スウェーデンの通信大手エリクソンの米国子会社であるエリクソン・インクは、従業員および顧客15,661人に属する機密個人および財務情報を流出させたデータ漏洩を開示しました。
この事件はエリクソンの内部インフラの侵害によるものではなく、むしろエリクソンの米国事業に関連する機密データの処理と保存を担当するサードパーティサービスプロバイダーでのセキュリティ侵害によるものでした。
脅威アクターは「ビッシング」(音声フィッシング)攻撃を通じてベンダーのシステムへのアクセスに成功しました。これは、攻撃者が電話で信頼できる人物になりすまし、従業員にログイン認証情報を明かしたりシステムアクセスを許可させたりするソーシャルエンジニアリング戦術です。
この手法を使用して、攻撃者はベンダーのシステムに侵入し、2025年4月17日から4月22日の間にファイルにアクセスすることができました。
不正なアクティビティは、サービスプロバイダーが2025年4月28日に疑わしい動作を発見するまで、数日間検出されませんでした。
発見後、ベンダーは内部調査を開始し、外部のサイバーセキュリティ専門家を招聘して、侵害の範囲と潜在的に流出したデータのタイプを特定しました。
ベンダーによる早期検出にもかかわらず、エリクソンは2025年11月10日まで漏洩について正式に通知されませんでした。
影響を受けた個人と流出した正確な情報を特定するための詳細なフォレンジック調査とデータレビュープロセスが数ヶ月間続きました。分析は2026年2月23日に完了しました。
この漏洩により、エリクソンの従業員および顧客に属する幅広い機密個人情報が流出しました。
攻撃者がこの情報にアクセスしましたが、盗まれたデータが悪用されたまたは公開されたという証拠は現在のところありません。
漏洩の発見後、エリクソンと影響を受けたサービスプロバイダーの両者は、事件の封じ込めとセキュリティ防御の強化のためにいくつかの措置を実施しました。
この事件は、サプライチェーンおよびサードパーティベンダー関係に関連する増加するリスクを強調しています。
大企業が強力な内部セキュリティ防御を維持している場合でも、攻撃者はより弱いセキュリティコントロールを持つ可能性がある外部パートナーをターゲットにすることができます。