跳至主要內容
>_ITDITD網站資安平台

資安事件與漏洞

Capcom 勒索軟體事件(2020)—— 老舊 VPN 裝置為何成了入侵口,以及對雙重勒索的防禦

2020 年,遊戲大廠 Capcom 遭 Ragnar Locker 勒索軟體攻擊:最多約 39 萬人的個人資料可能外洩,內部系統遭到加密。入侵口是北美子公司一台留著運行的老舊備用 VPN 裝置;手法是雙重勒索——先竊取資料,再加密。防禦之道是淘汰未使用的裝置、修補邊界裝置,並同時防範竊取與加密。本文只依據公開記錄講解。

發布於 2026-07-07 更新於 2026-07-07 閱讀時間 3 分鐘

我們閱讀真實、公開的事故,不是把新聞重播一遍,而是以 「你要如何防禦這種攻擊?」 的視角來讀。本文依據 公開記錄(企業聲明、可信報導)。出處列於文末,且不包含任何攻擊操作教學。

約 39 萬人
資料可能外洩的人數
老舊 VPN
一台留著運行的備用裝置成了入侵口
雙重勒索
先竊取再加密;威脅公開
拒絕付款
從備份復原;公開透明揭露
事故檔案
目標
Capcom 集團內部系統,以及顧客、合作夥伴與員工的個人資料(營運方:株式會社 Capcom)
發覺
2020 年 11 月 2 日(察覺系統異常並揭露)
手法分類
經由北美子公司一台老舊的備用 VPN 裝置入侵 → 竊取資料 → 以 勒索軟體 加密(雙重勒索)
影響規模
最多約 39 萬人的個人資料可能外洩(已確認的竊取為其中一部分;不含信用卡資料)
根本原因
一台留著運行的老舊 VPN 裝置(攻擊面)+ 邊界裝置防護不足 + 阻止內部橫向移動與外帶的控制薄弱
真正的修復
淘汰未使用的裝置/資產盤點;修補 VPN/邊界裝置 + MFA;隔離、最小權限、大量外帶偵測;備份與復原演練

發生了什麼(用白話說)

勒索軟體 會加密一個組織的檔案,然後要求「想拿回來就付錢」。近年來攻擊者加了一道花招——先竊取資料,並威脅不付款就公開:這就是 雙重勒索。

在 Capcom,入侵口是 北美子公司一台留著運行的老舊備用 VPN 裝置。在新型裝置替換它之後,這台老舊裝置仍作為連線問題的緊急備援 持續運行。就算你以為它已經停用,只要它還通著電,它就是攻擊者看得見的一道 。攻擊者由此進入內部網路,竊取資料,然後加密系統。Capcom 拒絕 了贖金要求(並與執法單位合作),從備份復原,並在多次更新中 透明地 揭露調查結果。比起入侵本身,一台被遺忘的裝置,加上一條能在內部竊取資料的路徑,才是把災情擴大的關鍵。

你「不再使用」的裝置,才是最危險的

攻擊者最愛的,是已經脫離所有人視線的資產。一台被新型號取代卻仍留著運行的裝置、一個離職員工的帳號、一台架起來就被忘掉的測試伺服器——每一個都因為「不再使用」,所以修補與監控往往就此停擺,然而它仍能從網路連到。不用的東西就關掉/移除。要留著的話,就保持更新並持續監控。介於中間的放任,才是最糟的。

攻擊的連鎖也是一張防禦地圖

這是一條 每一步都有機會攔下 的連鎖。請把它讀成 哪裡本可被打斷,而不是操作教學。

1. 一台老舊的備用 VPN 裝置被留著運行

新型號到位後仍作為緊急備援保留——依然是攻擊面。

攔截點:淘汰未使用的裝置;資產盤點;把攻擊面降到最小

2. 那台裝置被用來進入網路

一台邊界裝置成了通往內部的路徑。

攔截點:修補 VPN/邊界裝置;多因素認證;保持更新

3. 資料先被竊取,再遭加密(雙重勒索)

在加密之前,大量資料就已被帶走。

攔截點:隔離;最小權限;EDR;偵測大量外帶

4. 索要贖金與公開威脅

付款,否則被竊資料就會被公開。

攔截點:從備份復原;不付款方針;與執法單位聯繫;透明揭露

每一步都有攔截點。縱深防禦意味著守住其中好幾個攔截點,而非一道牆。

已公布的時間軸

  1. 2020-10

    經由北美子公司一台老舊的備用 VPN 裝置,內部網路發生未經授權的存取。
  2. 2020-11-01

    深夜,日本與北美的部分裝置遭勒索軟體(Ragnar Locker)加密。
  3. 2020-11-02

    察覺系統異常並揭露;停用部分系統以調查影響範圍。
  4. 2020-11

    攻擊者公開部分被竊資料,並索要約 11 億日圓的贖金。Capcom 不予接觸並拒絕付款(與執法單位合作)。
  5. 2021-04-13

    最終調查報告:最多約 39 萬人的個人資料可能外洩(不含信用卡資料)。並公布防範措施。
  6. 2020–2021

    系統從備份復原;監控與縱深防禦獲得強化。

根本原因不是「運氣不好」,而是層層防線的崩塌

把這件事歸結為「被一次高明的攻擊得手了」,就抓錯了重點。入侵是可能發生的;真正重要的是,你是否 減少了入侵途徑、並在攻擊者進入後把損害降到最小。

崩塌的配置

  • 一台在新型號替換後 仍留著運行的老舊 VPN 裝置
  • 邊界裝置的 修補/MFA 不足
  • 阻止 橫向移動與大量竊取 的控制薄弱
  • 即使有備份,外帶並未被防住

守得住的配置

  • 淘汰 未使用的裝置;盤點 資產以縮小攻擊面
  • 修補 VPN/邊界裝置並要求 多因素認證
  • 隔離、最小權限、EDR 阻止移動與竊取
  • 備份+復原演練 恢復可用性(與防竊取控制並用)

能說「不」,是因為事前有所準備

Capcom 拒絕了贖金,從備份復原,並 透明地 揭露調查結果。它之所以能做出正確的判斷——不付款——是因為它擁有 復原的手段與揭露的姿態。付款既不保證解密,也不保證公開會停止,反而資助了下一場攻擊。事前做好的備份、隔離與資產盤點,才是危機當下讓你還有選擇的東西。(相關:因未修補軟體引發的 Equifax 資訊外洩事件。)

你要如何防禦這種攻擊

勒索軟體會鎖定各種規模的組織。依優先順序:

1

淘汰未使用的裝置、路徑與帳號

被新型號取代的老舊裝置、被遺忘的測試伺服器、離職員工的帳號——盤點你「不再使用」的東西,並把它關掉/移除。 只要還在運行,它就是攻擊面。要留著的話,就保持更新並持續監控。

2

修補邊界裝置並加上多因素認證

修補 VPN 與遠端存取裝置的 漏洞,並要求 多因素認證。邊界是最先被鎖定的地方。運用 漏洞處置實務 徹底修好並持續監控。

3

阻止外帶(隔離、最小權限、偵測)

對雙重勒索而言,光有備份還不夠。把網路隔離、套用 最小權限 以阻止橫向移動,並以 EDR 加上大量搬移偵測,從根本上防住竊取本身。

4

備份與復原演練,讓你能選擇「不付款」

保有離線/版本化的 備份,並 演練復原。有了復原的手段,你就能不付款而讓業務恢復。把它納入你的 組織安全底線

這與本站的建構原則重疊之處

究其核心,這起事故把一台號稱「不再使用」的資產(一台老舊 VPN 裝置)留著運行,並容許了內部的外帶。這正是本站自身原則的鏡像——把攻擊面降到最小、把波及範圍縮到最小、以層層防線防禦。 一台被放任的老舊裝置,與公開目錄裡的一個機密、一個休眠帳號,是同一種 管理盲區。「不用就關掉;修補邊界;同時防範竊取與加密」是任何人在任何規模都能落實的防禦。

出處(公開記錄)

本文的事實依據以下公開資訊。不包含任何攻擊操作教學——只聚焦於 防禦的教訓

  • 株式會社 Capcom 官方聲明(因未經授權存取導致資料安全事故的調查報告與續報,2020–2021)— capcom.co.jp
  • 當時的報導(經由老舊 VPN 裝置入侵、雙重勒索、索要贖金與拒絕付款,2020–2021),依據第一手揭露

接下來閱讀

FAQ

QCapcom 事件的入侵口是什麼?
A

是北美子公司一台留著運行的老舊備用 VPN 裝置。新型號替換後,這台老舊裝置仍作為緊急備援持續運行。攻擊者以它為立足點,突破進入內部網路。即使你以為已經停用的裝置,只要它仍在通電且可從網路連到,就是你攻擊面的一部分。

Q什麼是「雙重勒索」,為什麼光有備份還不夠?
A

攻擊者除了加密資料索要贖金外,還會先<strong>竊取資料,並威脅『不付款就公開』。</strong>備份能讓你從加密中復原(恢復可用性),但<strong>無法撤銷資料已被竊取這個事實。</strong>所以你不僅需要防加密的措施(備份),還需要<strong>從根本上不讓資料被外帶</strong>的措施——隔離、最小權限,以及對大量資料搬移的偵測。

Q規模較小的組織能從中學到什麼嗎?
A

能:(1) 盤點並淘汰未使用的裝置、帳號與路徑(留著就會成為目標);(2) 修補 VPN/邊界裝置並加上多因素認證;(3) 保有備份並演練復原;(4) 內部隔離並採用最小權限以阻止資料外帶。即使規模很小,一台被放任的老舊裝置和一個扁平的網路,同樣危險。