カプコンは13日、2020年11月に外部からランサムウェアによる攻撃を受け、個人情報が流出した事件に関して、第三者による検証結果を発表した（カプコンリリース、ITmedia、過去記事その1、その2、その3）。

その発表によれば、不正アクセス攻撃を受けた原因は北米法人が保有していた予備の旧型VPN装置にあったという。この旧型VPN装置はコロナ禍で発生したネットワーク負荷の増大に対応するため、緊急避難用として1台のみ運用していたという。攻撃者はこの北米に設置された旧型VPN装置を経由し、同社の社内ネットワークに侵入したとしている。その後に米国や日本側の機器を乗っ取り、個人情報を取得したとしている。

あるAnonymous Coward 曰く、

>2020年10月、当社の北米現地法人（Capcom U.S.A., Inc.）が保有していた予備の旧型VPN（Virtual Private Network）装置に対するサイバー攻撃を受け、社内ネットワークへ不正侵入されたものと調査により判断されています。当時、同現地法人を含め当社グループでは既に別型の新たなVPN装置を導入済でしたが、同社所在地であるカリフォルニア州における新型コロナウイルス感染急拡大に起因するネットワーク負荷の増大に伴い、通信障害等が発生した際の緊急避難用として同現地法人においてのみ当該旧型VPN装置1台が残存しており、サイバー攻撃の対象となりました。なお、現時点で当該装置は既に廃棄済みです。

100-1は0なんだよなぁってどっかの偉い人に言われてしまう悲しみ

関連ストーリー
https://security.srad.jp/story/20/11/20/0439211/
https://security.srad.jp/story/20/11/16/2042202/
https://security.srad.jp/story/20/11/09/1755243/

情報元へのリンク