Nintendo of Americaは、社内の従業員アンケートに用いていた第三者サービスTinyPulseからデータが盗まれたことを、2026年6月18日にBleepingComputerへ認めました。任天堂自身のシステムは侵害されておらず、顧客の個人情報や財務データへのアクセスもないとしています。流出したのは一部従業員の社内アンケート内容に限られ、その多くは数年前のものだといいます。TinyPulseはWebMD Health Servicesが所有するプラットフォームです。攻撃者グループShadowbyt3$は任天堂から約1GBのデータを盗んだと主張し、48時間の猶予とともに200万ドルの身代金を要求しました。盗んだ情報には氏名、メールアドレス、銀行取引明細、W-9フォーム、2016年から2026年までの報告書などが含まれるとしています。Shadowbyt3$は2025年10月から活動する攻撃者で、BleepingComputerは漏洩データの真正性を確認していません。
From: 
Nintendo confirms data stolen in WebMD subsidiary cyberattack
【編集部解説】
任天堂と、医療情報サイトとして知られるWebMD。この一見すると無関係な二社の名前が、なぜ一つのサイバー攻撃のニュースで並ぶのでしょうか。今回の事案を読み解く鍵は、まさにこの「意外な接点」にあります。
問題となったTinyPulseは、従業員に匿名アンケートを行い、職場の雰囲気やエンゲージメントを可視化する人事向けのツールです。この従業員調査ツールはもともと独立した企業のサービスでしたが、2021年に従業員ウェルビーイング企業Limeadeに買収されました。そしてそのLimeadeを、医療情報大手WebMDのグループ会社であるWebMD Health Servicesが2023年に買収しています。つまり「任天堂の従業員データがWebMD子会社の攻撃で流出した」という構図は、買収によってサービスの所有者が移り変わってきた結果なのです。
ここで注目したいのは、任天堂本体のシステムは破られていないという点です。攻撃者が侵入したのは、任天堂が業務で利用していた外部のSaaS(クラウドサービス)でした。堅牢な城壁を築いた企業であっても、出入りの業者が持つ鍵から侵入される——今回はそうした「サプライチェーン経由」「第三者経由」の情報漏洩の典型例だと言えます。
数字の扱いについては慎重を期す必要があります。元記事BleepingComputerは窃取されたデータ量を「1GB近く」と表現していますが、Nintendo LifeやNintendo Everythingなど複数の海外メディアは、攻撃者の主張として「約859MB」という具体的な数値を報じています。859MBは10進法では約0.86GB、2進法換算では約0.84GiBですから「1GB近く」という表現と矛盾はしませんが、出どころの数字としては859MBがより精緻です。いずれにせよ、これは攻撃者側の自己申告であり、第三者が検証した数字ではない点を押さえておくべきでしょう。
流出したとされる情報の中身も見過ごせません。攻撃者の主張によれば、窃取データには2016年から2026年にかけての各種報告書が含まれ、氏名やメールアドレス、銀行取引明細、税務書類(W-9フォーム)といった、給与処理に関わる機微な情報まで及ぶとされています。ただしこれらはあくまで攻撃者側の主張であり、BleepingComputerは漏洩データの真正性を確認していません。任天堂自身は流出範囲を「一部従業員の社内アンケート内容」に限られるとしており、両者の説明には開きがある点に留意が必要です。
ここに、人事向け「従業員エンゲージメントツール」が抱える構造的なジレンマが浮かび上がります。匿名アンケートで本音を集めるという善意の仕組みが、その裏側では実名や給与関連情報とも結びついたデータベースとして蓄積されていきやすい。従業員の声に耳を傾けるためのツールが、皮肉にも攻撃者にとって価値の高い標的になりうるわけです。
任天堂の対応は、現時点では比較的冷静なものに見えます。攻撃者が示した48時間という期限や200万ドルの身代金要求に対し、その後リークデータへのリンクが公開されたことは、任天堂が支払いに応じなかった可能性を示唆しています。法執行機関は身代金の支払いが将来の攻撃を助長するとして強く戒めており、支払ったとしてもデータが密かに売却されない保証はありません。仮に任天堂が支払いに応じなかったのであれば、それはこうした一般的な指針とも整合する姿勢だと言えるでしょう。
より広い視点で見れば、この事案は私たち自身にも問いを投げかけます。企業の規模や知名度にかかわらず、業務で使うクラウドサービスが増えるほど、データの「預け先」も増えていきます。自社が守るべき情報は、もはや自社のサーバーの中だけにあるわけではない——その当たり前の事実を、世界的なゲーム企業の事例が改めて突きつけているのです。今後は委託先のセキュリティ評価や、保持するデータの最小化・定期的な削除といった運用が、これまで以上に問われることになるでしょう。
【用語解説】
TinyPulse(タイニーパルス)
従業員に短いアンケートを定期的に配信し、職場の満足度やエンゲージメントを匿名で可視化する人事向けのSaaSである。本来は従業員の本音を経営に届けるためのツールだが、今回はその蓄積データが標的となった。
WebMD Health Services(ウェブMDヘルスサービス)
医療情報サービス大手WebMD Health Corp.の一部門で、企業向けの健康・ウェルビーイング支援サービスを提供する事業体である。2023年に従業員ウェルビーイング企業Limeadeを買収し、そのLimeadeが2021年に取得していたTinyPulseを傘下に収めた。本件で「子会社」と呼ばれているのはこの企業を指す。
Shadowbyt3$(シャドウバイト)
2025年10月ごろから活動が確認されている比較的新しい恐喝型攻撃者グループ。盗んだデータを公開すると脅して金銭を要求する手口を取ると報じられている。
extortion-as-a-service(サービスとしての恐喝)
データの窃取と公開の脅迫による恐喝を、一種の「サービス」として体系化・反復する攻撃モデルを指す。暗号化による身代金要求(ランサムウェア)から、データ漏洩をテコにした恐喝へと攻撃者の重心が移ってきた流れの中に位置づけられる。
W-9フォーム
アメリカの税務手続きで用いられる、納税者の識別情報を記載する書類である。氏名や納税者番号など個人を特定しうる情報を含むため、流出した場合の機微性が高い。
サプライチェーン攻撃/第三者経由の侵害
標的企業を直接狙うのではなく、その企業が利用する取引先や外部サービスを経由して侵入する手法を指す。今回のように、企業本体の防御が堅固でも、委託先のクラウドサービスが弱点となるケースが該当する。
【参考リンク】
Nintendo(任天堂・米国公式サイト)(外部)
製品情報やニュースを掲載するNintendo of Americaの公式サイト。被害企業の一次情報源にあたる。
Nintendo of America 会社概要(外部)
沿革や本社所在地を掲載した公式ページ。日本の任天堂の完全子会社であることが確認できる。
TINYpulse by WebMD Health Services(公式)(外部)
流出元となった従業員エンゲージメントツールの公式紹介ページ。匿名アンケート機能などを説明している。
WebMD Health Services(公式サイト)(外部)
TinyPulseを傘下に持つ事業体の公式サイト。企業向けの健康・ウェルビーイング支援事業を展開している。
【参考動画】
本事案を正確に扱った公式・信頼性の高い動画を確認できなかったため、本項目はスキップします。
【参考記事】
Hacker Group Steals Nintendo Employee Data, Posts $2 Million Ransom(Nintendo Life)(外部)
窃取されたとされるデータ量を「約859MB」と報じ、氏名や銀行明細PDF、W-9フォームなどの含有を伝える記事。
Rumor: Nintendo hit with data breach, hacker steals 859MB of data via TINYpulse(Nintendo Everything)(外部)
主張が出た2026年6月13日時点では未検証だったことを明記し、機微情報の組み合わせの危険性に触れた記事。
Nintendo issues statement about recent data breach(Nintendo Everything)(外部)
任天堂の公式声明を整理し、流出が一部従業員のアンケート内容に限られる点や被害範囲の限定性を伝える記事。
Nintendo breach claim puts HR data at risk(Arabian Post)(外部)
約859MBの記録窃取と200万ドル要求の未検証事案として報じ、任天堂を取り巻く投資家の注目にも言及した記事。
WebMD Health Services Completes Acquisition of Limeade(PR Newswire)(外部)
WebMD Health Servicesが2023年8月にLimeade買収を完了したことを伝える公式プレスリリース。
TinyPulse company information, funding & investors(Dealroom.co)(外部)
TinyPulseが2021年7月にLimeadeへ買収され、後にWebMD傘下でブランド復活した経緯を整理した企業情報。
【編集部後記】
「自分のデータが、いま誰の手元にあるのか」を即答できる人は、案外少ないのではないでしょうか。今回の事案は、世界的な企業ですら外部サービスの安全までは見通しにくいという現実を映し出しています。私たち編集部自身も、日々さまざまなクラウドサービスに情報を預けながら仕事をしています。だからこそ、便利さの裏側にある「預け先」の存在に、ときどき立ち止まって思いを巡らせてみたいと感じました。この記事が、みなさんと一緒にそうした視点を育てる小さなきっかけになれば幸いです。
