『サイバーパンク2077』や『ウィッチャー3』のポーランドの開発会社CD Projekt Redは、複数の社内システムが暗号化され機密データが盗まれた重大なセキュリティインシデントが発生したことを明らかにした。
同スタジオは、ハッカーらが残した身代金要求書を公開するという異例の措置を取った。この文書では、合意に至らなければ、発売済みおよび近日発売予定のタイトルのソースコードや、さまざまな内部文書を公開すると脅迫している。
重要なアップデート pic.twitter.com/PCEuhAJosR
— CD PROJEKT RED (@CDPROJEKTRED) 2021年2月9日
「もし合意に至らなければ、あなたたちのソースコードはオンラインで販売または漏洩され、あなたたちの文書はゲームジャーナリズムの我々の連絡先に送られるだろう」と攻撃者は書き、CDプロジェクトレッド(CDPR)には彼らの要求に応じるのに48時間の期限があると付け加えた。
我々は、最終的には侵害されたデータの公開につながる可能性があることを認識し、要求に屈したり、行為者と交渉したりするつもりはありません。
「あなたの会社のイメージはさらに悪化し、会社の運営がいかにひどいかを人々に知られることになります。投資家はあなたの会社への信頼を失い、株価はさらに下落するでしょう!」
CDPRは事件の全容を認めていないが、攻撃者は同社のPerforceサーバーにアクセスし、サイバーパンク2077、グウェント、ウィッチャー3の3つの大作タイトルとウィッチャー3の次世代アップデートのソースを盗み出したと主張している。
同様に懸念されるのは、攻撃者が親会社CD Projektの様々な管理部門および事業開発部門から文書を盗み出すことに成功したと述べていることだ。「会計、総務、法務、人事、投資家向け広報などに関する文書もすべて流出させました」と彼らは述べている。
CDPRの計画
CDプロジェクトレッドはツイッターに投稿した声明で、内部データの公開につながる恐れがあるにもかかわらず、要求に応じることも交渉に応じることもしないと反抗的な態度を示した。
「最終的には侵害されたデータの公開につながる可能性があることを認識し、要求に屈したり、犯人と交渉したりするつもりはありません。私たちは、侵害によって影響を受ける可能性のある関係者に働きかけるなど、そのような公開の影響を軽減するために必要な措置を講じています」と声明は述べている。
CDPRは、インシデント対応モードに入り、暗号化されたシステムをバックアップから復元し、ITインフラのセキュリティを強化したと付け加えた。
同スタジオはまた、(「当社が知る限り」という但し書き付きではあるが)顧客の個人情報は漏洩に含まれていなかったと考えているとも述べた。
CD ProjektはRed Wingを通じて制作されたAAAタイトルで最もよく知られていますが、オンラインゲームマーケットプレイス「GOG」を運営するなど、サービス事業にも参入しています。このプラットフォームは、DRMフリーのレトロゲームやインディーゲームに重点を置いているものの、Steam、EA Origin、Epic Games Storeと直接競合しています。
KnowBe4のセキュリティアドボケートであるジャバド・マリク氏はThe Registerに対し、攻撃者は衝撃を与える目的で攻撃を仕掛け、企業のサーバーを暗号化したのは脆弱性を示すことが主な目的だったと語った。
「身代金要求が興味深いのは、犯罪者は組織がバックアップから復旧できる可能性が高いことを知っているからです。今回のケースでは、ランサムウェア自体が問題なのではなく、むしろ組織に侵入したことを示すためのメッセージなのです」と彼は述べた。
F-Secureの戦術防衛部門のシニアマネージャー、カルビン・ガン氏はCDPRの透明性を大いに称賛し、それが攻撃者に対する同社の立場を強化するのに役立ったと付け加えた。
CDPRは透明性の確保において優れた仕事をしたと私は考えています。侵害の発見後、ほぼすぐに声明を発表しました。透明性は、攻撃者が交渉プロセスで優位に立つことを阻止する上で重要です。なぜなら、人々はすでに侵害について知っており、さらなる最新情報を期待しているからです。
「[CDPR]は、既にバックアップからの復旧作業を進めていると示唆しています。これは、彼らが定期的にバックアップをテストしていることを示す良い兆候であり、組織も同様の対策を講じるべきです(バックアップを保有するだけでなく、実際にテストすること)。」
ESETのセキュリティ専門家、ジェイク・ムーア氏も同様の見解を示し、次のように述べています。「CDプロジェクトが長らく予期していた事態と言えるでしょう。確かに苛立たしい状況ではありますが、同社は攻撃者への支払いを拒否することで、このような要求や混乱に耐えられるよう、適切な手順を整備しているようです。優良企業であれば、リスクを軽減するために重要な冗長性を確保しているはずです。こうした冗長性を完全に再現するには、定期的なバックアップのテストとレッドチーム演習を実施する必要があります。」
攻撃者がどのようにして CDPR のインフラに侵入したかはすぐには明らかになっていないが、Sumo Logic の EMEA 副社長である Iain Chidgey 氏はThe Registerに対し、セキュリティが不十分な開発ツールが侵入経路になったのではないかと疑っていると語った。
CD Projekt Redが共有したメモによると、ハッカーの侵入は同社のソフトウェア開発プロセスへの攻撃によるものと思われます。適切に保護されていないツールを見つけ、ネットワーク内でラテラルムーブメント(横方向の移動)を利用してランサムウェアを仕掛けるという手法は、身代金の支払いにつながるため、ハッカーにとってより一般的な手口となっています。しかし、メモの内容は真実を語っていない可能性があり、問題は別のところにあるかもしれません。
2020年後半のSolarWindsへの攻撃を受けて、ソフトウェアサプライチェーン全体のセキュリティ確保は、あらゆる企業にとってますます重要になっています。コードを製品とする企業にとって、これを適切に行うことはさらに重要です。強力な監視プロセスを導入することで、このような状況において異常な箇所を特定しやすくなります。
サイバーパンク2077:素晴らしいゲームが詰まっていて、外に出て欲しいと叫んでいるが、残念ながら57年も早くリリースされすぎた
続きを読む
ゲーム開発者やパブリッシャーにとって、事業の保護には、ゲーム資産と知的財産の保護に加え、クラウドインスタンスとゲームインスタンスを実行するサービスの保護も不可欠です。大規模ゲームの場合、クラウド上のプレイヤーから送信されるデータ量の増加により、これは機械が判読できる問題となり、もはや人間が判読できる問題ではなくなります。ソフトウェアのサプライチェーンと、オンラインゲームインスタンスによって生成されるすべてのデータ負荷を経時的に監視できれば、より安全な運用が可能になります。
タイミングが悪い
この事件は、サイバーパンク2077の悲惨なリリースの影響に苦しんでいるCDPRにとって最悪のタイミングで起こった。
8年間の開発期間にもかかわらず、このゲームはほぼ未完成の状態で発売され、現世代機では安定性とパフォーマンスの問題が蔓延していました。また、重要な機能が著しく欠落していたため、悪名高い「Fyre Festival」と比較する声も上がっていました。
これらの根深い問題により、発売から数週間で返金要求が殺到し、ソニーは前例のない措置としてPlayStationストアからゲームを撤去しました。その結果、CD Projekt Redは投資家からの2件の集団訴訟と、ポーランドの競争・消費者予測局による調査に直面しています。
The RegisterはCD Projekt Redにコメントを求めた。®
