ゲーム業界は常に進化し続けるテクノロジーの最前線にありますが、その革新的な性質が、時には予期せぬ脅威を招くこともあります。近年、ランサムウェア攻撃からデータ漏洩まで、多くのセキュリティインシデントがゲーム企業を標的にしています。これらの攻撃はなぜ起こるのか、どのような影響があるのか、どのような対策が必要か把握しておく必要があります。

本記事では、ゲーム業界で実際に起きたサイバー攻撃の具体的な事例を挙げつつ、効果的な対策方法を詳しく解説していきます。

サイバー攻撃とは

サイバー攻撃は、悪意のある行為であり、個人、企業、政府機関を標的として情報を窃取したり、システムを妨害したりします。この種の攻撃は、ハッキング、マルウェアの使用、フィッシング詐欺など、様々な形で行われます。特にゲーム業界では、多くのユーザーデータと財務情報が集まるため、魅力的なターゲットとなっています。

続いて、この攻撃がなぜ増加しているのかを見ていきましょう。

ランサムウェアをはじめとしたサイバー攻撃が増加傾向

近年、ランサムウェアを含むサイバー攻撃が顕著に増加しています。特に、2020年にCapcomが被害を受けた事件など、ゲーム業界でも大きな影響が出ています。これは、デジタル化が進む中でセキュリティ対策が追いついていないことが一因です。攻撃者は、ゲーム開発者のネットワークに侵入し、機密データを盗み出すか、システムを人質に金銭を要求する手法を取ります。

次に、ゲーム業界が直面している特有のリスクについて掘り下げます。

ゲーム業界特有のリスクとは

ゲーム業界は、大量のユーザーデータと経済的価値が高いコンテンツを持つため、サイバー攻撃の主要な標的となっています。オンラインプラットフォームの普及により、ユーザー情報、ゲーム内通貨、そして脆弱性を悪用する機会が増加しました。また、ゲーム開発における複雑なサプライチェーンも、攻撃の窓口となり得ます。

続いて、具体的な事例を見ていきます。

ゲーム業界で実際に起きたサイバー攻撃の事例

最近では、有名なゲーム企業がランサムウェアによって重要なデータを暗号化され、高額の身代金が要求される事件が発生しています。

ここではいくつかの事例をご紹介いたします。

発表月企業名概要
2020年11月頃株式会社カプコン
※同社公式HP引用
ー漏洩した可能性のある情報は35万件以上ー
同社は2020年11月4日、不正アクセスによるシステム障害が原因で、2日未明以降に社内ネットワークを一時停止させたと公表。

関係者によると、社内サーバーやパソコンの一部が「ランサムウェア(身代金ウイルス)」に感染してデータが暗号化され、その影響で業務が一時的に停止に追い込まれたという。

漏洩した可能性のある個人情報は顧客情報や株主情報など最大35万件に上る。さらに攻撃者は盗んだ情報をネット上に暴露すると脅し身代金を要求。
2023年12月頃Insomniac Games
(ソニー・インタラクティブエンタテイメント子会社)
※Gigazine引用
ー1.67TBものデータ盗難。同データを約3億円で販売するオークションもー
ソニーグループ子会社の同社がランサムウェア攻撃を受け、1.67TBに及ぶデータが流出したことが明らかになった。盗み出されたデータには未公開の開発情報などが多数含まれていた。
同社からの情報流出はランサムウェア攻撃をメインに活動しているサイバー攻撃集団「Rhysida」によるものとのこと。Rhysidaは2023年12月頃に同社からデータを盗み出し、2023年12月12日(火)には流出情報の取引サイトに「開発中のゲームに登場すると思われるキャラクター」や「従業員のものと思われるパスポートの写真」を掲載していた。
2024年4月株式会社セガ フェイブ Toysカンパニー
※同社公式HP引用
ー直近1年間の取引先情報・従業員の個人情報が流出ー
ゲームソフトやアミューズメント施設などを手掛ける同社にて、運用するメールシステムの一部のアカウントが外部からの不正アクセスを受けたことが判明。
当該不正アクセスにより、管理している個人情報が外部に流出した可能性が懸念されている。
公表によると、2024年4月4日に不正アクセスが検知されており、不正アクセスを受けたアカウントが保有する情報から直近1年間の取引先情報やグループ会社従業員の個人情報が影響を受けたとみられている。
該当するとされる影響対象として、セガ フェイブ Toysカンパニーの取引先情報(約1,900件)、従業員およびその家族、グループ会社の一部従業員に関する個人情報(約300件)、フェニックスリゾート社の顧客情報(約1,400件以上)がそれぞれ挙げられている。
なお、流出した情報にクレジットカード情報は含まれていないとのこと。
2024年5月株式会社スクウェア・エニックス
※同社公式HP引用
ー人気ゲームがサイバー攻撃被害。世界規模で障害が発生ー
同社が提供するオンラインマルチプレイヤーの『ファイナルファンタジーXIV』(以下、FF14)において、DDoS攻撃によるネットワーク障害が発生した。
当該攻撃により、日本をはじめ北米、欧州、オセアニアのデータセンターが影響を受け、一時ゲームプレイや通信障害が発生したとのこと。
発生した影響は以下の通り。

これにより、ゲーム内の情報更新や他のプレイヤーとの通信が滞ったり、ラグが生じるなどの事態が発生した。

FF14は過去にも複数回DDoS攻撃を受けており、今回の攻撃は特に大規模だったとのこと。

ゲーム業界がさらされるサイバー攻撃のリスク

ランサムウェア攻撃

ランサムウェアは、ファイルやシステムを暗号化し、解除のための身代金を要求します。ゲーム業界では、開発中のゲームデータやユーザー情報などもターゲットとなり得ます。

DDoS攻撃(分散型サービス妨害)

DDoS攻撃は、サーバーに過剰なトラフィックを送り込み、正常なサービス提供を妨害します。オンラインゲームにおいては、これによって大規模なサービス中断が引き起こされることがあります。

クレデンシャルスタッフィング

既存の漏洩した認証情報を利用して不正ログインを試みる攻撃です。多くのユーザーが同じパスワードを複数のサービスで使用しているため、一度のデータ漏洩が連鎖的なセキュリティ問題を引き起こすことがあります。

MITM攻撃(中間者攻撃)

攻撃者が通信を傍受し、データを盗み見る攻撃です。これにより、ユーザーの個人情報やクレジットカード情報が盗まれることがあります。

最後に、これらのリスクに対抗するためにゲーム業界が取り組むべきセキュリティ対策について考察します。

行うべきサイバーセキュリティ対策

従業員のセキュリティ意識向上のための教育

従業員を対象に定期的なセキュリティ研修を行い、フィッシング詐欺やマルウェアに関する知識を更新し続けることが重要です。

専門のセキュリティチームを設置する

セキュリティ専門のチームを常設し、システムの監視と迅速なインシデント対応を行うことが効果的です。

高度なセキュリティツールの導入

最新のセキュリティツールを導入し、脅威の検出と対応を自動化します。これにはエンドポイント保護ソリューションなどが含まれます。

脆弱性の把握と改善

定期的な脆弱性評価とペネトレーションテストを実施し、システムの弱点を特定し、修正措置を講じることが必要です。

以上の対策を講じることで、ゲーム業界はサイバー攻撃のリスクを大幅に軽減することができます。

アクトのサイバーセキュリティ対策支援

アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。

アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。

また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。