二重恐喝の例 – CD PROJEKT ランサムウェア

2012年6月12日、ゲーム開発会社として知られるCD PROJEKT社にランサムウェアが侵入しました。

このランサムウェアは、データの暗号化を開始する前に、攻撃者が実際にデータを盗み出し、二重の恐喝を行い身代要求金を払わせるようにすると考えられています。

CD PROJEKTは、盗まれたデータがネット上に出回っている可能性があることを警告・通知しています。

CD PROJEKTは、「問題のデータの正確な内容はまだ確認できていませんが、当社のゲームに関連するデータに加えて、現在・過去の従業員や契約者の詳細が含まれている可能性がある」と述べました。

さらに、盗まれたデータが操作されたり、改ざんされたりしたかどうかも確認できません。

CD PROJEKTのウェブサイトに掲載されている情報によると、CD PROJEKTは「現在、ポーランドの警察本部を含む、適切なサービス、専門家、および法執行機関の広範なネットワークと協力しています。

また、国際刑事警察機構および欧州刑事警察機構にも連絡を取り、捜査協力を求めているとのこと。また、2月に個人情報保護局（PUODO）の社長と共有した情報も更新されています。

CD PROJEKTでは、今回のこの事件を踏まえて、将来的にこのような攻撃事例が発生した場合に備えて、セキュリティ対策を強化するための複数の措置を講じています。

セキュリティ強化対策は以下の要素が例として挙げられています。

‐　リモートアクセスソリューションの改善と監視の強化
‐　セキュリティの専門家を増員し、セキュリティ部門を強化
‐　情報技術のための新しいインフラを導入し、より優れた厳格なファイアウォールルールを導入

CD PROJEKTは、「流通している漏洩した個人情報の信憑性に関わらず、当社の従業員やその他の関係者のプライバシーを保護するために全力を尽くします。今回の事件で個人情報を漏洩させた攻撃者に対して、対策を講じ、将来このような事態が起きないよう準備しています」と述べています。