本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

有名事故・脆弱性

カプコン ランサムウェア事件(2020)— 旧型VPN装置はなぜ突かれたか、二重恐喝への防御

2020年、ゲーム大手カプコンがランサムウェア(Ragnar Locker)の被害を受け、最大約39万人分の個人情報が漏洩の可能性、内部システムが暗号化されました。侵入口は北米子会社に残っていた『旧型の予備VPN装置』。データを盗んでから暗号化する『二重恐喝』でした。攻撃手順ではなく、あなたの組織で旧機器の廃止・境界のパッチ・窃取と暗号化の両面をどう防ぐかを、公開記録の事実だけにもとづいて解説します。

公開日 2026-07-07 更新日 2026-07-07 13分で読める

実際に起きた公開事故を、ニュースの再放送ではなく 「あなたの環境でどう防ぐか」 の視点で読み解きます。本記事は 公開記録(企業公式・報道)にもとづく解説です。出典は末尾に明記し、攻撃の再現手順は扱いません。

最大約39万人分
漏洩の可能性がある個人情報
旧型VPN
廃止されず残っていた予備装置が侵入口
二重恐喝
窃取してから暗号化・暴露で脅迫
支払い拒否
バックアップ復旧+透明開示で対応
事故サマリー / CASE FILE
対象
カプコングループの社内システムと、顧客・取引先・従業員などの個人情報(運営:株式会社カプコン)
発覚
2020年11月2日(システム障害を検知・公表)
手口分類
北米子会社の旧型予備VPN装置経由で侵入 → データ窃取 → ランサムウェアで暗号化(二重恐喝)
影響規模
最大約39万人分の個人情報が漏洩の可能性(確認された窃取は一部・クレジットカード情報は含まず)
根本原因
廃止されず稼働し続けた旧型VPN装置(攻撃対象領域)+ 境界機器の防御不足 + 内部での横移動・窃取を止める仕組みの弱さ
本命の対策
未使用機器の廃止・棚卸し/VPN等境界機器のパッチ・多要素認証/セグメント化・最小権限・大量持ち出しの検知/バックアップと復旧訓練

何が起きたか(平易に)

ランサムウェア は、社内のファイルを暗号化して「元に戻したければ払え」と要求する攻撃です。近年はさらに、暗号化の前に データを盗み出し、「払わなければ公開する」と脅す 二重恐喝 が主流になっています。

カプコンの事件で侵入口になったのは、北米子会社に残っていた旧型の予備VPN装置 でした。新型の装置に置き換えたあとも、通信トラブル時の緊急用として 旧機器が稼働し続けていた のです。使っていないつもりでも、動いていれば攻撃者から見える 入口 になります。攻撃者はここから社内ネットへ入り、データを盗んでから暗号化しました。カプコンは身代金の要求に 応じず(当局と連携)、バックアップから復旧 し、複数回にわたって調査結果を 透明に開示 しました。侵入そのものより、廃止し忘れた1台と、窃取を許した内部 が被害を広げたのが本質です。

“使っていないつもり”の機器が、いちばん危ない

攻撃者は、管理の目が届かなくなった資産を好みます。新型に置き換えたのに廃止せず残した装置、退職者のアカウント、実験用に立てたまま忘れたサーバー——どれも「もう使っていない」からパッチも監視も止まりがちで、しかしネットからは見える。使わないなら止める・消す。残すなら最新に保ち監視する。中間(放置)が最悪です。

攻撃の連鎖は「防御の地図」でもある

この事件も、各段に止め所があった 連鎖でした。攻撃手順ではなく、どこで断ち切れたか として読んでください。

① 旧型の予備VPN装置が廃止されず残っていた

新型導入後も緊急用として稼働=攻撃対象領域に残った。

⊘ 止め所:未使用機器の廃止・資産棚卸し・攻撃対象領域の最小化

② その装置を突かれ社内ネットへ侵入

境界機器から内部に入り込まれた。

⊘ 止め所:VPN/境界機器のパッチ・多要素認証・最新化

③ データを窃取してから暗号化(二重恐喝)

暗号化の前に大量のデータを持ち出された。

⊘ 止め所:セグメント化・最小権限・EDR・大量持ち出しの検知

④ 身代金要求・暴露

払わなければ暴露すると脅迫された。

⊘ 止め所:バックアップからの復旧・支払わない方針・当局連携・透明な開示

連鎖の各段で“止められた”。多層防御とは、1枚の壁ではなくこの止め所を複数持つこと。

公表された時系列

  1. 2020-10

    北米子会社に残っていた旧型の予備VPN装置経由で、社内ネットワークへの不正アクセスが行われる。
  2. 2020-11-01

    深夜、日本・北米の一部端末がランサムウェア(Ragnar Locker)で暗号化される。
  3. 2020-11-02

    システム障害を検知して公表。影響範囲の調査のため一部システムを停止。
  4. 2020-11

    攻撃者が窃取データの一部を暴露し、約11億円相当の身代金を要求。カプコンは接触せず、支払いを拒否(当局と連携)。
  5. 2021-04-13

    調査結果の最終報告。最大約39万人分の個人情報が漏洩の可能性(クレジットカード情報は含まず)。再発防止策を公表。
  6. 2020〜2021

    バックアップからシステムを復旧。監視・多層防御を強化。

根本原因は「運が悪かった」ではなく層の崩れ

この事件を「高度な攻撃にやられた」で片付けると、要点を外します。侵入は起こり得る前提で、入口を減らし、入られても被害を最小化できていたか が本質です。

崩れていた構成(事故時)

  • 新型に置き換えたのに旧型VPN装置を廃止せず稼働させていた
  • 境界機器のパッチ・多要素認証が十分でなかった
  • 内部の横移動・大量窃取を止める仕組みが弱かった
  • 暗号化対策(バックアップ)はあっても窃取は防げていなかった

守られた構成(再発防止)

  • 使わない機器は廃止・資産を棚卸しして攻撃対象領域を最小化
  • VPN等境界機器をパッチ多要素認証を付ける
  • **セグメント化・最小権限・EDR**で横移動と窃取を止める
  • バックアップ+復旧訓練で可用性を回復(窃取対策と併用)

“払わない”を選べたのは、備えがあったから

カプコンは身代金の要求に応じず、バックアップから復旧し、調査結果を透明に開示しました。「払わない」という正しい判断ができたのは、復旧できる備えと開示する姿勢があったからです。身代金の支払いは復号や暴露停止を保証せず、次の標的を生みます。事前のバックアップ・セグメント化・機器の棚卸しこそが、いざというとき選択肢を残します。(関連:未パッチが招いた Equifax事件

あなたの環境での再発防止

ランサムウェアは規模を問わず狙われます。優先順の対策です。

1

使わない機器・経路・アカウントを廃止する

新型に置き換えた旧機器、実験用サーバー、退職者アカウントなど、「もう使っていない」ものを棚卸しして止める・消す。稼働していれば攻撃対象領域になる。残すなら最新に保ち監視する。

2

境界機器をパッチし、多要素認証を付ける

VPNやリモートアクセス機器の脆弱性をパッチし、多要素認証を必須にする。境界は最初に狙われる。脆弱性対応の実務の手順で、直しきって監視し続ける。

3

窃取を止める(セグメント化・最小権限・検知)

二重恐喝ではバックアップだけでは足りない。ネットワークをセグメント化し、最小権限にして横移動を止め、EDRと大量持ち出しの検知で窃取そのものを防ぐ

4

バックアップと復旧訓練で“払わない”を選べるようにする

オフライン/世代管理されたバックアップを持ち、復旧を訓練する。復旧できる備えがあれば、身代金を払わずに事業を戻せる。組織のセキュリティ最低限に組み込む。

当サイトの設計思想と重なる点

この事件の本質は、もう使っていないはずの資産(旧型VPN装置)を残し、内部での窃取を許していた ことです。当サイト自身の原則——攻撃対象領域を最小化する・爆発半径を最小化する・多層で守る——とちょうど裏返しの関係にあります。使わない機器の放置は、公開ディレクトリの秘密や休眠アカウントと同じ 管理の空白 です。「使わないなら止める・境界はパッチする・窃取と暗号化の両面で守る」は、規模を問わず誰でも実装できる守りです。

出典(公開記録)

本記事の事実は、以下の公開情報にもとづきます。攻撃の再現手順は扱わず、防御の教訓に絞っています。

  • 株式会社カプコン 公式発表(不正アクセスによる情報流出に関する調査結果のご報告・続報, 2020〜2021) — capcom.co.jp
  • 各種報道(侵入経路=旧型VPN装置・二重恐喝・身代金要求と支払い拒否, 2020〜2021) — 一次発表にもとづく報道

次に読む

よくある質問

Qカプコン事件の侵入口は何でしたか?
A

北米子会社に残っていた『旧型の予備VPN装置』です。新型に置き換えた後も、緊急時のバックアップとして稼働し続けていました。攻撃者はこの旧機器を足がかりに社内ネットへ侵入しました。使っていないつもりの機器でも、稼働していれば攻撃対象領域(アタックサーフェス)になります。

Q『二重恐喝』とは何ですか?なぜバックアップだけでは不十分なのですか?
A

データを暗号化して身代金を要求するだけでなく、暗号化の前に<strong>データを盗み出し、『払わなければ暴露する』と脅す</strong>手口です。バックアップがあれば暗号化からの復旧(可用性の回復)はできますが、<strong>盗まれた事実は取り消せません</strong>。だから、暗号化対策(バックアップ)だけでなく、<strong>そもそも窃取させない対策</strong>(セグメント化・最小権限・大量持ち出しの検知)が必要です。

Q中小規模の組織でも学べることはありますか?
A

あります。①使っていない機器・アカウント・経路を棚卸しして廃止する(残すと攻撃対象になる)②VPNなど境界機器をパッチし、多要素認証を付ける③バックアップを持ち、復旧を訓練する④窃取を防ぐため内部をセグメント化し最小権限にする。規模が小さくても、旧機器の放置と単一ネットワークは同じ危うさです。