任天堂オブアメリカはBleepingComputerに対し、脅威アクターが社内で使用しているサードパーティサービス「TinyPulse」からアンケートデータを窃取したことを認めました。ただし、同社のシステム自体は侵害されていないとしています。
この声明は、Shadowbyt3$という「恐喝代行サービス(extortion-as-a-service)」を標榜する脅威グループが、任天堂オブアメリカの従業員に関する機密データを窃取したと主張したことを受けて発表されました。
「任天堂オブアメリカが社内従業員アンケートに使用しているサードパーティサービス『TinyPulse』に関する問題を把握しています」と任天堂は述べています。
「任天堂のシステムは侵害されておらず、顧客の個人情報や財務データへのアクセスもありません。任天堂のシステムは侵害されておらず、顧客の個人情報や財務データへのアクセスもありません。」
「関係するデータは、従業員の一部に限定された社内アンケートの内容のみであり、その大部分は数年前のものです」と同社はBleepingComputerに語りました。
任天堂オブアメリカは日本のゲーム会社・任天堂の子会社で、米国、カナダ、ラテンアメリカの一部地域における事業を担っています。
TinyPulseは、匿名の従業員アンケート、エンゲージメント分析、フィードバック収集、職場文化評価などに利用される従業員エンゲージメント・フィードバックプラットフォームです。
同社は「サービスプロバイダーと協力して問題に対処している」と述べています。
BleepingComputerはTinyPulseプラットフォームの運営会社であるWebMD Health Servicesに事件の詳細と影響について問い合わせましたが、記事公開時点で回答は得られていません。
Shadowbyt3$、200万ドルの身代金を要求
任天堂は今回の事件でアンケート情報のみが流出したとしていますが、Shadowbyt3$は窃取した情報に従業員の個人情報が含まれると主張しています。
最初のメッセージで同脅威アクターは、任天堂から約1GBのデータを窃取したとし、情報を公開する前に交渉に応じるよう48時間の猶予を与えたと述べています。
脅威アクターによると、窃取したデータにはフルネーム、メールアドレス、分析・アンケートデータ、銀行明細書、そして従業員ID・進捗計画・レポートを含むW-9フォームが含まれており、その対象期間は2016年から2026年にわたるとのことです。
「連絡をくれれば、考える時間をさらに1日与える。身代金として200万ドルを要求する」とShadowbyt3$の投稿には記されています。
2回目のメッセージで同脅威アクターは、「今回の侵害は任天堂のゲーム事業には影響しない」とし、対象は「任天堂に勤めTinyPulseを使用していた少数の従業員」であると補足しています。
Shadowbyt3$によるその後の投稿では、今後さらに被害者が出ると警告するとともに、従業員間のダイレクトメッセージや会話を含むとされる流出データへのリンクが掲載されており、任天堂が身代金の支払いを拒否したことが示唆されています。
BleepingComputerは流出データをダウンロードしておらず、その真偽を確認することはできていません。なお、仮に情報が真正なものであったとしても、今回の侵害で任天堂の顧客情報は影響を受けておらず、アカウント保有者が特別な対応をとる必要はありません。
ShadowByt3$は比較的新しい脅威アクターで、2025年10月から活動する「恐喝代行サービスグループ」を自称しています。身代金を支払わない被害企業から窃取したデータを公開しており、和解に至った場合はすべてのデータを「永久に削除し、二度と連絡しない」と述べています。
ただし、法執行機関は身代金の支払いを強く推奨していません。支払いが将来の攻撃を助長するためです。また、脅威アクターが情報を非公開で売却しないという保証もありません。
攻撃者より先に、あらゆる層をテストする
セキュリティチームが記録できている成功した攻撃はわずか54%で、アラートを発するのは14%にすぎません。残りの攻撃は環境内で検知されることなく動き回っています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を解説しています。
