出典:Heidi Besen(Alamy Stock Photoより)
ボルボ・グループ・ノースアメリカ(Volvo NA)は、サードパーティの人事(HR)ソフトウェアプロバイダーを通じて侵害されました。
この事件の根本には、スウェーデンの業務用SaaS企業であるMiljödata(ミリョデータ)があり、同社のクラウドインフラが8月に侵害されました。その集中型マルチテナント構成のため、数百社の顧客と数百万人の個人が影響を受けています。親会社がスウェーデンにあるVolvo NAも、最近従業員向けに送った書簡で被害者の一つであることを明らかにしました。
他のMiljödataの顧客と同様に、Volvo NAのシステム自体は攻撃の影響を受けていません。しかし、従業員の氏名と社会保障番号(SSN)が盗まれ、ダークウェブに公開された可能性があります。同社のウェブサイトによると、Volvo NAの従業員数は約2万人です。
「自治体、大学、そしてボルボのような大企業にとって、これは単なるセキュリティの問題ではなく、信頼性の問題です」とRadiant Logicのプロダクトマーケティング担当副社長、Anders Askasen氏は述べています。「人々は、自分たちの最も機密性の高いデータを扱うシステムが本当に目的に適しているのか疑問を持つようになり、それには十分な理由があります。この信頼の喪失は、情報漏洩自体と同じくらい深刻です。」
Miljödataインシデント
Miljödataはスウェーデン全土に広く展開しています。例えば、同社はスウェーデンの自治体の約80%にサービスを提供しています。その提供サービスの一つが「Adato」で、従業員の病欠やリハビリプロセスの記録・管理プラットフォームです。
8月20日、いわゆる「DataCarry」ランサムウェアグループがMiljödataのクラウドインフラに侵入しました。同社が攻撃を発見したのは3日後でした。脅威アクターは1.5ビットコイン(記事執筆時点で約16万5,000ドル)の身代金を要求しました。9月12日には盗んだデータをダークウェブに公開すると警告し、その数時間後に実際に公開しました。
この攻撃はMiljödataだけでなく、同社の顧客にも影響を及ぼしました。顧客はAdatoのようなプラットフォームをクラウドで利用する傾向があるため、すべてのデータはMiljödataが管理しています。地元メディアによると、複数の大学、少なくとも25社の企業、164の自治体、そして150万人以上の個人が影響を受けました。
この漏洩は非常に深刻で、全体的に見れば、Volvo NAの従業員はまだ比較的幸運だったと言えるかもしれません。他の被害組織の従業員は、氏名や個人識別番号(スウェーデン版SSN)だけでなく、性別、生年月日、雇用情報、電話番号、自宅住所、87万100通のメールアドレスなど、さまざまな個人情報(PII)も失いました。
スウェーデン現地では、Askasen氏は「この漏洩は、ここ数年でスウェーデンの公共部門を襲った中でも最も混乱をもたらしたものの一つです。100万人以上の市民が個人識別番号、連絡先、雇用記録が犯罪フォーラムで流通していることを知れば、デジタル政府を支える社会契約に直接的な打撃を与えます。特にスウェーデンのような高税率社会では、公的機関への信頼は絶対的でなければなりません」と述べています。
ステランティス、ジャガーも攻撃被害
Volvo NAに影響を与えたAdatoインシデントから数週間以内に、他の2つの自動車製造大手も、同様のサプライチェーン型サイバー攻撃の被害に遭いました。
9月21日、ShinyHuntersグループが、クライスラー、ダッジ、ジープなどの一般向けブランドや、アルファロメオ、マセラティなどの高級ブランドを持つステランティスのSalesforceインスタンスに侵入しました。彼らは顧客の氏名や連絡先情報を盗んだと主張しています。
8月31日には、「Scattered Lapsus$ Hunters」— ShinyHunters、Scattered Spider、Lapsus$グループのハッカーによる協力体制—がジャガー・ランドローバー(JLR)を攻撃しました。これにより、翌日には同社が生産を停止する事態となりました。実際、工場ラインは数週間にわたり停止し、従業員は自宅待機を指示されました。最終的に月末近くになって、同社は段階的な復旧を開始したと発表しました。
JLRの事例は、自動車メーカーへの攻撃がもたらす影響を最もよく示しました。イギリスの同社には政府も関与し、英国首相キア・スターマー氏はBBCに対し「JLRに依存する多くのサプライヤーを支援するため、24時間体制で取り組んでいる」と述べました。「私はこの状況の緊急性と、多くの企業が直面している困難を痛感しています」とも語っています。
ボルボの場合、業務への影響はなかったものの、Askasen氏は同社や従業員、さらにはスウェーデン全体にとっても深刻な結果をもたらす可能性があると述べています。
「ボルボにとって、これは従業員のプライバシーだけの問題ではなく、国家の競争力にも関わる問題です」と彼は言います。「従業員の身元情報の漏洩は詐欺リスクを生み出しますが、業務や人事システムの漏洩はスウェーデン産業の強靭性に対する信頼も損ないます。自動車製造は国家のサプライチェーンや経済全体と深く結びついているのです。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/volvo-employee-ssns-stolen-ransomware-attack
