概要:相次ぐデータ侵害
北米のボルボ・グループが、ビジネスプロセスアウトソーシング大手であるコンデュエント社のシステム侵害により、顧客データの間接的な流出に見舞われたことが明らかになりました。この事件では約1万7千人の顧客および従業員の個人情報が影響を受けています。さらにボルボ・グループ北米は、別のサプライヤーであるMiljödataを介した最近のデータ侵害も経験しており、セキュリティ対策におけるサプライチェーンリスクの深刻さが浮き彫りになっています。
コンデュエント社のデータ侵害詳細
コンデュエント社は、2024年10月21日から2025年1月13日の間に発生したセキュリティ侵害を2025年後半に公表していました。この事件により、脅威アクターによって氏名、社会保障番号(SSN)、生年月日、健康保険証の詳細、ID番号、医療情報が盗まれました。コンデュエント社は影響を受けた個人の正確な数はまだ特定していませんが、以前にはオレゴン州で1050万人、テキサス州で1550万人が影響を受けたと開示しています。
ボルボ・グループ北米の対応と影響
コンデュエント社は現在、影響を受けたボルボ・グループ北米の顧客および従業員に対し、通知を送付しています。通知を受けた方々には、少なくとも1年間の無料の身元監視サービス、クレジット監視、ダークウェブ監視、身元回復支援が提供されます。また、信用情報機関に詐欺警報を設定するか、セキュリティ凍結を行うことも推奨されています。
続く第三者サプライヤー経由の侵害
ボルボ・グループ北米は、コンデュエント社の事件とは別に、2025年8月にITサービスサプライヤーであるMiljödataの侵害により、氏名と社会保障番号などのスタッフデータが流出する事件にも見舞われています。この事件では、スウェーデンおよび米国のボルボ・グループ従業員を含む約150万人の情報が影響を受けました。
過去の関連事例
ボルボ・グループとは異なる独立した企業であるボルボ・カーズも、2021年にハッカーによるセキュリティ侵害を受け、研究開発データが盗まれる事件が発生しています。この攻撃は「Snatch」データ恐喝グループによって主張され、盗まれたファイルは彼らの恐喝ポータルで公開されました。