従業員向け福利厚生やバックオフィス業務を扱うアウトソーシング大手Conduentがサイバー犯罪者に侵害されたことで、約17,000人のボルボ従業員の個人データが漏えいした。
メイン州司法長官への提出書類によると、ボルボ・グループ・ノースアメリカは1月下旬、Conduentが運用するシステムを通じて従業員データが露出していたことを把握した。開示では、米国全土で16,991人が影響を受け、うちメイン州では3人が該当すると確認されている。
影響を受けた人々に送付された書簡には、侵入者が2024年10月21日から2025年1月13日までの間、Conduentのシステムにアクセスしていたと記されており、その数か月にわたる期間中に、従業員の現行または過去の健康保険プランに関連するファイルを吸い上げていたという。
Conduentは、侵入を2025年1月に発見し、システムをロックダウンしてフォレンジック調査員を投入したとしている。ボルボは、従業員がこの余波に巻き込まれたことを確認した日付として2026年1月21日を挙げている。これはConduentが侵入を最初に察知してから丸1年後であり、ベンダーが関与する侵害では、どの企業の誰が影響を受け、誰が顧客へ通知すべきかを突き止める作業により、収拾までに数か月を要し得ることを浮き彫りにしている。
書簡によれば氏名が漏えいし、その他のデータ要素は個人によって異なるというが、Conduentは他に何が侵害されたのかを明らかにしていない。Conduentは、盗まれたデータがこれまで悪用された証拠はないとしているものの、影響を受けた従業員には身元監視サービスが提供されている――業界的には、雨が降り始めてから傘を配るようなものだ。
ボルボの開示は、拡大し続ける侵害の一片にすぎない。最近の報道によれば、Conduentとその顧客が膨大なデータを精査する中で、規制当局は被害者数を着実に上方修正している。更新された州への提出書類は、この侵害が現在では数千万の米国人に影響し得ることを示唆している。その多くは、Conduentがメディケイド、失業給付プログラム、養育費支援サービス、雇用主の福利厚生に関連するシステムを扱っていることに起因する。
この侵入はSafePayランサムウェア集団に公に関連付けられており、同集団は複数テラバイトのデータを盗んだと主張しているが、Conduentは帰属(アトリビューション)を確認していない。疑いようがないのは、攻撃者が国内でも最も機微な個人データの一部を扱うシステム内に約3か月間居座り、その後、企業および公共部門の顧客全体で今なお展開中の開示混乱を残して去ったという点だ。
ボルボは自社ネットワークへの直接侵入は免れたかもしれないが、第三者侵害との遭遇が今回が初めてではない。昨年、同社は、スウェーデンの人事ソフトウェア供給元Miljödata(自動車メーカーが使用する人員管理およびリハビリテーションシステムを提供)にランサムウェア犯罪者が侵入した後、個人データが露出したとして従業員に警告した。この事件はDataCarryランサムウェア集団が犯行声明を出しており、氏名や社会保障番号を含む情報が漏えいした。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/10/conduent_volvo_breach/
