エリクソンのサービスプロバイダーを標的としたボイスフィッシング詐欺により、攻撃者が従業員を説き落としてアクセス権を渡させた結果、15,000人以上の個人データが流出した。
米国の州規制当局への申告で明かされたこのインシデントは、2025年4月にさかのぼり、エリクソンの米国事業を支援する無名のサードパーティベンダーの単一の従業員を標的とした犯人グループが関与していた。
同社の開示によると、サービスプロバイダーは2025年4月28日に「ボイスフィッシング」インシデント、つまり電話による詐欺的な社会工学を検出した後、侵害を発見した。サードパーティは後に、攻撃者が4月17日から4月22日の間にデータにアクセスした可能性があることを確認した。
アラームが鳴ると、ベンダーは外部のサイバーセキュリティ専門家を招き入れ、パスワードをリセットさせ、FBIに通知し、呼び出し元が何を手に入れたかについての調査を開始した。
スウェーデンのネットワーク・通信大手の米国部門であるエリクソンは、数ヶ月後になってこのインシデントについて聞いた。サービスプロバイダーは2025年11月10日に、同社に関連したデータが侵害に巻き込まれたことをエリクソンに通知した。
そこから侵害対応の遅い段階が始まった:誰の情報が流出した可能性があるかを正確に把握し、それらの個人の連絡先を追跡すること。そのプロセスは2026年2月23日に終了し、エリクソンは今週15,661人が影響を受けたことを確認した。
メイン州の司法長官への申告は、流出したデータに名前と社会保障番号が含まれる可能性があると述べているが、テキサス州の規制当局に提出された別の開示は、獲得物がかなり大きい可能性があることを示唆している。
テキサス州の申告によると、その州だけで4,377人が影響を受け、漏洩したデータには名前、住所、社会保障番号、運転免許証番号、およびパスポートや州IDなどの他の政府発行のIDが含まれる可能性がある。
場合によっては、流出したレコードに銀行口座やペイメントカード番号などの財務情報、および医療情報と生年月日が含まれることもある。
エリクソンは、盗まれた情報が悪用された証拠がまだ見られていないと述べているが、影響を受けた個人には12ヶ月のクレジット監視が提供されており、銀行口座、信用報告書、および疑わしい行動を始める可能性のあるその他のものを注視し続けるようにアドバイスされている。
開示によると、関係するベンダーは侵害以来、新しいセーフガードと追加のスタッフトレーニングを追加している。このケースが示すように、ネットワークの弱点はソフトウェアではなく、電話に応答する人であることもある。®
