跳到正文
>_ITDITDWeb 安全平台

安全事故与漏洞

Capcom 勒索软件事件(2020)—— 一台旧 VPN 设备为何成为入口,以及对双重勒索的防御

2020 年,游戏大厂 Capcom 遭 Ragnar Locker 勒索软件攻击:最多约 39 万人份的个人信息可能泄露,内部系统被加密。入口是北美子公司里被换代后仍未停用、继续运行的『旧备用 VPN 设备』。手法是先窃取数据再加密的双重勒索。本文只基于公开记录,讲解如何通过停用弃置设备、修补边界设备、同时防范窃取与加密来防御。

发布于 2026-07-07 更新于 2026-07-07 3 分钟阅读

我们阅读真实发生的公开事故,不是把新闻重播一遍,而是以 「你的环境该如何防御」 的视角来解读。本文基于 公开记录(企业官方声明、可靠报道)。出处列在文末,且不包含任何攻击复现手法。

约 39 万人
个人信息可能泄露的人数
旧 VPN
一台仍在运行的备用设备成了入口
双重勒索
先窃取再加密;以公开相威胁
拒绝付款
从备份恢复;公开透明披露
事故档案
目标
Capcom 集团的内部系统,以及客户、合作方与员工的个人信息(运营方:Capcom Co., Ltd.)
发觉
2020 年 11 月 2 日(察觉并披露系统故障)
手法分类
经北美子公司的旧备用 VPN 设备侵入 → 窃取数据 → 用 勒索软件 加密(双重勒索)
影响规模
最多约 39 万人份的个人信息可能泄露(已确认被窃的是其中一部分;不含信用卡数据)
根本原因
一台仍在运行的旧 VPN 设备(攻击面)+ 边界设备防御不足 + 内部阻止横向移动与数据外带的机制薄弱
真正的对策
停用弃置设备/资产盘点;修补 VPN/边界设备 + MFA;隔离、最小权限、大量外带检测;备份与恢复演练

到底发生了什么(用大白话说)

勒索软件 会加密一个组织的文件,并要求「想拿回就付钱」。近年来攻击者又加了一手——先窃取数据,并以不付款就公开相威胁:双重勒索。

在 Capcom,入口是 北美子公司里遗留的一台旧备用 VPN 设备。在新设备替换它之后,这台旧设备仍作为通信故障时的应急备用 继续运行。哪怕你以为它已经不再使用,只要它开着机,它就是攻击者能看见的一扇 。攻击者由此进入内网、窃取数据,然后加密系统。Capcom 拒绝 了赎金要求(并与执法部门协作),从备份恢复,并在多次更新中 透明地 披露了调查结果。比起入侵本身,一台被遗忘的设备,加上一条能在内部窃取数据的通路 才是让损失扩大的关键。

你「已经不用了」的那台设备,恰恰最危险

攻击者偏爱那些已经脱离所有人视线的资产。被新机型替换却仍在运行的设备、离职员工的账号、搭起来又被忘掉的测试服务器——每一个都因为「已经不用了」而往往停止了打补丁和监控,可它仍然能从网络上被访问到。不用就关掉/移除。要留就保持更新与监控。中间地带——放任——才是最糟的。

攻击链也是一张防御地图

这是一条 每一步都有可阻断之处 的链条。把它读作 哪里本可以被打断,而不是操作手法。

1. 一台旧备用 VPN 设备仍在运行

新设备到位后仍作为应急备用保留——依旧是攻击面。

阻断:停用弃置设备;资产盘点;把攻击面降到最小

2. 这台设备被用来进入内网

一台边界设备成了通往内部的通路。

阻断:修补 VPN/边界设备;多因素认证;保持更新

3. 数据先被窃取,再被加密(双重勒索)

在加密之前,大量数据已被带走。

阻断:隔离;最小权限;EDR;检测大量外带

4. 索要赎金并以泄露相威胁

付款,否则被窃数据就会被公开。

阻断:从备份恢复;不付款方针;与执法部门协作;透明披露

每一步都有可阻断之处。纵深防御意味着守住其中好几处阻断点,而不是只靠一堵墙。

已公开的时间线

  1. 2020-10

    经北美子公司里的一台旧备用 VPN 设备,对内网发生未授权访问。
  2. 2020-11-01

    深夜,日本与北美的部分设备被勒索软件(Ragnar Locker)加密。
  3. 2020-11-02

    察觉并披露系统故障;为调查影响范围,停用部分系统。
  4. 2020-11

    攻击者公开部分被窃数据,索要约 11 亿日元相当的赎金。Capcom 不予接触,拒绝付款(并与执法部门协作)。
  5. 2021-04-13

    最终调查报告:最多约 39 万人份的个人信息可能泄露(不含信用卡数据)。同时公布防范措施。
  6. 2020–2021

    从备份恢复系统;强化监控与纵深防御。

根本原因不是「运气不好」,而是层层失守

把这件事一句「被高级攻击拿下了」带过,就错过了要点。入侵是可能发生的;真正重要的是你是否 减少了入口、并在被攻入后把损失降到最小。

失守的那套配置

  • 新设备替换后,一台 旧 VPN 设备仍未停用 继续运行
  • 边界设备的 补丁/MFA 不足
  • 阻止 横向移动与大量窃取 的机制薄弱
  • 即便有备份,也没能防住数据被窃出

守得住的那套配置

  • 停用 弃置设备;盘点 资产以收缩攻击面
  • 修补 VPN/边界设备并强制 多因素认证
  • 隔离、最小权限、EDR 阻止移动与窃取
  • 备份 + 恢复演练 恢复可用性(与防窃取措施并用)

能说出「不」,源于事先有备

Capcom 拒绝了赎金,从备份恢复,并透明地披露了调查结果。它之所以能做出正确的选择——不付款——是因为它有可供恢复的手段,以及愿意披露的姿态。付款既不保证能解密,也不保证泄露就此停止,还会为下一次攻击提供资金。事先做好的备份、隔离与资产盘点,才是危机来临时让你还有选择余地的东西。(相关:因未打补丁而起的 Equifax 信息泄露事件。)

你该如何防御

勒索软件盯上的是各种规模的组织。按优先级排序:

1

停用不再使用的设备、通路与账号

被新机型替换掉的旧设备、被遗忘的测试服务器、离职员工的账号——把你「已经不用了」的东西盘点出来,关掉/移除。 只要还在运行,它就是攻击面。要留就保持更新与监控。

2

修补边界设备并加上多因素认证

修补 VPN 与远程访问设备中的漏洞,并强制 多因素认证。边界是最先被盯上的地方。用 漏洞(CVE)处置实务 来彻底修复并持续监控。

3

阻止数据外带(隔离、最小权限、检测)

面对双重勒索,光有备份还不够。对网络做隔离,施加 最小权限 以阻止横向移动,并用 EDR 加上大量外移检测来 从根本上防住窃取本身。

4

备份与恢复演练让你能选择「不付款」

保留离线/多版本的 备份,并 演练恢复。有了可供恢复的手段,你就能不付赎金而让业务复原。把它纳入你的 组织安全底线

这与本站的建站思路在哪里重合

这起事故的内核,是把一件本以为「已经不再使用」的资产(一台旧 VPN 设备)留着运行,并放任了内部的数据窃取。这恰恰是本站自身原则的镜像——把攻击面降到最小、把爆炸半径收到最小、分层防御。 一台被放任的旧设备,与公开目录里的一份机密、或一个休眠账号,是同一种 管理盲区。 「不用就关掉;修补边界;同时防范窃取与加密」是任何人在任何规模都能落地的防御。

出处(公开记录)

本文所依据的事实来自以下公开信息。不包含任何攻击复现手法——只讲 防御的教训

  • Capcom Co., Ltd. 官方声明(关于未授权访问导致的信息安全事故的报告与续报,2020–2021)— capcom.co.jp
  • 同期报道(经旧 VPN 设备侵入、双重勒索、索要赎金及拒绝付款,2020–2021),基于一手披露

延伸阅读

FAQ

QCapcom 事件的入侵入口是什么?
A

是北美子公司里遗留下来的一台『旧备用 VPN 设备』。在被新设备替换之后,这台旧设备仍作为应急备用继续运行。攻击者以它为跳板侵入内网。即便是你以为已经不再使用的设备,只要它仍处于开机且可达的状态,就是你攻击面的一部分。

Q什么是『双重勒索』?为什么光有备份还不够?
A

除了加密数据索要赎金,攻击者还会在加密之前先<strong>窃取数据,并以『不付款就公开』相威胁</strong>。备份能让你从加密中恢复(恢复可用性),但<strong>无法撤销数据已被窃取的事实</strong>。所以你不仅需要防加密的措施(备份),还需要<strong>从一开始就不让数据被窃出</strong>的措施——隔离、最小权限,以及对大量数据外移的检测。

Q小型组织也能从中学到东西吗?
A

可以:①盘点并停用不再使用的设备、账号与通路(留着它们就是给攻击者留靶子);②修补 VPN/边界设备并加上多因素认证;③保留备份并演练恢复;④对内做网络隔离、用最小权限阻止数据外带。哪怕规模再小,一台被放任的旧设备加上一张扁平的内网,危险是一样的。