し、「払わなければ公開する」と脅す 二重恐喝 が主流になっています。
カプコンの事件で侵入口になったのは、北米子会社に残っていた旧型の予備VPN装置 でした。新型の装置に置き換えたあとも、通信トラブル時の緊急用として 旧機器が稼働し続けていた のです。使っていないつもりでも、動いていれば攻撃者から見える 入口 になります。攻撃者はここから社内ネットへ入り、データを盗んでから暗号化しました。カプコンは身代金の要求に 応じず(当局と連携)、バックアップから復旧 し、複数回にわたって調査結果を 透明に開示 しました。侵入そのものより、廃止し忘れた1台と、窃取を許した内部 が被害を広げたのが本質です。
“使っていないつもり”の機器が、いちばん危ない
攻撃者は、管理の目が届かなくなった資産を好みます。新型に置き換えたのに廃止せず残した装置、退職者のアカウント、実験用に立てたまま忘れたサーバー——どれも「もう使っていない」からパッチも監視も止まりがちで、しかしネットからは見える。使わないなら止める・消す。残すなら最新に保ち監視する。中間(放置)が最悪です。
攻撃の連鎖は「防御の地図」でもある
この事件も、各段に止め所があった 連鎖でした。攻撃手順ではなく、どこで断ち切れたか として読んでください。
① 旧型の予備VPN装置が廃止されず残っていた
新型導入後も緊急用として稼働=攻撃対象領域に残った。
⊘ 止め所:未使用機器の廃止・資産棚卸し・攻撃対象領域の最小化
② その装置を突かれ社内ネットへ侵入
境界機器から内部に入り込まれた。
⊘ 止め所:VPN/境界機器のパッチ・多要素認証・最新化
④ 身代金要求・暴露
払わなければ暴露すると脅迫された。
⊘ 止め所:バックアップからの復旧・支払わない方針・当局連携・透明な開示
公表された時系列
2020-10
北米子会社に残っていた旧型の予備VPN装置経由で、社内ネットワークへの不正アクセスが行われる。2020-11-01
深夜、日本・北米の一部端末がランサムウェア(Ragnar Locker)で暗号化される。2020-11-02
システム障害を検知して公表。影響範囲の調査のため一部システムを停止。2020-11
攻撃者が窃取データの一部を暴露し、約11億円相当の身代金を要求。カプコンは接触せず、支払いを拒否(当局と連携)。2021-04-13
調査結果の最終報告。最大約39万人分の個人情報が漏洩の可能性(クレジットカード情報は含まず)。再発防止策を公表。2020〜2021
バックアップからシステムを復旧。監視・多層防御を強化。
根本原因は「運が悪かった」ではなく層の崩れ
この事件を「高度な攻撃にやられた」で片付けると、要点を外します。侵入は起こり得る前提で、入口を減らし、入られても被害を最小化できていたか が本質です。
崩れていた構成(事故時)
- 新型に置き換えたのに旧型VPN装置を廃止せず稼働させていた
- 境界機器のパッチ・多要素認証が十分でなかった
- 内部の横移動・大量窃取を止める仕組みが弱かった
- 暗号化対策(バックアップ)はあっても窃取は防げていなかった
守られた構成(再発防止)
- 使わない機器は廃止・資産を棚卸しして攻撃対象領域を最小化
- VPN等境界機器をパッチし多要素認証を付ける
- **セグメント化・最小権限・EDR**で横移動と窃取を止める
- バックアップ+復旧訓練で可用性を回復(窃取対策と併用)
“払わない”を選べたのは、備えがあったから
カプコンは身代金の要求に応じず、バックアップから復旧し、調査結果を透明に開示しました。「払わない」という正しい判断ができたのは、復旧できる備えと開示する姿勢があったからです。身代金の支払いは復号や暴露停止を保証せず、次の標的を生みます。事前のバックアップ・セグメント化・機器の棚卸しこそが、いざというとき選択肢を残します。(関連:未パッチが招いた Equifax事件)
あなたの環境での再発防止
ランサムウェアは規模を問わず狙われます。優先順の対策です。
使わない機器・経路・アカウントを廃止する
新型に置き換えた旧機器、実験用サーバー、退職者アカウントなど、「もう使っていない」ものを棚卸しして止める・消す。稼働していれば攻撃対象領域になる。残すなら最新に保ち監視する。
境界機器をパッチし、多要素認証を付ける
VPNやリモートアクセス機器の脆弱性をパッチし、多要素認証を必須にする。境界は最初に狙われる。脆弱性対応の実務の手順で、直しきって監視し続ける。
窃取を止める(セグメント化・最小権限・検知)
二重恐喝ではバックアップだけでは足りない。ネットワークをセグメント化し、最小権限にして横移動を止め、EDRと大量持ち出しの検知で窃取そのものを防ぐ。
バックアップと復旧訓練で“払わない”を選べるようにする
オフライン/世代管理されたバックアップを持ち、復旧を訓練する。復旧できる備えがあれば、身代金を払わずに事業を戻せる。組織のセキュリティ最低限に組み込む。
当サイトの設計思想と重なる点
この事件の本質は、もう使っていないはずの資産(旧型VPN装置)を残し、内部での窃取を許していた ことです。当サイト自身の原則——攻撃対象領域を最小化する・爆発半径を最小化する・多層で守る——とちょうど裏返しの関係にあります。使わない機器の放置は、公開ディレクトリの秘密や休眠アカウントと同じ 管理の空白 です。「使わないなら止める・境界はパッチする・窃取と暗号化の両面で守る」は、規模を問わず誰でも実装できる守りです。
出典(公開記録)
本記事の事実は、以下の公開情報にもとづきます。攻撃の再現手順は扱わず、防御の教訓に絞っています。
- 株式会社カプコン 公式発表(不正アクセスによる情報流出に関する調査結果のご報告・続報, 2020〜2021) — capcom.co.jp
- 各種報道(侵入経路=旧型VPN装置・二重恐喝・身代金要求と支払い拒否, 2020〜2021) — 一次発表にもとづく報道
次に読む
- 用語:ランサムウェアとは(仕組みと「払わない」ための防御)/ EDR とは(端末の異常を検知する)
- 実務:脆弱性(CVE)対応の実務(境界機器を直しきって監視する)/ 組織のセキュリティ最低限
- 事例:Equifax 情報漏えい事件(2017)(未パッチが招いた大規模漏洩)
よくある質問
Qカプコン事件の侵入口は何でしたか?
北米子会社に残っていた『旧型の予備VPN装置』です。新型に置き換えた後も、緊急時のバックアップとして稼働し続けていました。攻撃者はこの旧機器を足がかりに社内ネットへ侵入しました。使っていないつもりの機器でも、稼働していれば攻撃対象領域(アタックサーフェス)になります。
Q『二重恐喝』とは何ですか?なぜバックアップだけでは不十分なのですか?
データを暗号化して身代金を要求するだけでなく、暗号化の前に<strong>データを盗み出し、『払わなければ暴露する』と脅す</strong>手口です。バックアップがあれば暗号化からの復旧(可用性の回復)はできますが、<strong>盗まれた事実は取り消せません</strong>。だから、暗号化対策(バックアップ)だけでなく、<strong>そもそも窃取させない対策</strong>(セグメント化・最小権限・大量持ち出しの検知)が必要です。
Q中小規模の組織でも学べることはありますか?
あります。①使っていない機器・アカウント・経路を棚卸しして廃止する(残すと攻撃対象になる)②VPNなど境界機器をパッチし、多要素認証を付ける③バックアップを持ち、復旧を訓練する④窃取を防ぐため内部をセグメント化し最小権限にする。規模が小さくても、旧機器の放置と単一ネットワークは同じ危うさです。