恐喝サービス型(EaaS)の脅威アクターグループ「SHADOWBYT3$」が、任天堂へのサイバー攻撃について公式に犯行声明を出しました。同グループは、任天堂が利用するHRエンゲージメントプラットフォーム「TINYpulse」を通じて、従業員の機密データ約859MBを窃取したと主張しています。
この主張は2026年6月12〜13日に浮上しており、200万ドルの身代金要求を伴っています。支払いが行われない場合は盗んだデータをすべて公開すると脅迫しています。
SHADOWBYT3$は任天堂のゲームインフラを直接狙うのではなく、任天堂が利用するサードパーティのHR SaaSプロバイダーであるTINYpulseを標的とした精密な攻撃を実行したと主張しています。
目的はゲームサービスの妨害ではなく、従業員の個人情報(PII)、財務文書、社内HR関連のコミュニケーション情報の窃取でした。
この手口は、セキュリティが手薄なSaaSインテグレーションを裏口として高価値な企業環境に侵入するという、脅威アクターの間で拡大しつつあるトレンドと一致しており、より堅牢な境界防御を丸ごと回避できる点が特徴です。
窃取されたとされるデータは約859MBで、TINYpulse内の従業員向けシステム全般に及ぶとされています。
脅威アクターによれば、流出データには従業員のフルネーム、メールアドレス、従業員IDのほか、銀行口座明細のPDFやW-9税務フォームも含まれているとのことです。
さらに、エンゲージメントサーベイ、分析レポート、進捗計画、成果ダッシュボード、称賛エクスポートといった社内HR関連のアセットも含まれると主張されています。
加えて、同グループは職場環境に関する個人的な感想、プライベートな会話内容、および2016年から2026年にわたる任天堂の上位従業員のTINYpulseエンゲージメントランキングを含む従業員センチメントデータも入手していると主張しています。
SHADOWBYT3$は、この侵害が任天堂のゲーム事業には影響を与えず、TINYpulseプラットフォームを実際に利用していた従業員のみが対象であると明言しています。 同グループはまず任天堂に対して2026年6月15日を期限とする48時間の最後通告を発しました。
任天堂が交渉に応じなかったため、SHADOWBYT3$は恐喝の矛先を直接TINYpulseへと向け直し、新たな期限を2026年6月16日に延長するとともに、Telegramまたはメールでの連絡を要求しています。
同グループは、要求に応じない場合は従業員の私的なメッセージや機密財務記録を含むデータセット全体を公開すると警告しています。
SHADOWBYT3$は恐喝サービス型(EaaS)モデルで運営されており、これはサービスとしてのランサムウェア(RaaS)と同様に、窃取したデータを組織的に収益化するために恐喝機能を標的に対して体系的に展開する手法です。
任天堂のコアシステムではなくSaaSサプライチェーンの一角を意図的に標的にしたことは、主要ターゲット環境での検知リスクを最小限に抑えながら機密データの流出を最大化する、計算された戦略であると見られています。
公開時点では、任天堂およびTINYpulseのいずれも侵害の事実を認める・否定する公式声明を発表しておらず、ESIX©重大度スコア5.60のもと、インシデントは未確認かつ検証待ちの状態が続いています。
セキュリティ研究者は、同様のサプライチェーン経由の情報窃取キャンペーンへの予防措置として、企業がサードパーティのSaaSインテグレーションを早急に監査し、インフォスティーラーによる露出リスクを評価するよう勧告しています。
翻訳元: https://cyberpress.org/shadowbyt3-claims-breach-nintendo/
