“任天堂の従業員データを入手した”と主張するハッカーグループが身代金3億円を要求も、相手にされず。米任天堂は「社内システム侵害なし、対象データは限定的」と説明

あるハッカーグループが現地時間6月12日、任天堂の従業員情報を不正に入手したと主張し、200万ドル（約3億2000万円）の身代金を要求したことが報じられている。Nintendo of America（以下、米任天堂）は海外メディアKotakuに対して声明を発表し、システムを侵害されたわけではなく、流出した情報は従業員用アンケートに用いていたサードパーティサービス「TINYpulse」における一部従業員の社内アンケート内容に限られていると回答。情報の大半は数年前のものだとしつつ、「TINYpulse」の運営元と協力して問題に対処していることを伝えている。

今回報じられているのは、「ShadowByt3$」を名乗るハッカーグループが6月12日に自らのWebサイト上に掲載した米任天堂への“脅迫”だ。同グループは従業員のメールアドレス、氏名、銀行明細、会話リストを含む従業員データ859.0MBを入手したと主張し、200万ドルの身代金を支払わなければデータを流出させるという脅迫文を公開していた。掲載から48時間以内に連絡することを要求したうえで、連絡さえすれば検討のためにさらに1日の猶予を与えることが記されていた。

一方で6月14日には、ShadowByt3$が新たな脅迫文を掲載。米任天堂が身代金を支払わないことを決めたと主張し、今度は先述した「TINYpulse」の運営元に対する脅迫をおこなっていた。ShadowByt3$は同社に対しTelegramおよびメールで連絡していたようで、6月16日までに返信するように要求していた。

そうしたなかで米任天堂はKotakuの取材に対して回答。あくまで従業員用アンケートに使用されているサードパーティサービスである「TINYpulse」に関わる問題として認識していることを伝えている。同社のシステムが侵害されたわけではなく、顧客データや財務データにアクセスされたわけではないそうだ。また関連するデータは、同社の従業員の一部における、小規模な範囲の社内アンケート内容に限定されており、情報の大半は数年前のものだという。また「TINYpulse」のサービス提供元と協力して、この問題に対処しているとのこと。

企業への不正アクセスやランサムウェア攻撃などから入手されたデータで恐喝がおこなわれる事例は後を絶たない。とはいえ中には、“攻撃者が主張するほど重大な情報ではないデータ”に対して身代金が要求されるケースもあるようだ（関連記事）。身代金の支払いに応じないことを表明する企業もみられ、攻撃者の要求に対して慎重かつ毅然とした対応がとられていることもうかがえる。