人気ゲーム大手の任天堂が、サイバー攻撃による情報流出の標的となった。恐喝グループ「ShadowByt3$(シャドウバイト)」は、任天堂の従業員に関する約859メガバイトのデータを盗み出したと主張し、公開しないことと引き換えに200万ドルの身代金を要求している。攻撃は任天堂自身のシステムではなく、外部の人事ツール経由で行われたとみられる。
盗まれたとされる従業員情報
攻撃グループが犯行声明を出したのは6月12日。盗まれたとされるのは、従業員の氏名や会社のメールアドレス、社員ID、社内アンケートの回答、人事分析レポートなどで、一部には銀行取引明細や税務書類(W-9)といった財務関連の情報も含まれると主張している。データ量は約859メガバイトにのぼるという。
外部の人事プラットフォームが侵入口に
注目すべきは、攻撃が任天堂の社内ネットワークを直接破ったものではない点だ。侵入経路となったのは「TinyPulse(タイニーパルス)」という、従業員エンゲージメント(働きがい)調査や社内フィードバックの管理に使われるクラウド型の人事プラットフォームだった。自社の守りを固めても、利用している外部サービスの弱点を突かれて情報が漏れる「サプライチェーン攻撃」の典型例といえる。ShadowByt3$は2025年10月に出現し、恐喝を請け負う「サービス型」の犯罪集団として活動しているとされる。
これに対し、任天堂アメリカは被害を限定的なものと説明している。流出したのは「一部の従業員に関する社内アンケートの内容」にとどまり、「その多くは数年前の古い情報だ」と強調した。そのうえで、任天堂自身のシステムは侵害されておらず、顧客の個人情報や決済情報へのアクセスは確認されていないとしている。
日本への影響
今回の一件は、日本企業にとって極めて身近な教訓を含んでいます。任天堂は京都に本社を置く日本を代表する企業であり、その従業員情報が外部ツール経由で狙われたという事実は、SaaS(クラウド型ソフト)を業務に取り入れる多くの日本企業に共通するリスクを浮き彫りにしました。人事・労務・勤怠管理などをクラウドの外部サービスに任せる運用は国内でも急速に広がっており、便利さの裏で攻撃の入り口が増えている実態があります。
直接の流出対象がパスワードでなくとも、氏名やメールアドレス、社内のやり取りが漏れれば、それを悪用した巧妙な「なりすましメール(フィッシング)」の踏み台にされる恐れがあります。日本の企業や担当者としては、導入している外部サービスのアクセス権限を定期的に棚卸しし、不要な連携を断つこと、そして多要素認証を徹底することが当面の備えとして求められます。個人情報保護委員会やJPCERTコーディネーションセンターも、委託先を含めた情報管理の重要性を繰り返し呼びかけています。
まとめ:守りの堅い大企業でさえ取引先の穴から情報が漏れる時代だからこそ、私たちも身近なクラウドサービスの権限管理を今日から見直しておきたいところではないでしょうか。
出典:
Cyber Security News – SHADOWBYT3$ claim breach of Nintendo
Nintendo Life – Hacker group steals Nintendo employee data, posts $2M ransom
Hackread – Nintendo America employee data exposed after ShadowByt3$ targets TinyPulse
