カプコン サイバー攻撃の原因 米現地法人の“VPN”が狙われる

以前なら安全の代名詞にもなっていた「枯れた技術」は、今やサイバー犯罪者の最高のターゲットになっていますね。
「ロケットなどは枯れた技術で安全に宇宙まで行ってる」って反論する人いますけど、ロケットにいたずらして得られるお金よりも、ネット上の情報を狙って得られるお金のほうが大きくて入手が簡単という、経済合理性に基づく構造なんですよね。
とにかくIT機器は最新の状態にしておくのが必須アクション。

VPN絡みの攻撃は昔々からずっとあるものです。
知らなかったでは済まないでしょう。
明らかな対策不足であり米国であれば間違いなく善管注意義務違反となりますし、そうでなくとも株主代表訴訟に持ち込まれる事案です。
また、被害発生から原因特定まで半年近く時間を要している。
これは少々遅いと言えるでしょう。
今回漏洩したのは約2万人分の個人情報で、仮にカリフォルニア州のCCPAに当てはめた場合には50億円以上の罰金となります。
これに対して改正個人情報保護法では1億円が上限です。
要するに10億円のセキュリティ投資をして50億円の罰金を防げるカリフォルニア州法と1億円の罰金しかせいぜい防げない日本の法体系とでは経営者のモチベーションも大きく違ってくるということでしょう。
とは言え日本企業も情報の所有権による越境を考えれば大いに気を付けるべきでしょう。
平和ボケしていたらいつやり玉にあがるかわかりませんね。

カプコンの事案は、暴露型または二重脅迫型のランサムウェア事案として大きな問題となりました。その原因が、（本社からのガバナンスが効きにくい）現地法人にてテレワーク急増に伴い古い型のVPN装置をセキュリティ対策不十分なまま利用してしまったことにあるとの報道です。このような背景は他の事案についても共通に指摘されています。他人事とせず、我々も自身の環境やセキュリティ管理体制を再点検しなければなりませんね。