新作ゲーム流出から発覚した不正アクセス　ビジュアルアーツで個人情報漏えいの可能性

　発売前の新作ゲームデータが海外サイトに流出し、個人情報漏えいの可能性も判明しました。

　ゲームブランド「Key」などの運営で知られる株式会社ビジュアルアーツは6月4日、第三者による社内システムへの不正アクセスを受け、PC向け恋愛アドベンチャーゲーム「anemoi」のマスターデータが発売前に海外のWebサイトへ無断でアップロードされていたと発表しました。

　また、調査の結果、保有する個人情報が外部に漏えいした可能性があることも判明したとして、謝罪しています。

■　発売前のゲームデータ流出調査から不正アクセスが発覚

　ビジュアルアーツの発表によると、「anemoi」のマスターデータが海外サイト上にアップロードされているのを確認したのが、ゲームの発売日の5日前となる4月19日。これが事案発覚の契機となりました。

　同社が漏えい原因の調査を行った結果、第三者が社内ポータルシステムで利用しているクラウドストレージの認証情報を窃取していたことが判明。ストレージ内に保存されていた当該ゲームのマスターデータを含む社内情報が、外部に持ち出された可能性が高いことが突き止められました。

　同社はこの件を不正アクセスによる情報漏えい事案として重く受け止め、5月11日に個人情報保護委員会へ速報報告を提出しています。

■　個人顧客や取引先、マイナンバーを含む広範囲な情報漏えいの可能性

　その後の調査により、漏えいの可能性が確認されている個人情報が、多岐にわたっていたことも発覚。

　顧客の個人情報としては、氏名やハンドルネーム、メールアドレスのデータが約6017件、さらに氏名、住所、電話番号、メールアドレスが揃ったデータが約2626件含まれています。これらは公式通販サイト「VA STORE」の利用者や、同社主催のアンケート・抽選応募の参加者の一部が対象になっているとのことです。

　取引先に関する情報では、担当者の氏名やメールアドレスなど法人取引先が約1452件、個人取引先が約1859件となっていますが、これとは別に個人番号（マイナンバー）を含む取引先情報が約484件存在しているとのこと。

　さらに、氏名、住所、電話番号、メールアドレス、生年月日が記載された採用応募者情報が約1007件、そして同社の従業員や退職者に関する情報が約114件漏えいした可能性があり、こちらには生年月日に加え、個人番号（マイナンバー）や一部の本人確認書類の画像データまで含まれていることが確認されました。なお、これらの件数や対象者数については現在も調査が継続されています。

■　二次被害の状況と今後の対策　通販サイトの新規注文を停止

　現時点における被害状況としては、最初に発覚した「anemoi」のマスターデータ以外の情報が外部サイト等で公開・拡散されている事実や、今回の漏えい可能性に起因する二次被害は確認されておらず、同社は引き続き監視を継続していくとしています。

　対象となる可能性のある顧客や関係者に対しては、順次個別での連絡が進められており、連絡先が不明な場合は、公式の発表文をもって案内に代えるとのことでした。

　今回の事態を受け、ビジュアルアーツはすでにアクセス権限や認証方式の抜本的な見直し・強化に着手したほか、外部専門機関による24時間監視体制の確保、全従業員へのセキュリティ教育の強化といった再発防止策を順次実施していく方針を示しました。

　また、公式通販サイト「VA STORE」については、十分な安全性が確認されるまでの間、新規注文受付を一時停止することを決定。再開時期はセキュリティ体制の整備と従業員教育が完了したのちに改めて案内されます。

　同社は本件に関する専用の特別対応窓口を設置し、フリーダイヤル（0120-82-7085）および専用メールアドレスにて一括して問い合わせを受け付けています。

Xの投稿を表示

＜参考・引用＞
Key開発室（@key_official）

（山口弘剛）