スウェーデンの通信大手の米国子会社であるエリクソン・インクは、従業員と顧客15,661人に影響する個人情報漏洩を確認しました。
今回のセキュリティ事件はエリクソン自身のネットワークを侵害したものではなく、同社の機密個人データを扱う責任を持つサードパーティサービスプロバイダーを侵害したものです。
事件の詳細と攻撃ベクトル
この漏洩はエリクソンの米国事業をサポートする名前のないサービスプロバイダーへの攻撃に遡ります。
脅威行為者は「ビッシング」(音声フィッシング)攻撃を使用してベンダーを正常に侵害しました。これは、攻撃者が従業員に電話で欺瞞してシステムアクセスを与えさせるソーシャルエンジニアリング技術です。
このコンプロマイズされたアクセスを通じて、攻撃者は2025年4月17日から2025年4月22日の間、ベンダーのファイルに侵入しました。
ベンダーは2025年4月28日に不審なアクティビティを発見し、外部のサイバーセキュリティ専門家とともに直ちに内部調査を開始しました。
しかし、エリクソンが個人情報漏洩について正式に通知されたのは2025年11月10日のことでした。
被害者と正確な漏洩データを特定するための長期かつ包括的なレビュープロセスは2026年2月23日に完了しました。
- フルネーム、住所、生年月日。
- 社会保障番号(SSN)と運転免許証番号。
- パスポートと州身分証明書を含む政府発行のID。
- 銀行口座番号とクレジットまたはデビットカードの詳細などの財務データ。
- 機密医療情報。
緩和策とセキュリティ対応
ランサムウェアグループが攻撃の責任を主張しておらず、現在のところデータ悪用の証拠がありませんが、エリクソンとそのベンダーは脅威を封じ込めるために複数の手段を講じています:
- 執行機関の関与: サードパーティベンダーは脅威行為者の追跡を支援するため、直ちに連邦捜査局(FBI)に通知しました。
- システム強化: ベンダーは強制パスワードリセットを実施し、強化されたセキュリティ対策を実装し、将来のソーシャルエンジニアリング攻撃を防ぐためにスタッフのサイバーセキュリティトレーニングを拡充しました。
- 身分保護: エリクソンは影響を受けた個人にIDXを通じた無料の身分保護を提供しています。このサービスにはダークウェブ監視、クレジット監視、および100万ドルの身分詐欺損失払い戻し保険が含まれています。影響を受けたユーザーはこれらのメリットを受けるために2026年6月9日までに登録する必要があります。
この事件はサプライチェーンとサードパーティベンダーに関連する増加しているサイバーセキュリティリスクを強調しています。
エリクソンのような大企業が内部システムを保護している場合でも、攻撃者はビッシングのような単純だが効果的な戦術を使用してサプライチェーンの弱いリンクを悪用できます。
盗まれたデータはこれらの漏洩からダークウェブで数ヶ月間静かに流通してから、犯罪者がそれを身分盗用または詐欺に使用する可能性があるため、組織は警戒を続ける必要があります。
この漏洩の影響を受けた従業員と顧客は、銀行口座を監視し、クレジットプロフィールに詐欺警告を配置することを強くお勧めします。
翻訳元: https://gbhackers.com/ericsson-us-hit-by-cyber-attack/
