ニコール・カーペンター ゲーム業界の労働問題とゲームのビジネスと文化についての調査機能を専門とする上級記者です。
12月12日、悪名高いランサムウェアグループRhysida不眠症のゲームデータを人質にしていることを発表しました。 Insomniac Gamesが情報のリリースを防ぎたい場合は、支払いをする必要があります。 Rhysidaはデータに50ビットコイン(約200万ドル)を望んでいました。誰でもダークウェブサイトのオークションを介して、誰がそれを望んでいましたか。課された7日間の締め切りが買い手なしで過ぎたとき、Rhysidaは、ハッキングされたデータのほとんどをオンラインで投稿しました- によると、130万を超えるファイルを含む1.67 TBの巨大な1.67 TBサイバーセキュリティWebサイトCyberdaily。
データは3つのパーツにアップロードされ、それぞれがMicrosoftのファイルエクスプローラーに似たインターフェイスを備えたデータカタログに編成されました。これらのファイルには、デザインドキュメント、キャスト情報、レベル設計など、Insomniacの今後のウルヴァリンゲームの多くの開発資料が含まれています。プログレスのゲームプレイからマーベルのウルヴァリン他の情報と同様に、すぐに広がり始めましたStudioとMarvelとのパートナーシップについて。それは壊滅的で前例のないゲーム情報の漏れです、昨年の範囲と同様ですグランド・セフト・オート 6違反。サイバーセキュリティ会社Arctic Wolfの最高情報セキュリティ責任者であり、元Avalancheソフトウェアゲーム開発者であるAdamMarrèは、Polygonに、不眠症違反は「ゲーム業界で最も重要な違反の1つであるように見える」と語った。ジョナサン・ワイスマン、ロチェスター工科大学のサイバーセキュリティ部門の主要な講師は、サイバー攻撃とその後のリークは「完全に前例のない」とポリゴンに語った。
しかし、不眠症の漏れには、単なるゲーム資産以上のはるかに多く含まれています。事実上、数百人の従業員がdoxxedになっている可能性があります。
「まず、今後のウルヴァリンゲームと同社の12年間のリリース計画のファイルがあります」とワイスマンはポリゴンに語った。 「それだけでは、それだけです。ただし、それよりもはるかに深いです。私たちは、大手企業やスタジオとの非公開契約、内部開発者のSlack Communications、Internal HRドキュメント、従業員のパスポートをスキャンすることについて話しています。」
Rhysidaが公開している繊細なHR文書には、内部調査と懲戒報告、従業員の個人情報(パスポートスキャンなど)、会議のビデオを録音しました。この違反により、数百人の従業員が危険にさらされますすでに敵対的な業界で開発者、特に疎外されたグループの人々に。 (プレーヤーからビデオゲーム開発者への嫌がらせや脅威は、業界で深刻な問題です。開発者の75%以上2023年のゲーム開発者会議で、世論調査はそう言った、回答者の40%が直接それを経験しました。)
マレーは、リークの広範な性質、特に従業員の情報通信を含めることは、ビデオゲーム業界にとって非定型であり、これを「プライバシーとセキュリティのより深刻な違反」にしていると述べました。従業員のデータが登場する他の業界の他の大規模なハッキングと比較できます。
ゲーム開発者のRami IsmailはPolygonに、不眠症の漏れは本当に残念であり、ゲームの知覚に影響を与えると語った。彼は、開発者は常に「人々は何が出荷されるかしか知っている」と言っていると言いました。つまり、「プレイヤーはそれがどのように出荷するかによってゲームを判断する」ことを意味します。 Ismail氏によると、これは未完成のゲーム資産をリークするための「疑わしくて深刻な」慣行ですが、従業員の情報を公開することは「まっすぐな悪」です。
「これらのゲーム開発者が自分の個人情報がそこにあることを心配しなければならないことは恐ろしいことです」とイスマイルはメールで述べました。 「私は意図的にファイルを見ていませんが、これらのファイルには名前、住所、またはその他の機密情報が含まれている可能性があると思います。自分自身とその家族を安全に保つ方法。」
Insomniacをハッキングし、オンラインで情報を公開したグループであるRhysidaは、比較的新しい事業であるにもかかわらず政府機関に知られています。米国保健福祉省の情報セキュリティ局は言ったRhysidaは、フィッシング攻撃を使用してリモートでアクセスを獲得し、他のタイプの攻撃を獲得しています。米国のサイバーセキュリティおよびインフラストラクチャセキュリティ機関もRhysidaランサムウェアに対して警告した組織の後の11月ヘルスケア業界を対象としていますそして政府機関。 CISAは、不眠症のハックについてコメントすることを拒否し、代わりに11月の通知を指していました。
MarrèはPolygonに、SonyとInsomniacはサイバーセキュリティ措置を改善しなければならないと語った。 「これには、ネットワークセキュリティの強化、より堅牢な認証プロセスの実装、定期的なセキュリティ監査と浸透テストの実施が含まれます」と彼は言いました。 「サイバーセキュリティの認識に関する従業員のトレーニングは、フィッシングやソーシャルエンジニアリング攻撃からのリスクを軽減するためにも不可欠です。」彼は、同社が信用監視サービスまたは個人情報の盗難保護プログラムを提供できることを提案しました。
ワイスマンは、従業員のトレーニングが最重要であることに同意しました。「サイバーセキュリティの実施における最も弱いリンクは常に人間になります」と彼は言いました。 「リンクを1回クリックしたり、添付ファイルをダウンロードして開いたり実行して元に戻す[セキュリティ対策]が必要です。言うまでもなく、従業員向けのサイバーセキュリティ教育とトレーニングが最も重要です。」
Rhysidaにとって、目標はお金のように見えます - グループのスポークスマンCyberdailyに同じように語った。ビデオゲーム会社のこれらの種類のハッキングは、おそらくそれらに含まれる情報の価値のために増加しているようです。多くのプレイヤーは、リークされた情報を含む非常に期待されるゲームについて取得できる情報を叫びますが、個人データは暗いWebで価値があります。Rocksteady StudiosとWarner Bros.は最近リークを経験しました- おそらく閉じたアルファテストから - 自殺分隊:ジャスティスリーグを殺します。 12月、GTA 6トレーラーは漏れ後に早い段階で公開されましたが、もちろん、その前に進行中の映像違反がありました(2人のティーンエイジャーが逮捕され、起訴されました後者のハックの場合)。ハッカーも情報にアクセスしたと伝えられていますの上最後のパート2脆弱性を悪用することによって解放される前私たちの最後。 2023年、MicrosoftとBethesdaも違反がありましたが、ゲームの物理的なコピーがありましたスターフィールド 未公開のゲームのコピーが倉庫から盗まれた後。
Insomniacの最近の違反によりよく似た場合、CD Projekt Redは現在および元従業員および請負業者の情報が盗まれました2021年6月。その前、2020年、カプコンはランサムウェア攻撃に直面しましたこの漏れたゲーム情報と、顧客、株主、従業員を含む数十万人の人々の個人情報。
Sony Interactive Entertainmentは、将来の従業員をどのように保護するかについてのコメントを求めるPolygonのリクエストに応じていません。
