ディスニーのSlackへ不正アクセスし情報漏洩させたハッカーが有罪に

米ロサンゼルス連邦地検は2025年5月1日、ウォルト・ディズニー・カンパニーの従業員を標的とした大規模な情報漏えい事件で、カリフォルニア州サンタクラリタ在住のライアン・ミッチェル・クレイマー被告（25歳）が不正アクセスと脅迫の罪で有罪答弁に合意したと発表しました。

事件は2024年4月〜5月にかけて発生し、従業員のSlackアカウントを通じて約1.1テラバイトに及ぶディズニー社内の非公開データが窃取されたとされています。

GitHubに仕込まれた“偽のAIツール”から始まったサイバー犯罪

捜査当局によると、クレイマー被告はAI画像生成ツールを装った悪意あるソフトウェアをGitHubなどで公開。

ユーザーがこれをダウンロードすると、マルウェアが仕込まれており、利用者のコンピュータやアカウントへの不正アクセスが可能となる仕組みでした。

このマルウェアを通じ、ディズニー従業員の個人端末に保存された認証情報を盗み出し、従業員になりすましてSlackの非公開チャンネルへアクセス。不正に取得されたデータは以下を含むとみられています

• 社内Slack約10,000チャンネルのメッセージ・添付ファイル

• 未発表プロジェクトの情報

• ソースコードや内部API

• ログイン認証情報や内部Webリンク

「NullBulge」名義で脅迫、データを公開

クレイマー被告は2024年7月、被害者となった従業員に対し、架空のロシア系ハッカー集団「NullBulge（ヌルバルジ）」を名乗って脅迫メッセージを送信。Discordやメールで、ディズニーのデータや従業員の個人情報を公開すると通告しました。

この脅迫に従業員が応じなかったため、2024年7月12日には実際に1.1TB相当のデータが複数のオンラインプラットフォームで公開され、同時に被害者の銀行情報・医療情報・その他個人情報も晒される形となりました。

なお、ディズニー社は当時、Slackの使用を停止・見直しする方針を検討していたと報じられています。

同様の手口で他のAI利用者も標的に

クレイマー被告のマルウェアには、他にも少なくとも2人のユーザーが感染していたことが確認されており、そのうちの一部はAIアートツール「Stable Diffusion」のユーザーであった可能性が高いとみられています。

背景には、ハッカーが「AIによる芸術は創造性を損なう」とする思想を掲げていたことがあり、AI業界に対する敵意が動機の一部だったとも指摘されています。

最大10年の実刑も　今後の処罰と捜査

今回、クレイマー被告は以下の2つの罪状に対し有罪答弁に同意しています：

1. 不正アクセスおよび情報の取得（Accessing a Computer and Obtaining Information）

2. 保護されたコンピュータに対する損害の脅迫（Threatening to Damage a Protected Computer）

いずれも連邦刑法により最大5年の懲役刑が科される可能性があり、合わせて最大10年の実刑判決となる可能性があります。被告は今後、ロサンゼルス連邦地裁で正式な罪状認否が行われる予定です。

この事件はFBIのサイバー犯罪チームが捜査を主導しており、今後も同様のマルウェア被害や情報流出の実態解明が進められる見通しです。