旧VPNの穴 — 大阪ゲームスタジオの十一月（長編フィクション）

— 2020年「カプコンへの不正アクセス：旧型VPN機器の残置→米拠点から侵入→日本/米の端末を段階的に乗っ取り→11/2未明にランサム実行、Ragnar Lockerの脅迫文→個人情報の“確認済み”は約1.5万人、“可能性”は最大約39万人→クレジットカード・オンラインプレイ基盤は別系統で非該当→SOC/EDR導入・監督委の設置」等の公表情報を骨格にした創作

00｜月曜 02:41　「出していないのに、出ている」

大阪・蒼燕（そうえん）ゲームスタジオの運用室。夏芽は、早朝のNetFlowに同じ間隔で現れては消える短い息を見つけた。相手先は北米。社内の新型VPNではなく、見覚えのない古いIPだ。WAFは緑、SIEMは眠い顔。だけど、等間隔の呼吸だけは正確すぎる。

メールが落ち、ファイルサーバに引っかかりが出た瞬間、夏芽は電話の短縮を押した。

01｜03:07　“止める／伝える／回す”

静岡・山崎行政書士事務所。白板の前に**律斗（りつと）**が立ち、太いペンで三行を書く。

止める／伝える／回す

• 止める：影響セグメントを電源を落とさずネットワーク隔離。Outboundは白（許可先のみ）に絞る。KMS／ID発行ログ／RAMダンプ／ディスク像を一方向で吸い上げ、古いVPNの残置がないか棚卸。常時特権はゼロ、**必要時だけ（JIT）**に短期貸与。

• 伝える：三文の一次報を経営／広報／所管連絡窓口に同報。“事実”（北米側への規則的通信／内部の接続障害）と**“可能性（仮説）”（旧型VPNからの侵入→横展開→暗号化準備）を段落分離**。正午／17時の時刻で更新する。冒頭に**「支払い先変更メールは無効」**を置く。

• 回す：夜間デプロイを停止し、緊急の障害対応は紙の手順＋口頭復唱へ迂回。遅いけど確実に回す。

りなが続ける。「72時間の所管報告も同時に回します。“声は鍵”（折り返し＋二名承認）、全窓口で。」

奏汰（そうた）は構成図に赤を走らせる。「コロナ禍で北米子会社に残した旧型VPNが橋になってる。新型は入ってるが、“非常用”で古い箱が一本だけ残ってる線。」

悠真（ゆうま）が短く言う。「署名は正しい顔をしてる。けど、顔が違う。正しいものの顔をした別人が門を抜けてる。」

ふみかは三文の一次報を置いた。

受付でやまにゃんのしっぽ（Type‑C）が、小さく光る。札には太い字。

02｜03:33　黒い四角、白い文字

ファイルサーバのコンソールに、黒い四角が現れた。

メールと共有が所々で沈む。ゲームのオンライン接続系は別島だから生きている。決済はサードパーティだから別腹だ。——混ぜない。今、止めるのは内側の**“仕事の声”**だ。

03｜04:20　「秋に入って、十一月に燃える」

監査ログの底から、十月の薄い跡が上がってくる。北米拠点の旧型VPNに短いノック、深夜だけ息をするC2、徐々に資格情報を集める音。十一月一日 23時（JST）、複数端末のボリュームが一斉に鍵を掛けられ、二日未明には社内のメール／ファイルが波のように鈍る。

蓮斗（れんと）が白板に数字を書く。

• MTTD（検知）：49分（規則的アクセスの相関）

• 一次封じ込め：71分（隔離／白化／証跡保全／JIT化）

• 最初の確認：脅迫文＋暗号化、警察と監督当局に連絡

• 横展開：米／日の端末に段階感染

律斗は短く言う。「勝ってはいない。でも**“間に合っている”**。」

04｜正午　一次報（所外）

怒号はある。けれど、時刻が不安の終わりを作る。

05｜午後　「交渉しない」を決める

脅迫文は交渉窓口を示し、額は書かれていない。りなは二段落の台本で、主語を入れて言い切る。

悠真が端末に耳を当てる。「暗号化は最後の花火。本体は**“持ち出し”だ。」奏汰はOutboundをさらに白に絞り、DNSの未知を即死に落とす。古いVPNは撤去の線**で赤く塗りつぶされる。

06｜二日目　増える数、減らす言い訳

最初に**“確認済み”だったのは数人**。調査が進むほど、“確認済み”の累計は増え、“可能性”の上限も膨らむ。りなは言い訳を削り、段落を固定した。

• 確認された事実（**“確認済み”**の人数と項目）

• 未確定（継続調査）（**“可能性”**の最大値と根拠）

ふみかが短く補う。

やまにゃんの札が光る。

07｜一週間後　“39万”という上限

一次報から日々が過ぎ、数字が形を持つ。“確認済み”は1.6万人規模に、“可能性”は最大約39万人へ。誰に何を伝えるかを名寄せし、サポートデスクと地域の窓口を分ける。夏芽は紙の台本を机の端に揃えた。一行目には**「当社からATM操作や支払い依頼はしない」**。

蓮斗の数字が更新される。

• 確認済み：約15,649人（累計）

• 可能性（最大）：約390,000件

• クレカ：非該当（外部決済・別系統）

• オンライン接続：非該当（別系統）

08｜「旧VPN」の結論、そして地図

外部調査会社の報告が届く。北米子会社の旧型VPNが起点、コロナ禍のトラフィック増で非常用として一台だけ残置、ログ保持の浅さ、EDR/SOCは導入途中。古い箱を使い、米／日の端末に段階感染、持ち出し、最後に暗号化。やることは鮮明だ。

奏汰は**“鍵束”を三つ**に分ける図を描く。

09｜監督委という“もう一つの耳”

監督委が立ち上がる。外部の教授／弁護士／監査人が常設の席につき、「主語」「期限」「二重確認」の三行で発表を整える。りなは社外文面に主語を太く置き、期限を明記し、自動の前後に“人の10分”**を差し込む。

夏芽は監視盤に新しい線を一本足した。越境のdevトークン、旧機器からの呼吸、夜だけのC2——全部に鈴が付いた。

10｜“交渉しない”あとで残るもの

データの一部は黒い掲示板に晒される。会社は交渉しない代わりに、謝罪と再発防止を時刻で重ねる。社員の声、元社員の声、応募者の声——生活の断面が紙の上で揺れる。悠真は言う。「“便利の近道”の代償は言葉では戻らない。紙と時刻で返すしかない。」

11｜三か月後　“歌い直す”社内

社内はほぼ復旧。SOCが外を見張り、EDRが端末の微かな熱を拾う。監督委は定例で地図を見直し、VPNの長期保管ログを深くし、業務用アカウントの棚卸と削除に期限を付ける。夏芽は台本の二行目に**「パスワードと二要素は同じ箱に置かない」**を追加した。

蓮斗の数字が静かに並ぶ。

• MTTD：49分 → 9分（越境アクセス常設検知）

• 一次封じ込め：71分 → 28分

• 常時特権：ゼロ（JIT化完了）

• 例外期限遵守率：98%

12｜講堂　“三つの時計”

1. 現場の時間（開発・運用・サポート）

2. 規制の時間（72時間と継続報告）

3. 経営の時間（信頼・資本・再発防止）

りなは三行で締める。

奏汰は黒で縁取る。

• 技術の境界を資本の境界と一致させる。

• 古い箱は残さない（非常用でもログ深度＋廃棄期限）。

• Outboundは白だけ、DNSは未知を即死。

• 証跡はWORMで二経路、越境アラートは別の目に。

やまにゃんが静かに札を揺らす。

13｜エピローグ　ガラスの夜

中之島の川が夜を運ぶ。ガラスの向こうで、新しい箱が歌を取り戻した。便利は刃にもなる。戻れる速さは、紙と時刻と**“二重の鍵”の中にある。夏芽は操作卓の端に紙を一枚差し込み、時刻を押した。旧VPNはもうない**。同じ失敗が別の名前で戻らないよう、柵は増やすより短く、太く。

—— 完

参考リンク（URLべた張り／事実ベース・一次情報／主要報道・技術解説）

※物語はフィクションですが、骨格（旧型VPN機器の残置→北米側から侵入→11/2未明にランサム実行・Ragnar Lockerの脅迫文、“確認済み”15,649人／“可能性”最大約39万人、クレカ非該当／オンライン基盤は別系で非該当、SOC/EDR導入・監督委設置、交渉しない方針）は下記に基づいています。

https://www.capcom.co.jp/ir/english/news/html/e210413.htmlhttps://www.capcom.co.jp/ir/english/news/html/e210112.htmlhttps://www.capcom.co.jp/ir/english/news/html/e201116.htmlhttps://www.bleepingcomputer.com/news/security/capcom-ransomware-gang-used-old-vpn-device-to-breach-the-network/https://portswigger.net/daily-swig/capcom-ransomware-attack-hackers-gained-access-via-vulnerable-vpn-report-findshttps://www.bleepingcomputer.com/news/security/capcom-hit-by-ragnar-locker-ransomware-1tb-allegedly-stolen/https://www.asahi.com/ajw/articles/13917578https://www.reuters.com/markets/stocks/toyota-shares-fall-after-domestic-factory-suspension-2022-03-01/https://techcrunch.com/2020/11/16/capcom-resident-evil-game-maker-breach-ransomware/https://www.theverge.com/2020/11/16/21569662/capcom-hack-ransomware-persona-data