eSecurity Planet のコンテンツおよび製品に関する推薦は、編集部が独自の判断で行っています。パートナーへのリンクをクリックすると、収益が発生する場合があります。 詳細はこちら
脅威アクターが約10年分にわたる社内データを窃取したと主張し、情報の公開を阻止するために200万ドルの身代金を要求したとして、任天堂がインシデントの疑惑に直面しています。
同社はいまだ侵害の事実を公式に認めていませんが、流出したデータのサンプルを調査したCybernewsの研究者たちは、一部の内容に信憑性があると述べています。
「サンプルにはHRデータが含まれており、従業員の職場環境に関するパルスサーベイや各種アンケートが確認されました」と、研究者たちは脅威アクターが公開したファイルを精査したうえで報告しています。
主なポイント
- ShadowByte$を名乗る脅威アクターが、任天堂から約859MBのデータを窃取したと主張し、公開阻止のために200万ドルの身代金を要求
- 流出したサンプルには、従業員名・社内メールアドレス・従業員意識調査・社内レポート・業績指標・計画書類などが含まれているとされる
- 2016年まで遡る従業員アンケートの記録や現役従業員への言及が確認されており、研究者は一部データの真正性を示す根拠を発見
- 任天堂が直接侵害を受けたのか、従業員エンゲージメントプラットフォーム「TinyPulse」などのサードパーティプロバイダー経由でアクセスされたのかは不明
- 本件は、機密性の高い企業・人事データを保管するサードパーティ製ビジネスアプリケーションに伴うセキュリティリスクを改めて浮き彫りにしている
任天堂データインシデントの疑惑、その詳細
ShadowByte$と名乗る脅威アクターは、サイバー犯罪フォーラムに声明を投稿し、任天堂の社内データ約859MBを入手したと主張。公開を防ぐために200万ドルの身代金を要求しています。
当該アクターが公開したサンプルを確認した研究者によると、データセットには従業員名、社内メールアドレス、従業員エンゲージメントサーベイ、社内分析データ、組織業績指標、エクスポートされたレポート、計画文書などが含まれている可能性があります。
データの真正性を示す兆候を研究者が発見
侵害疑惑の全容と真正性はまだ確認されていませんが、研究者は少なくとも一部のデータが正規のものである可能性を示す複数の根拠を特定しました。
サンプルには2016年まで遡る従業員エンゲージメントサーベイや職場フィードバック記録が含まれているとされており、これは脅威アクターが「窃取した情報は2026年までの10年間に及ぶ」と主張していることと符合します。
また研究者は、現在も任天堂に在籍していると思われる人物への言及を確認しており、流出データセットの一部についてさらなる信憑性を裏付けています。
さらに、一部のエクスポートファイルに紐づくメタデータには2026年1月28日という作成日が記録されており、少なくとも一部の記録が比較的最近にアクセスまたはエクスポートされた可能性を示しています。
データ入手経路に残る疑問
こうした知見が得られた一方で、データがどのように入手されたかについては依然として疑問が残ります。
研究者によると、現時点で入手できるサンプルだけでは、任天堂が直接侵害されたのか、それとも従業員関連情報を取り扱うサードパーティサービスプロバイダー経由でアクセスされたのかを判断するには不十分です。
さらに不確実性を高めているのが、ShadowByte$がTinyPulseに言及している点です。TinyPulseは、組織が匿名の従業員フィードバックを収集し、従業員満足度を測定するために使用する従業員エンゲージメントプラットフォームです。
もしこの情報が正確であれば、本インシデントは機密の企業データを保管するサードパーティベンダーに起因するリスクが依然として深刻であることを示すものとなります。
組織がクラウド型ビジネスプラットフォームへの依存を強める中、信頼できるプロバイダーが侵害された場合、複数の顧客にまたがる情報が一度に露出する可能性があります。
本記事の公開時点において、任天堂は脅威アクターの主張を公式に認めていません。
サードパーティリスクを軽減するために
任天堂が侵害の事実を認めていない段階ではありますが、セキュリティチームはこの件を契機に、人事・従業員関連プラットフォームに関するセキュリティ管理策を見直すことが重要です。
- サードパーティの人事・労務管理・従業員エンゲージメントベンダーに対して定期的なセキュリティ評価を実施し、潜在リスクを特定・対処する
- 多要素認証(MFA)・最小権限の原則・定期的なアクセス権レビューを含む強固なアクセス制御を徹底する
- HR・SaaSプラットフォームにおける不正アクセス・不審なアクティビティ・データ持ち出しの恐れがある大規模データエクスポートを継続的に監視する
- データ損失防止(DLP)制御と暗号化を導入し、従業員の機密情報・社内レポート・組織データを保護する
- 従業員フィードバック・アンケート回答・その他の機密性の高い人事データの収集・保持を最小化し、潜在的な情報漏洩の範囲を縮小する
- ベンダーとの連携・API接続・SaaS設定を継続的に監視し、セキュリティギャップや設定ミスを早期に検出する
- サードパーティベンダーの侵害シナリオを含むテーブルトップ演習や侵害シミュレーションを通じてインシデント対応計画を定期的に検証する
こうした対策を組み合わせることで、組織はサードパーティリスクへの露出を低減しつつ、将来のインシデントに対するレジリエンスを高めることができます。
ビジネスアプリケーションに潜むリスク
セキュリティチームにとって、今回の任天堂の疑惑は、機密性の高いビジネスデータが顧客情報や知的財産だけに留まらないことを改めて認識させてくれるものです。
従業員フィードバックプラットフォーム・HRシステム・その他のサードパーティ製ビジネスアプリケーションには、有益な業務上の知見が蓄積されており、脅威アクターにとって魅力的な標的となっています。
こうしたインシデントは、ゼロトラストアーキテクチャの価値を改めて示しています。ゼロトラストはアクセスの継続的な検証を実現し、侵害が発生した場合の影響範囲を最小限に抑えることができます。
翻訳元: https://www.esecurityplanet.com/threats/hackers-demand-2m-from-nintendo-over-alleged-data-breach/
