概要:任天堂へのサイバー攻撃主張
2025年10月11日、脅威検知プラットフォームを提供するHackmanacが、新興ハッカーグループ「Crimson Collective」が任天堂に対するサイバー攻撃を実行したと主張していることをX(旧Twitter)上で報告しました。同グループは「nintendo topics」関連のディレクトリとみられる画像をスクリーンショットとして公開していますが、本稿執筆時点(2025年10月16日)において、攻撃の真偽については完全には確認されていません。
任天堂は10月15日、産経新聞の取材に対して「個人情報の流出は確認できず、開発やビジネス情報の漏洩もない」と回答しています。同社によれば、任天堂のサイトを表示する一部の社外サーバーが書き換えられた形跡はあるものの、顧客への被害や社内システムへの侵入は確認されていないとしています。
Crimson Collective:AWSクラウドを標的とする新たな脅威グループ
Crimson Collectiveは、2025年9月頃から活動が観測され始めた新興のサイバー犯罪グループです。米国のセキュリティベンダーRapid7が10月8日に公開したレポートによれば、このグループは「クラウド内での活動が観察された新たな脅威グループ」として警鐘を鳴らすべき存在とされています。
攻撃の特徴と手口
Crimson Collectiveの攻撃手法は、従来のランサムウェアとは異なる「ノーウェアランサム」(データ窃取型恐喝)に分類されます。具体的な攻撃の流れは以下の通りです。
1. 初期侵入:認証情報の不正取得 攻撃の起点となるのは、AWSアクセスキーの不正取得です。興味深いのは、攻撃者が正規のセキュリティツール「TruffleHog」を悪用している点です。TruffleHogは本来、開発者やセキュリティ担当者がコードリポジトリ内に誤って保存された認証情報を検出するためのオープンソースツールですが、Crimson Collectiveはこれを逆手に取り、AWS認証情報を探索する目的で使用しています。
2. 権限昇格:管理者権限の獲得 侵入後、攻撃者は侵害したIAMアカウントを利用して新規ユーザーを作成します。ここで重要なのは、「AdministratorAccess」ポリシーを新規ユーザーに付与することで、AWS環境全体への完全な制御権を獲得している点です。これにより、攻撃者はEC2インスタンス、EBSボリューム、RDSデータベース、VPC、セキュリティグループなど、クラウド環境のあらゆるリソースにアクセス可能となります。
3. 環境調査:詳細な情報収集 CloudTrailログの解析によれば、攻撃者はAWS環境の構成情報を網羅的に収集しています。特筆すべきは、Amazon SES(Simple Email Service)やSMSの利用上限を確認していることです。これは、被害者の環境を通じて大量のフィッシングメールやスパムメッセージを送信する二次攻撃の準備と考えられます。
4. データ窃取:機密情報の流出 RDS環境では、「ModifyDBInstance」APIを使用してデータベースのマスターパスワードを変更し、管理者権限で直接データベースにアクセスします。その後、「CreateDBSnapshot」と「StartExportTask」APIを実行してデータベースのスナップショットを作成し、S3バケットにエクスポートします。EBSボリュームについても同様の手法でスナップショットを作成し、攻撃者が独自に立ち上げたEC2インスタンスに接続してデータを窃取します。
5. 恐喝:被害企業への脅迫 データの持ち出しが完了すると、被害者に脅迫メールが送付されます。Crimson Collectiveは、被害者のAWS環境内のSESを利用して脅迫メールを送信するという巧妙な手法を用いています。これにより、攻撃者自身のインフラを露出させることなく、被害企業自身のシステムから脅迫メッセージが送られるという皮肉な状況が生まれます。
Red Hat侵害事案:Crimson Collectiveの実績と影響
任天堂への攻撃主張に先立ち、Crimson CollectiveはIBM傘下のRed Hatに対する大規模なデータ侵害を実行したとされています。Red Hatは10月2日のセキュリティアップデートで、同社コンサルティング部門が業務で使用していたGitLabインスタンスへの不正アクセスがあったことを公式に認めました。
Crimson Collectiveは、約2万8000件のリポジトリから圧縮で約570GBのデータを窃取したと主張しています。この中には約800件の顧客エンゲージメントレポートが含まれているとされ、Red Hatの顧客企業に関する機密情報が流出した可能性があります。Red Hat側は「現時点で機密性の高い顧客情報の流出は確認されていない」としつつも、セキュリティ監視を強化し、第三者機関と協力して原因究明を進めていると発表しています。
興味深いのは、Crimson CollectiveがRed Hatに対して身代金を要求したものの、同社からの返答が得られなかったため、悪名高い「ShinyHunters」のデータリークサイトに盗んだとされるデータを掲載したことです。
サイバー犯罪グループの連携:新たな脅威の進化
さらに懸念すべき展開として、Crimson Collectiveが「Scattered Lapsus$ Hunters」という他のサイバー犯罪グループと連携していることが確認されています。このグループは、過去にMicrosoftやNVIDIA、Uber、Rockstar Gamesなどの大手企業を標的としたことで知られる「Lapsus$」、MGMリゾーツやCaesars Entertainmentへの攻撃で注目された「Scattered Spider」、そして大規模なデータ漏洩で悪名高い「ShinyHunters」といった複数の脅威グループの連携体です。
この「犯罪グループの連合化」は、サイバー攻撃の脅威レベルを大幅に引き上げる可能性があります。各グループが持つ専門技術や攻撃インフラ、窃取したデータを共有することで、より高度で大規模な攻撃が可能になるためです。
情報の信頼性と報道の課題
今回の任天堂への攻撃情報について、重要な論点として「情報の信頼性」の問題があります。情報源となったHackmanacは、脅威インテリジェンスを掲げる個人主導の情報ノードであり、登記・検証・裏付けを欠く速報型CTI(Cyber Threat Intelligence)プラットフォームです。一次情報としての信頼性は限定的で、発信の多くは攻撃者の主張を基にしています。
セキュリティ専門家からは、「攻撃主張」が報道文体に変換された瞬間、「攻撃事実」へと認知が変質してしまう問題が指摘されています。「ハッカー集団が攻撃を仕掛けたとHackmanacが伝えた」という構文は、読者に「攻撃が確認された」という印象を与え、結果的に攻撃者の存在を社会的に認証してしまいます。これは「攻撃者→Hackmanac→メディア→SNS」という増幅回路(Amplification Loop)を形成し、攻撃者の交渉力や話題性を高める構造を作り出します。
実際、任天堂側からは本稿執筆時点で公式な発表や詳細な声明は出されておらず、流出を裏付ける確実な証拠も明確ではありません。産経新聞の取材に対する回答では、一部社外サーバーの改ざんは認めているものの、重要なデータの漏洩は否定しています。
日本企業を取り巻くサイバー攻撃の現状
任天堂への攻撃主張は、日本企業が直面するサイバー脅威の深刻化を象徴する事案といえます。直近では、アサヒグループホールディングスがロシア系とみられるハッカー集団「Qilin(キーリン)」のランサムウェア攻撃を受け、システム障害が発生しました。2024年5月には、印刷業務を請け負う「イセトー」で個人情報90万件超が流出するなど、日本企業への攻撃は多発しています。
IPAが発表した「情報セキュリティ10大脅威 2025」では、組織向け脅威の第1位に「ランサム攻撃による被害」が10年連続でランクインしています。第2位の「サプライチェーンや委託先を狙った攻撃」、第3位の「システムの脆弱性を突いた攻撃」も含めて、日本企業のサイバーセキュリティ態勢の強化は喫緊の課題です。
クラウド環境のセキュリティ対策
Crimson Collectiveの攻撃手法が示唆するのは、クラウド環境特有のセキュリティリスクです。AWSは日本企業の多くが採用しており、ガバメントクラウドでも最大のシェアを占めています。このため、AWS環境を標的とするCrimson Collectiveの攻撃手法は、国内の広範な企業や組織に影響を及ぼす可能性があります。
Rapid7は、以下のセキュリティ対策を推奨しています。
- 長期利用のアクセスキーを避け、一時的な認証情報を使ったIAMロールの利用
- 最小権限の原則の適用
- 異常なAPI呼び出しや不審なアカウント作成の監視体制の構築
- ソースコードリポジトリの認証情報スキャンの実施
- 重要リソースへのアクセスを特定のIPアドレスに制限する設定の導入
特に重要なのは、CloudTrailやGuardDutyといったAWSネイティブのセキュリティサービスを活用した継続的な監視です。TruffleHogのような正規ツールが悪用される現状を考えると、ツールのユーザーエージェントを含むログの詳細な分析も必要となります。
まとめ:情報の真偽と企業の対応
任天堂への攻撃については、攻撃者の主張と企業側の公式回答に乖離があり、真相は依然として不透明です。しかし、Crimson Collectiveが実際にRed Hatを侵害したとされる事実や、その高度な攻撃手法、そして複数のサイバー犯罪グループとの連携という状況を考えれば、このグループが現実的な脅威であることは間違いありません。
企業側に求められるのは、速報的な攻撃主張に過剰反応することなく、冷静に事実確認を行い、必要に応じて適切な情報開示を行うことです。同時に、クラウド環境のセキュリティ対策を再点検し、IAM権限の管理、ログ監視、アクセス制御の強化といった基本的な対策を徹底することが不可欠です。
報道機関やセキュリティコミュニティにとっても、攻撃者の主張をそのまま事実として報じるのではなく、情報源の信頼性を明示し、検証可能な証拠に基づいた報道を行うことの重要性が、今回の事案から改めて浮き彫りになりました。サイバー攻撃が情報戦のフェーズに入った現代において、情報の真偽だけでなく、情報が誰を利するかを考える視点が、報道とセキュリティの両面で求められています。