ゲーム業界最大の話題作であるGTA VI(Grand Theft Auto VI)を開発するRockstar Gamesが、また内部データへの不正アクセスを確認した。同社は声明を発表し、ハッカーグループが内部データを入手した上で金銭を要求、応じなければデータを公開すると脅迫していることを認めた。Rockstarといえば、2022年にもGTA VI開発中の映像が大量流出するという深刻なインシデントを経験している。繰り返される侵害は、単なる不運ではなく構造的な課題を示唆している。

何が起きたか

ハッカーグループはRockstar Gamesの内部システムに侵入し、機密性の高い社内データを窃取。その後、金銭的な要求を行い、「支払わなければ情報をリリースする」と脅迫した。同社は要求に応じる姿勢を示していないとされており、現時点でどの範囲のデータが取られたかの詳細は明かされていない。

ゲーム業界は近年、こうした恐喝型サイバー攻撃(ランサムウェア・データ強要型)の格好の標的になっている。Insomniac Games(Sony傘下)やCD Projekt REDも過去に同様の被害を受けており、高額のIP(知的財産)を抱えるスタジオは攻撃者にとって「高価値ターゲット」として認識されている。

なぜこれが重要か

ゲーム会社の話、と他人事に見てはいけない。この事件が示す問題構造は、あらゆる業種・規模の企業に共通する。

ポイント1: 繰り返す侵害は「防御の設計」の問題 2022年に大規模漏洩を経験し、膨大なコストをかけて対応したはずのRockstarが再び侵害を受けた。これは「パッチ当てて終わり」の発想では根本解決にならないことを如実に示している。内部システムへのアクセス設計そのものを見直さない限り、同じことが繰り返される。

ポイント2: 脅迫型攻撃は「暗号化して身代金」から「盗んで恐喝」へ進化 いわゆる「二重脅迫(Double Extortion)」はすでに標準的な攻撃手法となった。バックアップがあっても無意味で、「データを公開されたくなければ払え」という構造は、防御の設計を根底から変える必要がある。

ポイント3: 高価値資産の内部管理が問われている GTA VIのソースコードや開発資料は、ゲーム業界における最高機密に類する。こうした資産が「誰でもアクセスできる内部ネットワーク」上に存在していたとすれば、特権アクセス管理(PAM)の設計が甘かったと言わざるを得ない。

実務への影響——日本のエンジニア・IT管理者が取るべき行動

1. 常時アクセス権の棚卸しをいますぐやれ 「業務上必要だから」と付与し続けた権限が、いつの間にか過剰になっているケースは非常に多い。特に特権アカウント(管理者権限)については、Just-In-Time(JIT)アクセスモデルへの移行を検討する価値がある。必要な時だけ、必要な権限だけを付与する——これが特権管理の正しいあり方だ。

2. 「脅迫型」を前提としたインシデントプランを持つ バックアップ体制だけを整えても、データ公開脅迫には対応できない。インシデント発生時の「何を公開して何を秘匿するか」「法執行機関や弁護士をいつ巻き込むか」の意思決定フローを事前に用意しておくことが重要だ。

3. ネットワークセグメンテーションと最小権限原則の徹底 侵入されることを前提に、「侵入されても被害を最小化できる構造」を目指す。ゼロトラストの考え方に基づき、内部ネットワークでも認証・認可を段階的に設ける。VPN一本で「中に入ったら信頼」という旧来モデルは、今や攻撃者にとって理想の環境だ。

4. 高価値データの分類と保護レベルの差別化 「全部同じように守る」は現実的ではない。自社にとって流出した場合のダメージが最大のデータを特定し、そこだけ特別なアクセス制御・監査ログ・アラートを設ける優先度付けが必要だ。

筆者の見解

Rockstarほどの規模と資金力を持つ企業が、2年間で繰り返し内部侵害を受けるというのは、正直に言って「もったいない」としか言いようがない。技術力も資金もある。にもかかわらず、なぜ繰り返すのか。

答えはおそらく「インシデント対応」と「セキュリティ設計の根本見直し」を混同しているからだ。漏洩が起きたあとにパッチを当て、体制を整えたように見えても、アクセス設計の思想が変わっていなければ同じ穴が残り続ける。

日本のエンタープライズでも同じ構図をしばしば見かける。昔ながらの境界防御モデルに、部分的なゼロトラスト対策を継ぎ足した結果、どちらの思想も中途半端になってしまうケースだ。「今動いているから大丈夫」という感覚は最も危険な思い込みで、攻撃者はその「動いている状態」に付け入る。

脅迫型攻撃が主流になったいま、セキュリティの投資判断は「防げるか」だけでなく「やられたときに何をどこまで守れるか」という視点で考える必要がある。被害の最小化設計——これが、次の10年のセキュリティ思想の中心になる。

出典: この記事は GTA VI developer Rockstar confirms another data breach as hackers threaten leaks の内容をもとに、筆者の見解を加えて独自に執筆したものです。