米国のビジネスサービス大手Conduentは、2024年のデータ侵害により1,050万人以上に影響があったことを、米国司法長官事務所に提出した通知で確認しました。

Conduentは、政府や企業向けにデジタルプラットフォームやサービスを提供する米国のビジネスプロセスアウトソーシング（BPO）企業です。同社は2017年にXeroxから分社化され、現在22カ国で56,000人を雇用し、年間売上高は34億ドルにのぼります。

同社は今月、影響を受けた個人に対しデータ侵害通知の送付を開始しており、オレゴン州政府が報告した数が最大で、1,050万人が影響を受けたとされています。

さらに、テキサス州司法長官のサイトで共有されたデータ侵害通知では400万人、ワシントン州で7万6千人、メイン州で数百人が影響を受けたと報告されています。

Conduentは他にも複数の州にサービスを提供しており、具体的なデータ侵害件数が公表されていないため、実際の影響はさらに大きい可能性があります。

データ侵害通知によると、氏名、社会保障番号、生年月日、健康保険のポリシー番号またはID番号、医療情報などが流出したとされています。

Conduentの通知では、2025年10月24日時点で流出データが「悪用された証拠はない」としています。

BleepingComputerは、全米で影響を受けた正確な人数を知るためConduentに問い合わせており、回答があり次第、本記事を更新します。

年初には、Conduentがサービス停止を経験し、後にサイバーセキュリティインシデントが原因であったことを認めました。攻撃の背後にいた脅威アクターは明かされていませんが、Safepayランサムウェア集団が2月下旬に犯行声明を出しました。

4月には、同社がSECへのForm 8-K提出で、脅威アクターが顧客情報および顧客のクライアントのデータを含むファイルをシステムから盗み出したことを明らかにしました。

データ侵害の範囲を調査した結果、今回の攻撃が数百万人に影響を与えたことが判明しました。さらに、この侵害は2025年1月に発見されましたが、環境はそれよりずっと前の2024年10月21日に侵害されていたことも分かっています。

通知を受け取った方には、信用情報の取得や詐欺警告・セキュリティフリーズの設定が推奨されていますが、今回はID盗難保護や信用監視サービスの提供はありませんでした。