CD Projektは2月9日、何らかのランサムウェアによって同社の情報システムが攻撃を受けたことを発表しました(英語ツイート)。CD Projektは『ウィッチャー』、『サイバーパンク2077』などのゲームで知られ、デジタル商品配信サービス「GOG.com」の親会社でもあります。同社は、判明しているかぎり利用者の個人情報には影響が及んでいないと述べています。
何が起きたのか
発表によると、正体不明のハッカーが同社の内部システムに侵入し、大量のデータをダウンロードした上に情報をすべて暗号化し、身代金を要求する脅迫メッセージを残したということです。脅迫メッセージには、要求に従わなければ入手したデータを公開するとの言及があります。データを暗号化するだけでなく、これを公開するといって脅すやり方は、ここ数年よく見られるランサムウェア攻撃の手口と一致します。
CD Projektは、どのような要求にも屈しない姿勢を示し、犯人側との交渉を行うつもりはないとしています。代わりに、影響を受けた可能性のある第三者とも連携して事態の緩和に注力すると述べ、脅迫文を公開しました。
身代金を支払わないという同社の決断、そして本件に関する透明性のあるコミュニケーションを、私たちは支持します。脅迫者に金銭を支払うということは、彼らのランサムウェアビジネスに利益を与え、より強力なランサムウェアの開発を支援することにつながります。また、身代金を支払えば盗まれたデータが公開されないという保証があるわけでもありません。(なお、CD Projektは重要な情報についてはすべてバックアップを取ってあるため、今回の事例ではデータ復旧については問題となっていません)
盗まれたデータ
脅迫メッセージ内には、攻撃者が盗んだというデータの種類が列挙されています。しかし、盗まれた情報に関する公の情報がこれしかないこと、犯罪者が本当のところを言うのか疑わしいことを考えると、情報の信憑性には疑問があります。CD Projektは、情報の正確性を肯定も否定もしていません。犯人は、バージョン管理用のPerforceサーバーから、以下ゲームの全ソースコードを盗んだと主張しています。
- サイバーパンク2077
- ウィッチャー
- グウェント
- 『ウィッチャー3』の未公開版
上記に加え、経理、管理、法務、人事、投資家関連の部門の文書を手に入れたとも述べており、要求どおりにしないとこれらの情報をゲーム関連ジャーナリストに送って同社の評判に傷を付けると脅しています。
可能性のある筋書き
CD Projektはすでに法執行機関およびサイバーセキュリティ専門家と連携しており、本件の徹底調査を進めるとのことです。盗まれた文書の内容が分からない以上、この情報漏洩がどのような結果となるのか予測は難しいのですが、同社のインシデント対応戦術は企業イメージへのダメージを和らげることでしょう。
ソースコード漏洩については、サイバー犯罪者たちが同社製品のプログラムを分析し、脆弱性を探し始めることになるかもしれません。もしも脆弱性が見つかった場合、ゲームをプレイする人々、特にオンラインマルチプレイヤーゲームをプレイする人々に危険が及ぶかもしれません。
したがって、開発環境に関しては特にセキュリティ面の考慮が重要です。一般の企業ネットワークから切り離し、強固なセキュリティソリューションで保護することが推奨されます。