CISO-PRACTSIE

机上演習 CISO-PRACTSIE

演習マテリアルはこちらを参照してください：ワークショップ進行用資料

設問1: ランサムウエアによる主要システムの停止

(株)JNSAアーキテクトは、PCオンラインゲームの開発・提供を行っている会社です。 01. 会社概要: ・会社名: 株式会社JNSAアーキテクト・年商: 34億円・従業員数: 170名・主要事業: PCオンラインゲーム開発・運営・主要システム: GanGanシステム: ビジュアルを強化したロールプレイングゲームユーザー数200万人、有償10万人、前年売上20億円、AWS国内リージョン・企業文化: これまでインシデント対応の経験がない。セキュリティ事案を楽観的にとらえる傾向がある。起業時からのメンバーと銀行出身のメンバーで、文化や方針の違いがある。 02. インシデント: ・主要な収益源であるGanGanシステムがランサムウエアにより停止した。・前年度実績から、GanGanシステムの停止は、550万円/日の機会損失を意味する。・状況: ・主要ゲームサービスである GanGanシステムが停止し、ランサムウエアと思われる脅迫文が表示されていることがわかった。・脅迫文の概要: ・システムは、ハッカーグループ「Condor」の制御下に置かれている・システムのストレージ上のデータは、「Condor」により暗号化が行われた・暗号を解除するためには、３日以内に1BTC(約1000万円)*ビットコインで　支払う必要がある・経緯: ・昨日、WHF中の社員がランサムウエアに感染した。・ VPN接続などを使ったイントラネットへの接続を行っておらず、主要なファイルはオンラインストレージに格納していることから、身代金の支払いなどは行わず当該PCの初期化で対応することにした。 03. 各担当からの報告・ GanGanチームからの報告: ・ゲーム内ポイントが15億円程度ある・運用チームからの報告: ・ GanGanシステムが侵害されデータは暗号化された、業務継続はできない・一週間前のバックアップが利用できるがリストアを実施したことはない・データ量から推測しリストアには５日程度必要と考えられる・プログラムは１か月前のスナップショット（バックアップ）がある・開発チームからの報告: ・ソースコードは無事だが、キャラクタや画像などのデータセットがない・システムを作り直すと3~4カ月必要で、新規ゲームのリリースが6カ月遅延する・サポート窓口からの報告: ・苦情がたくさん上がり電話回線がパンクしている・メールでの対応も追いつかない、何とかしてほしい。・個人情報やクレジットカードが大規模に漏洩したとの問い合わせが多数・広報からの報告: ・問い合わせが殺到している。利用者・メディア向けに公表が必要・ CSIRTからの情報: ・この犯行グループの攻撃は、身代金を払えば復旧できるとの評判がある

ミッション: ・ランサムウエア被害に対し、CISOの立場から、各設問に回答してください。・回答に当たっては、影響度/深刻度:「事業視点でのリスク評価項目」に基づいて、　顧客、業務、財務の視点を考慮して回答してください。・なお、ステータスレポートに正解はありません。

CISOとしての回答・レポートを入力してください:

# インシデント詳細報告書：ランサムウェアによるGanGanシステム全面停止

## 0. 概要
* (#TEXT, 70, 7)概要: |
7月23日、在宅勤務中の社員AのPCがランサムウェアに感染。同社員がGanGanシステムの運用者であり管理者権限のSSH認証鍵をPC上に保持していたため、VPN接続の有無にかかわらずクラウドサーバーへの侵入を許した。
攻撃者（ハッカーグループ「Condor」）がGanGanシステム全体を制御下に置き、サーバーストレージを暗号化。3日以内に1BTC（約1,000万円）の身代金支払いを要求している。
年商20億円・ユーザー200万人の主要事業が全面停止。個人情報漏洩の可能性が高く、法的報告義務（個人情報保護法）が生じている。法務・外部専門家と協議のうえ身代金は支払わない方針とし、バックアップからの復旧を進める。

## 0.1 経営者への依頼事項
* (#TEXT, 70, 7)依頼事項: |
①【即時決裁】身代金「支払わない」方針の最終承認
②【即時承認】緊急対策本部（田中社長を本部長）の設置と対外窓口の一本化
③【即時承認】個人情報保護委員会への速報届出（72時間以内義務）の実施
④【即時承認】警察（サイバー犯罪捜査）への届出と外部フォレンジック専門機関・外部弁護士への緊急発注
⑤【本日中承認】ユーザー・メディア向け第一報の発信（公式サイト・SNS）
⑥【予算承認】復旧対応・外部委託・補償対応費用の緊急予算（概算2〜3億円規模）の確保
⑦【方針確認】復旧シナリオ（バックアップ復旧 vs. スクラッチ再構築）の経営判断

* (#RADIO,支払う,支払わない)身代金の支払い: 支払わない
* (#TEXT, 70, 5)判断の理由: |
①法務から推奨不可の意見あり。身代金支払いは反社会的勢力への利益供与に相当し、法的リスクが高い。
②支払っても100%復旧できる保証はない。
③支払い事実が公表された場合、社会的信用の大幅な毀損・株主・取引先からの批判が想定される。
④支払い済み企業と認識されることで、繰り返し攻撃のターゲットとなるリスクがある。
⑤1週間前のバックアップが存在し、一定レベルの復旧が可能と判断できる。

## 1. GanGanシステム概要
* (#TEXT,70,1)担当責任者: 佐々木（GanGan事業部 本部長・執行役員）
* (#TEXT, 70, 6)事業内容: |
サービス内容：ビジュアルRPG型オンラインゲーム（SNS連携・プライベートチャット機能付き）
年間売上：約20億円（有償アイテム約10億円、広告約8億円、有償会員約2億円）
機会損失（直接的）：約550万円/日
登録ユーザー：約200万人（うち有償会員：約10万人・月額200円）
ゲーム内ポイント残高：約15億円相当
インフラ：AWS国内リージョン（国内向けサービス）

## 2. 事件の概要
* 検知日時: 7/23 12:17
* (#TEXT,70,8)事象: |
【感染経路】在宅勤務中の社員AのPCがランサムウェアに感染（7/23 12:17報告）。VPN接続はなかったが、当該PCにGanGanシステム管理者のSSH認証鍵が保存されており、これを悪用してクラウドサーバーに直接侵入。VPN非接続＝安全という認識は誤りであり、認証情報の端末保管が根本的な問題。
【被害範囲】GanGanシステム全体が「Condor」の制御下に置かれ、サーバーストレージが暗号化され全面停止（7/23 16:40確認）。他システムはGanGanとは独立したアカウントで構成されており、現時点での被害波及は確認されていないが、引き続き監視中。
【攻撃者の要求】3日以内に1BTC（約1,000万円）をビットコインで支払うよう要求。

* (#TEXT, 70, 5)現在の事業状況: |
GanGanサービスは全面停止中（7/23 16:40〜）。
復旧オプション①：1週間前のバックアップからリストア（所要5日程度、ただしリストア未経験）。復旧後1週間分のゲームデータは消失する可能性あり。
復旧オプション②：スクラッチ再構築（1ヶ月+動作検証1ヶ月+セキュリティ検証2週間、計約2.5ヶ月）。ゲームのデータセット（キャラクター・画像・設定等）のバックアップがないため、コンテンツ復元が困難になるリスクがある。
現実的な推奨方針：まずバックアップからのリストアを試み、失敗した場合にスクラッチ再構築へ切り替える。

## 3. 情報資産への影響評価
* (#RISK)クレジットカード情報など: S,u
* (#TEXT,70,3)備考: 決済代行事業者が管理しており、当社サーバーにはカード番号・セキュリティコードは原則保持していない。直接漏洩リスクは低いと判断するが、決済ステータスレポート等のデータが漏洩している可能性を排除できない。決済代行業者と連携し確認中。ユーザーへは不審な請求がないか確認を促す。個情委には漏洩の可能性として報告する。
* (#RISK)顧客秘密情報: S,h
* (#TEXT,70,3)備考: 約200万人分のアカウント情報（メールアドレス、ハッシュ化パスワード）およびプライベートチャットログの漏洩リスクが高い。個人情報保護法に基づく個人情報保護委員会への速報（72時間以内）が必要。漏洩が確認された場合は本人への個別通知と公表が義務となる。フォレンジック調査で漏洩範囲を早急に特定する。
* (#RISK)自社の機密情報: S,h
* (#TEXT,70,3)備考: |
ソースコードはGit等で別途バックアップがあり復旧可能。ただしシステム全体へのアクセス権を取得されており、ソースコードの外部流出・技術情報の競合利用リスクがある。加えて、ソースコードなど改ざんや、マルウエアの混入なども想定される。
ゲームのデータセット（キャラクター・画像・ゲーム設定等）はバックアップがなく、暗号化されたままでは復元困難。フォレンジック調査で流出範囲を確認する。

* (#RISK)認証情報: C,h
* (#TEXT,70,3)その他: GanGanシステム管理者権限のSSH認証鍵が侵害された。当該アカウントの無効化および全SSH認証鍵の再発行を即時実施済み。管理者権限を持つ全アカウントのパスワードリセットを完了。他システムへの同一認証情報の使いまわしがないかを確認中。

## 4. 想定される二次被害
* (#TEXT,70,6)想定二次被害: |
①【フィッシング・なりすまし】漏洩したメールアドレスを悪用したフィッシングメール・なりすまし詐欺。ユーザーへの注意喚起が急務。
②【パスワードリスト攻撃】同一のメールアドレス・パスワードを他サービスで使用しているユーザーへの不正ログイン試行。他サービスのパスワード変更を促す必要がある。
③【プライベートチャットの悪用】チャット内容が流出した場合、ユーザーのプライバシー侵害・脅迫・社会的ダメージが発生するリスクがある（二重脅迫）。
④【ゲーム内ポイントの不正利用】アカウント情報が流出した場合、ゲーム内ポイント（約15億円相当）への不正アクセスの試みが想定される。
⑤【風評被害・ユーザー離脱】SNSでの拡散により、サービス再開後もユーザー離脱が加速するリスクがある。

## 5. 対応体制（RACIチャート）
* (#RACI)経営者: RA
* (#RACI)事業担当執行役員: RA
* (#RACI)CISO: RA
* (#RACI)CSIRT: R
* (#RACI)情シス: R
* (#RACI)広報: RA
* (#RACI)法務・知財: RC
* (#RACI)人事: CI
* (#RACI)社員全般: I
* (#TEXT,70,3)その他: |
緊急対策本部長：田中CEO（対外説明・最終意思決定）
対外窓口一本化：広報（城戸CISOがバックアップ）
外部調整担当：法務（外部弁護士・フォレンジック機関・官公庁連絡）
サポートセンター増員：人事と連携し即時対応

## 6. 外部への対応
* (#TEXT,70,1)外部専門家への依頼方針: 即時発注。対応の質を担保するために外部専門家への依頼は遅延させない。
* (#REPORT)社外弁護士: A
* (#REPORT)フォレンジック専門機関: A
* (#REPORT)セキュリティ（インシデント対応会社）: A
* (#REPORT)保険会社: A
* (#REPORT)決済代行事業者: A
* (#REPORT)公認会計士: B
* (#TEXT,70,2)その他: |
AWSサポート（インフラ調査・証跡保全の連携）：即時
サポートセンター外部委託会社（回線増強・対応強化）：即時

## 7. 外部機関への連絡・報告計画
【A:即時 / B:事実把握後 / C:確定後 / D:不要 / E:保留】
### 必須連絡先
* (#REPORT)個人情報保護委員会: A
* (#REPORT)監督官庁（総務省/経産省）: B
* (#REPORT)警察（サイバー犯罪捜査）: A
* (#REPORT)金融庁: B
* (#REPORT)GDPR / CCPA: E
* (#REPORT)労務局: D
* (#REPORT)安保貿易センター: D
* (#TEXT,70,2)その他: |
個人情報保護委員会:個人情報保護法第26条・72時間以内の速報
警察への届出:義務ではないが、捜査協力・証拠保全のため即時推奨
GDPR/CCPA:サービスは国内向けであるが、海外ユーザーが含まれる場合は要確認
金融庁:クレジットカード漏洩の可能性がある場合、決済代行業者経由で対応確認

### 取引先・利用者
* (#REPORT)決済代行事業者: A
* (#REPORT)広告出稿主: A
* (#REPORT)メインバンク: B
* (#REPORT)利用者（被害者）: A
* (#TEXT,70,2)その他: |
広告出稿主: サービス停止による広告配信停止の連絡
利用者（被害者）: 公式サイト・SNSでの第一報。個別通知は漏洩確定後

### メディア・広報
* (#REPORT)自社HP / 自社SNS: A
* (#REPORT)メディア一般: B
* (#TEXT,70,2)その他: |
自社HP / 自社SNS:本日中に第一報を掲載
メディア一般: 事実が固まり次第、記者会見を設定

## 8. 財務的損害と費用予測
* (#TEXT,70,4)直接的損害: |
身代金（支払わない場合：0円、支払う場合：約1,000万円）：支払わない方針のため0円
機会損失：約550万円/日 × 復旧日数（最短5日で約2,750万円、1ヶ月で約1.7億円）
バックアップ時点以降1週間のゲームデータ損失：ユーザー補償額は別途見積もり必要

* (#TEXT,70,6)費用損害（予測）: |
フォレンジック調査：500〜1,000万円程度
外部弁護士費用：200〜500万円程度
システム復旧人件費（自社）：5名×5日＋検証工数
スクラッチ再構築の場合：20人月×100万円＝約2,000万円＋検証費用
サポートセンター強化：100〜300万円程度
個人情報漏洩対応（通知・コールセンター設置）：200〜500万円程度
ゲーム内ポイント補償：最大15億円（復元できない場合）
有償会員費の返金（停止期間分）：10万人×200円×停止月数
損害賠償・見舞金：件数・範囲によるが数千万〜数億円の可能性あり
新規ゲームリリース遅延による機会損失（2〜3ヶ月）：要別途算出

## 9. コンプライアンス・社会的影響
* (#TEXT,70,4)法的懸念: |
①個人情報保護法第26条：速報（72時間以内）および本報告（30日以内）が法的義務。違反した場合、行政指導・公表・罰則の可能性。
②クレジットカード情報：決済代行業者経由でも漏洩が確認された場合、PCI DSS対応と金融庁への報告が必要になる可能性。
③ゲーム内ポイント：資金決済法上の前払式支払手段に該当する場合、15億円の補償義務が生じる可能性。法務部が確認中。
④身代金支払い：外国為替及び外国貿易法・経済制裁対象団体への支払いとなる可能性があり、支払わないことで法的リスクを回避。

* (#TEXT,70,3)社会的議論: サービス停止に対するユーザーの怒り・不満は深刻。「身代金を払った」「個人情報が大量漏洩」などのSNS拡散は既に始まっており、風評被害コントロールが急務。プライベートチャットの存在により、プライバシー侵害への懸念が特に高い。ゲーム内通貨の取り扱いについては利用規約の内容を確認のうえ、誠実な姿勢で補償方針を示す必要がある。
* (#TEXT,70,2)無形損害: ブランド毀損は甚大。競合他社へのユーザー流出・広告出稿主の撤退リスクあり。未上場のため直接的な株価影響はないが、資金調達・取引条件への悪影響が懸念される。今後の採用活動への影響も考慮が必要。

## 10. 利用者向け対策（ワークアラウンド）
* (#TEXT,70,2)被害確認方法: GanGanゲームの全登録ユーザー（約200万人）が対象。まずは公式サイト・SNSで広く注意喚起を行う。個人情報漏洩が確定した場合は、対象ユーザーへメールで個別通知する。
* (#TEXT,70,4)推奨アクション: |
①GanGanと同じメールアドレス・パスワードを使用している他サービスのパスワードを直ちに変更してください
②クレジットカードの利用明細を確認し、身に覚えのない請求があればカード会社へ連絡してください
③多要素認証（MFA）・パスキーの設定を強く推奨します
④不審なメール・SMSには応答しないでください（フィッシング注意）
⑤公式情報は当社公式サイト（jnsa-architects.co.jp）および公式SNSのみを参照してください

## 11. 追記事項
* (#TEXT,70,4)その他: |
【復旧方針の最終確認事項】バックアップからのリストアが失敗した場合、スクラッチ再構築に移行するが、ゲームのデータセット（キャラクター・画像・設定等）は別途バックアップがないため、コンテンツの一部が永久に失われる可能性がある。ユーザーへの影響・補償について経営判断が必要。
【今後のセキュリティ強化】根本原因はSSH認証鍵の端末保管と特権アカウントの管理不備。復旧後、多要素認証必須化・特権アカウント管理（PAM）導入・定期的な脆弱性診断を即時実施する。WFH環境下での認証鍵管理ポリシーを策定する。

「関係者と協議」の前に、かならず「登録」を行ってください。

＊メンバーの画面に入力内容が反映されます

会社名	株式会社JNSAアーキテクト
年商	34億円
従業員数	170名
主要事業	PCオンラインゲーム開発・運営
主要システム	GanGanシステム（ユーザー数200万人、有償10万人、前年売上20億円、AWS国内リージョン）
企業文化	- これまでインシデント対応の経験がない。 - セキュリティ事案を楽観的にとらえる傾向がある。 - 起業時からのメンバー（高橋役員）と、銀行出身のメンバー（佐々木執行役員）で、文化や方針の違いがある。

机上演習 CISO-PRACTSIE

設問1: ランサムウエアによる主要システムの停止

インシデント詳細報告書：ランサムウェアによるGanGanシステム全面停止

0. 概要

0.1 経営者への依頼事項

1. GanGanシステム概要

2. 事件の概要

3. 情報資産への影響評価

4. 想定される二次被害

5. 対応体制（RACIチャート）

6. 外部への対応

7. 外部機関への連絡・報告計画

必須連絡先

取引先・利用者

メディア・広報

8. 財務的損害と費用予測

9. コンプライアンス・社会的影響

10. 利用者向け対策（ワークアラウンド）

11. 追記事項

評価結果