不眠症のハックは、漏洩したゲーム以上の広範な影響をもたらします
ゲームアセットを超えて スコープの拡大
12月12日、悪名高いランサムウェアグループのRhysidaが、インソムニアックゲームの大量のデータを人質に取っていることを発表しました。インソムニアックゲームが情報の公開を防ぐためには、支払いをしなければなりませんでした。Rhysidaはデータに対して50ビットコイン(約200万ドル相当)を要求し、そのデータを欲しいと思う人からの入札をダークウェブのサイトで行いました。課された7日の期限が買い手なしで過ぎた後、Rhysidaはほとんどのハックされたデータをオンラインに公開しました。サイバーセキュリティのウェブサイトCyberDailyによれば、これは1.67テラバイト以上の巨大なデータで、130万以上のファイルが含まれています。
データは3つの別々の部分にアップロードされ、それぞれがMicrosoftのファイルエクスプローラーに似たインターフェースでデータカタログに整理されています。これらのファイルには、インソムニアックの新作ウルヴァリンゲームの開発中の素材が含まれており、デザインドキュメント、キャスティング情報、およびレベルデザインのトピックなどがあります。🚧🎮
壊滅的なリークと前例のない被害
マーベルのウルヴァリンゲームの進行中のゲームプレイは急速に広まり、スタジオのマーベルとのパートナーシップについての情報も同様に拡散されました。これは昨年の『グランド・セフト・オート6』の侵害と同等の規模で、ゲーム情報の壊滅的で前例のないリークです。サイバーセキュリティ企業Arctic Wolfの最高情報セキュリティオフィサーであり、かつてAvalanche Softwareのゲーム開発者でもあったアダム・マレは、「これはゲーム業界で最も重大な侵害の1つのようだ」とコメントしました。ロチェスター工科大学のサイバーセキュリティ学科の主任講師であるジョナサン・ワイスマンも、「このサイバー攻撃とその後のリークはまったく前例のないものだ」と述べています。
関連情報:
しかし、インソムニアックのリークにはゲームアセットだけでなく、非公開契約、内部の開発者Slackのコミュニケーション、内部の人事文書、従業員のパスポートのスキャンなども含まれています。この侵害により、既に開発者に対して敵対的な業界で、特にマージナライズドグループの人々にとっては、数百人の従業員が危険にさらされることとなります。(ハラスメントやプレイヤーから開発者に対する脅迫は、ゲーム業界で深刻な問題です。2023年のゲーム開発者カンファレンスの調査では、開発者の75%以上がそう述べ、回答者の40%が直接経験していると回答しています。)
データ侵害:プライバシーとセキュリティの侵害
Rhysidaによる従業員情報やコミュニケーションを含むリークは、ビデオゲーム業界では異例です。これは、他の業界で従業員データが関与する大規模なハッキングと比較することができます。リークの広範な性質は、プライバシーとセキュリティの深刻な侵害であると言えます。🎮🔓
ゲーム開発者のラミ・イスメイルは「ゲーム開発者が個人情報が公開されることを心配する必要があることは恐ろしいことです。私自身はファイルを見ずに意図的に見ていないのですが、これらのファイルには名前、住所、またはその他の機密情報が含まれている可能性があると思われます。その場合、開発者(すでにドキュメントされたり憎まれたりするリスクに晒されているグループ)は、自分自身と家族の安全を守る方法を見つける必要があります」と述べています。
Rhysidaは、インソムニアックをハッキングして情報をオンラインで公開したグループですが、新興の組織であるにもかかわらず、政府機関には既知の存在です。米国保健福祉省の情報セキュリティ事務所は、Rhysidaがリモートアクセスを得るためにフィッシング攻撃を使用するなど、他のタイプの攻撃を行っていると述べています。米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局も、Rhysidaランサムウェアについて警告を発し、今年11月には医療業界や政府機関を標的にしたと報告されています。
サイバーセキュリティ対策の強化
インソムニアックの侵害は、ソニーとインソムニアックがサイバーセキュリティ対策を強化する必要性を浮き彫りにしました。これにはネットワークのセキュリティ強化、堅牢な認証プロセスの導入、定期的なセキュリティ監査とペネトレーションテスト、従業員のサイバーセキュリティ意識向上のためのトレーニングの提供などが含まれる可能性があります。さらに、従業員向けのクレジットモニタリングサービスや身元盗難保護プログラムの提供により、リスクを軽減することもできます。
従業員のトレーニングは非常に重要です。なぜなら、サイバーセキュリティの実装において最も弱いリンクは常に人間だからです。悪意のあるリンクをクリックするだけ、または添付ファイルをダウンロードして開くだけでセキュリティ対策が無効になることがあります。したがって、従業員のためのサイバーセキュリティ教育とトレーニングは重要です。💪🔐
ゲーム開発者へのハッキングの増加傾向
Insomniac GamesへのRhysidaの攻撃は単発の事件ではありません。ビデオゲーム会社へのハッキングは増加傾向にあり、それはそれらが貴重な情報を含んでいるためかもしれません。プレイヤーたちは、リークされたアセットを含む、高い期待を持って待ち望まれるゲームに関する情報を熱心に求めますが、個人データは闇のウェブ上で貴重な価値を持ち続けています。Rocksteady StudiosとWarner Bros.は最近、Suicide Squad: Kill the Justice Leagueのクローズドアルファテストからのリークによる情報漏洩を経験しました。12月には、GTA 6のトレーラーがリーク後に早期に公開されました。また、それ以前にも進行中の映像が漏洩しています。ハッカーたちはまた、ゲームの脆弱性を悪用して、リリース前のThe Last of Us Part 2の情報にアクセスしたと報じられています。2023年には、マイクロソフトとベセスダが倉庫から未発売のゲームStarfieldのコピーが盗まれた事件の後に侵害を受けました。
Insomniacの最近の侵害とより似たケースでは、CD Projekt Redは2021年6月に現在の従業員や契約者の情報が盗まれたと報告しました。それ以前の2020年には、Capcomがランサムウェア攻撃を受け、ゲーム情報や顧客、株主、従業員など数十万人の個人情報が漏洩しました。
Sony Interactive Entertainmentはまだ将来の従業員保護策についての問い合わせに対して回答していません。 🕵️♀️🎮
著者について
Jonathan Weissmanはロチェスター工科大学のサイバーセキュリティ学科の主任講師です。彼はサイバー脅威と組織を保護するための防御策に関する幅広い知識と経験を持っています。
参考文献リスト:
- Former Mass Effect Developer Says Legendary Edition Formed Studio
- GTA 6 Trailer Hints at Red Dead Online Easter Egg
- Studio Ghibli Weekly Deal
- Fan Creates GTA 5 Timeline to Anticipate Release of Grand Theft Auto 6 Updates
- The Music from ‘No Rest for the Wicked’ Sets a High Standard for the Game
- Xbox Game Pass: Top Crossplay Titles Dec 2023
- Epic Games Victorious in Antitrust Case Against Google
- Danganronpa Icon Says “Makes Games Likes I Care Sell Well; Not”
Q&A
Q: RhysidaハッキンググループのInsomniac Gamesへの攻撃の動機は何でしたか? A: 攻撃の動機はお金でした。Rhysidaは盗んだデータを50ビットコイン(およそ200万ドル)で売り、Insomniac Gamesを人質にとりました。期限が買い手なしで過ぎたため、ほとんどのハッキングされたデータがオンラインで公開されました。
Q: Insomniac Gamesの侵害で漏洩した情報はどのようなものでしたか? A: Insomniac Gamesから漏洩したデータには、開発中のWolverineゲームのデザイン文書、キャスティング情報、レベルデザインに関する情報などが含まれていました。さらに、侵害によって主要企業やスタジオとの非公開契約、Slack上の内部開発者コミュニケーション、内部の人事文書、従業員のパスポートのスキャンなども露呈されました。
Q: インソムニアックゲームズの侵害は、ゲーム業界で他の重要な侵害と比べてどうですか? A: インソムニアックゲームズの侵害は、ゲーム業界で最も重要な侵害の1つと考えられています。昨年のグランドセフトオート6の侵害と同様の範囲で、それは壊滅的な結果とゲーミングコミュニティにとって前例のない影響をもたらしました。
Q: 個人情報が漏洩したことによる従業員への潜在的なリスクは何ですか? A: 従業員の個人情報が漏洩すると、ドッキング、嫌がらせ、脅迫のリスクにさらされます。これは既にゲーム業界で深刻な問題です。特にマージナライズドグループの開発者は、追加の課題に直面し、自らと家族を保護する方法を見つけなければなりません。
Q: ソニーやインソムニアックのような企業は、どのような対策を取ることができますか? A: 企業はネットワークセキュリティを強化し、堅牢な認証プロセスを導入し、定期的なセキュリティ監査と侵入テストを実施し、従業員に包括的なサイバーセキュリティトレーニングを提供する必要があります。従業員のリスクを軽減するために、クレジットモニタリングサービスや身元盗難保護プログラムを提供することもあります。
Q: ゲーム業界におけるハッキングや情報漏洩に関してトレンドはありますか? A: はい、ビデオゲーム企業を標的としたハッキングや情報漏洩は増加しています。漏洩情報の価値と、高い期待を寄せるゲームの詳細を得ようとするプレイヤーの熱心さが、この傾向に拍車をかけています。これらの脅威に立ち向かうために、企業はサイバーセキュリティ戦略を強化することが重要です。
ご意見をお寄せください!
ゲーム業界でデータ侵害の頻度が増加していることについての懸念はありますか?企業が従業員と貴重な情報をよりよく保護するためには、どのような対策が必要と思われますか?以下のコメント欄で意見を共有してください。👇
ゲーム業界のサイバーセキュリティについての意識を高めるため、この記事をソーシャルメディアで友達と共有するのを忘れずに! 🎮🔒
