ボルボ北米、HRソフトサプライヤー「Miljödata」へのサイバー攻撃で人事情報が漏洩

セキュリティニュース

投稿日時: 更新日時:

ボルボ北米、HRソフトサプライヤー「Miljödata」へのサイバー攻撃で人事情報が漏洩

2025年10月1日、ボルボ・グループ・ノースアメリカ(以下、ボルボ北米)は、人的資源(HR)ソフトを提供する第三者サプライヤー「Miljödata」の侵害に起因して、現・元従業員の個人情報が不正アクセスを受けたことを明らかにしました。各報道によれば、侵害によって氏名や社会保障番号(SSN)が流出した可能性があり、米国の従業員を中心に、一部カナダ在住者を含む可能性も指摘されています。

供給網(サプライチェーン)を狙う攻撃の典型例であり、自社の境界を超えたリスク管理の難しさが改めて浮き彫りになりました。

何が起きたのか:サプライヤーのHR基盤「Adato」が標的に

被害の出発点は、Miljödataが提供する休業・リハビリ・予防措置等の管理システム「Adato」です。
複数の報道・通知文書を総合すると、以下の流れが確認できます。

  • 8月20日:Miljödata側の環境に不正アクセスが発生。以降、氏名・SSNを含むデータへのアクセスがあったことが後に判明。

  • 8月23日:Miljödataが異常なネットワーク活動を検知。

  • 9月2日:Miljödataが顧客データにも影響が及んだ可能性をボルボ側へ通知。

  • 9月24日:ボルボ北米はマサチューセッツ州司法長官に届出を行い、影響が確認された個人への通知レター送付を開始。

攻撃についてはランサムウェアであることが報じられ、「DataCarry」を名乗る攻撃グループが犯行声明を出したとする情報も出ています。

Miljödataはスウェーデン国内の自治体・大学・医療・大規模民間などで広く採用されており、他組織にも連鎖的な影響が及んだ可能性が指摘されています(規模については報道に幅があり、最大150万人規模に触れるものもありますが、ボルボ北米としての正式な人数は未公表です)。

流出した可能性のある情報

  • 氏名(フルネーム)

  • 社会保障番号(SSN)
    ※報道によっては、電話番号・メールアドレス・生年月日など追加の個人識別情報に触れるものもありますが、ボルボ北米の公式通知では氏名とSSNが中心です。

ボルボ北米とMiljödataの対応

  • 事故調査の実施:ボルボ北米とMiljödataは、外部のサイバーセキュリティ企業の支援を受けて侵害範囲と原因を調査しています。

  • 関係当局への届出:米国の規制当局へのデータ侵害通知を実施。

  • 個別通知と保護措置:影響が確認された従業員(現・元)への書面通知を開始し、クレジット監視や本人確認保護(報道では最大2年間のモニタリング提供に言及)などの支援策を案内しています。

  • 自社ネットワークへの影響:ボルボ北米は自社のコアネットワークは直接侵害されていないとの見解を示しています。ただし、HRデータの第三者保管という性質上、供給網経由の情報リスクが顕在化しました。

サプライチェーン・リスクの教訓

今回の事案は、第三者委託先のセキュリティ水準が全体の強度を決めるという現代的な教訓を再確認させるものです。

  • 最小化(データミニマイゼーション):委託先にどこまでの個人情報を保管させるのか保存期間は適切かを再設計する必要があります。

  • ゼロトラスト/継続的監視ベンダー接続の常時監視アクセス制御の細分化異常検知の強化が不可欠です。

  • 契約・監査セキュリティ要件を契約に明記し、年次監査・是正要求を仕組み化します。暗号化、バックアップ、ログ保全、インシデント対応SLAなどを具体的に条文化すべきです。

  • 共有責任の明確化:インシデント時の通知・原因究明・再発防止の役割分担を、事前にランブックとして合意しておくことが重要です。

法的動き:被害者支援と集団的請求の可能性

Levi & Korsinsky, LLPなどの消費者保護系法律事務所が、今回の流出で影響を受けた個人に対する調査・相談窓口の開設を告知しています。該当者は通知レターの保管時系列のメモ不正利用の証跡などエビデンス管理を行い、必要に応じて各州のAG(司法長官)窓口やFTCへの届け出、法的助言の取得を検討してください。