15,661人のエリクソン・インク社の従業員と顧客に影響を及ぼすデータ漏洩が、同社が使用していたサードパーティ・サービス・プロバイダーを攻撃者が侵害したことで明らかになった。
この事件は、個人情報を含むファイルへの無許可アクセスが含まれており、米国の州当局に提出された漏洩通知によると記載されている。
エリクソン・インク社はスウェーデンの電気通信およびネットワークス企業Telefonaktiebolaget LM Ericssonの米国子会社である。ストックホルムに本社を置く同社は世界中に約90,000人を雇用し、通信事業者に対してネットワーク・インフラストラクチャ、ソフトウェア、およびサービスを提供している。
漏洩は2025年4月28日に報告されており、サービスプロバイダーがそのシステムで疑わしいアクティビティを検出した。調査官は後に、2025年4月17日から4月22日の間にファイルが許可なくアクセスされた可能性があることを確認した。
調査と事件の範囲
エリクソン・インク社は外部のサイバーセキュリティ専門家の支援を受けて調査を開始し、FBIにも通知した。潜在的に影響を受けたファイルの詳細な見直しは2月23日に完了し、エリクソンの従業員と顧客に属する個人情報が暴露されていることを確認した。
「調査に基づいて、当社のサービスプロバイダーは、限定的なファイルの一部が許可なくアクセスまたは取得された可能性があると判断しました」と同社は述べた。「調査の一環として、潜在的に影響を受けたファイルの包括的な見直しを実施するために、外部データ専門家を雇用しました。」
データ漏洩についてもっと読む:2025年の10大データ漏洩罰金と和解
3月9日のテキサス州司法長官への届出により、4,377人の州民がこの影響を受けたことが示された。影響を受けた個人の総数は15,661人であるが、エリクソンは調査官が盗まれた情報の悪用の証拠を特定していないことを指摘した。
潜在的に流出した可能性のあるデータの種類は以下の通り:
-
名前と住所
-
社会保障番号
-
運転免許証または政府発行の身分証明書番号
-
銀行番号またはカード番号などの財務情報
-
医療情報および生年月日
提供されている本人確認保護措置
エリクソンは漏洩は自社のシステム内ではなく、特定の従業員および顧客データを保存する責任を負うベンダーで発生したと述べた。同社は関係するサービスプロバイダーの身元を明かしていない。
現在のところ、いかなるサイバー犯罪グループもこのデータ漏洩の責任を公然と主張していない。
影響を受けた方々を支援するため、エリクソンはIDXを通じて無料の本人確認保護サービスを提供している。これには、クレジット監視、ダークウェブ監視、詐欺回復支援、および6月9日までに登録した個人向けの100万ドルの詐欺返金ポリシーが含まれている。
「当社のサービスプロバイダーから、事件発生後、潜在的に影響を受けたいかなる情報の悪用の証拠がないと通知されていることをご了解ください」と同社は通知書で述べた。
画像クレジット:davide bonaldo / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/ericsson-breach-exposes-data-15k/
