CD Projektのハッキングが続いている：スタジオは、流出したデータがオンラインで流通している可能性があると発表した。

ウィッチャー3」や「サイバーパンク2077」を手掛けたポーランドのスタジオ、CDプロジェクトは、今年のスタートを良い形で飾ることはできませんでした。2月上旬には、ランサムウェアの被害に遭い、一部のゲームのソースコードなど一部の情報にアクセスされたことを確認しました。その後、この情報がネットオークションに出品され、「満足な落札者」がいなかったために終了したことが明らかになった。

これで一件落着と思いきや、そうでもないようだ。CD Projekt Redは、新たな情報を入手し、現在「攻撃時に不正に入手された内部データがインターネット上で流通していると信じるに足る根拠がある」とする声明を同社ウェブサイトで発表しました。

ゲームデータだけでなく、ゲームもあるようです

同社によると、正確な内容は不明だが、「現在または過去の従業員や契約社員の詳細、および当社のゲームに関するデータが含まれる可能性がある」と考えているという。また、攻撃後にデータが改ざんされていないことを確認することもできない。しかも、現段階では、誰がファイル流出の代償を払ったのかは分かっていない。

一方、ポーランドのスタジオは、ポーランド警察本部などと連携しているという。CDPRは、インターポールおよびユーロポールにも連絡し、今後このような攻撃を防ぐために、ファイアウォールの新設やセキュリティ機器の拡充など、複数のセキュリティ対策を講じたとしています。最後に、彼らはこう結論付けている。

[中略）流布しているデータの真偽にかかわらず、私たちは社員と関係者のプライバシーを守るために全力を尽くします。私たちは、問題のデータを共有する当事者に対して、行動を起こすことを約束し、準備しています」。

CDPRへの攻撃は、昨年2月に発生しました。ランサムウェアを使用して、攻撃者は特定のデバイスを暗号化しましたが、バックアップはそのまま残りました。しかし、この攻撃により、「サイバーパンク2077」の1.2パッチが当初2月に予定されていたものを3月まで延期せざるを得なくなり、プレイヤーレベルでも影響が出た。

当面は、流出の程度とデータの保有者の対応を見守るしかないでしょう。CD Projetkは攻撃直後に、暗号化されたファイルには雇用契約書、身分証明書のコピー、従業員アンケート、給与情報、さらには個人的な健康管理アプリケーションに含まれるデータも含まれていると説明した。

当時CDPRは、「調査の結果、実際に個人情報が社外に転送された証拠は見つからなかった」としながらも、「攻撃者の行動経過から、実際に個人情報がコピーされたかどうかは、確実なことは言えないかもしれない」と述べている。

続きを読む: CD Projekt