Volvo従業員データ漏洩の真相：Conduent経由で拡大するサプライチェーン攻撃の脅威

2026年2月10日、The Registerが報じたところによると、アウトソーシング企業Conduentへのサイバー攻撃により、Volvo Group North Americaの従業員16,991人の個人データが漏洩した。

メイン州司法長官への届出によると、侵入者は2024年10月21日から2025年1月13日の間、Conduentのシステムにアクセスし、従業員の健康保険プランに関連するファイルを取得した。Conduentは2025年1月に侵入を発見し、Volvoは2026年1月21日に影響を確認した。漏洩したデータには氏名が含まれる。

報道では、この侵入はSafePay ransomwareグループにリンクしている。Conduentは数千万人のアメリカ人に影響を与える可能性のある規模で、Medicaid、失業プログラム、雇用主の福利厚生などのシステムを扱う。

Volvoは昨年もスウェーデンのHRソフトウェアサプライヤーMiljödataを経由した侵害で、DataCarry ransomwareグループによる個人データ漏洩を経験している。

From: Nearly 17000 Volvo staff dinged in supplier breach – The Register

【編集部解説】

今回のVolvo従業員データ漏洩は、表面上は17,000人規模の事案に見えますが、実際には2025年最大級のサイバーセキュリティ事件の氷山の一角です。

Conduentは米国46州で約1億2,000万人の受給者をサポートする政府系サービスプロバイダーで、Medicaidや失業給付、児童養育費など社会的セーフティネットの基盤システムを運用しています。この一社が侵害されたことで、医療保険会社、政府機関、そして今回のVolvoのような民間企業まで、連鎖的に影響が広がりました。

被害規模は時間とともに拡大し続けています。当初10.5百万人と報告されていた被害者数は、2026年2月時点でテキサス州だけで15.4百万人に修正され、最終的には数千万人に達する可能性があります。

攻撃を仕掛けたのは、LockBit 3.0のソースコードを基盤とするSafePay ransomwareグループです。このグループは2024年11月時点で22件の被害を公表していましたが、2025年7月には200以上の組織を標的にするまで急成長しました。SafePayは8.5テラバイトものデータを窃取したと主張しており、データ暗号化と窃取データの公開を組み合わせた「二重恐喝」戦術を展開しています。

特筆すべきは、発見から被害確認までの時間の長さです。Conduentが侵入を検知したのは2025年1月13日ですが、Volvoが自社従業員への影響を確認したのは2026年1月21日、つまり丸1年後でした。サプライチェーン攻撃では、誰が影響を受けたかを特定するだけで膨大な時間を要します。

2025年にはサプライチェーン攻撃が通常の2倍の頻度で発生しており、サードパーティリスク管理（TPRM）の重要性が高まっています。オーストラリアの調査では、サードパーティのサイバーインシデントが組織全体のインシデントの44%を占めるという報告があり、外部委託先のリスクが深刻化しています。

Volvoにとって、これは2年連続でサプライチェーン経由の漏洩事案となります。昨年はスウェーデンのHRソフトウェアサプライヤーMiljödataを介してDataCarry ransomwareグループによる攻撃を受けました。自社のセキュリティを強化しても、委託先のセキュリティが脆弱であれば防げないという構造的課題が浮き彫りになっています。

この事件は、デジタル化が進むほど相互依存が深まり、一つの弱点が社会全体のリスクになり得ることを示しています。特に政府サービスや医療データを扱う事業者への攻撃は、個人の生活基盤を直接脅かすため、今後さらに厳格な監視と規制が求められるでしょう。

【用語解説】

ランサムウェア
データを暗号化して身代金を要求するマルウェアの一種。近年は暗号化に加えてデータを窃取し、公開すると脅迫する「二重恐喝」手法が主流となっている。

SafePay ransomware
LockBit 3.0のソースコードを基盤とするランサムウェアグループ。2024年末から活動を開始し、2025年には200以上の組織を標的とした。今回のConduent攻撃では8.5テラバイトのデータ窃取を主張している。

サプライチェーン攻撃
直接の攻撃対象ではなく、取引先や委託先などサプライチェーン上の脆弱な企業を経由して本命の組織にアクセスする攻撃手法。一つの侵害が連鎖的に多数の企業や組織に影響を及ぼす。

サードパーティリスク管理（TPRM）
Third-Party Risk Managementの略。自社が業務委託する外部企業（サードパーティ）のセキュリティリスクを評価・管理する取り組み。サプライチェーン攻撃の増加に伴い重要性が高まっている。

Medicaid
米国の低所得者や障害者向け公的医療保険制度。連邦政府と州政府が共同で運営し、約7,200万人が加入している。Conduentは多くの州でMedicaid関連システムの運用を受託している。

LockBit 3.0
2022年に登場したランサムウェア・アズ・ア・サービス（RaaS）プラットフォーム。2024年に法執行機関によって摘発されたが、ソースコードが流出し、SafePayなど派生グループが活動を継続している。

【参考リンク】

Conduent（外部）
政府機関や企業向けBPOサービスを提供。米国46州で約1億2,000万人をサポートし、Medicaidや失業給付のシステムを運用する。

Volvo Group（外部）
スウェーデン本社の世界有数の商用車メーカー。トラック、バス、建設機械を製造。今回影響を受けたのは北米法人の従業員。

The Register（外部）
1994年創刊の英国IT専門ニュースメディア。エンタープライズIT、サイバーセキュリティを専門的に報道する。

【参考記事】

Conduent Ransomware Attack: SafePay Gang Exfiltrates 8.5TB of Data（外部）
SafePay ransomwareグループがConduentから8.5テラバイトを窃取し、10.5百万人以上に影響を与えた攻撃の詳細を報告。

Data breach at govtech giant Conduent balloons（外部）
Conduentのデータ侵害が拡大継続。テキサス州だけで15.4百万人が影響を受け、被害者総数は数千万人に達する可能性。

SafePay ransomware: Obscure group uses LockBit builder（外部）
SafePay ransomwareグループの詳細分析。LockBit 3.0ビルダーを使用し、2024年11月時点で22件の被害を公表。

Supply Chain Attacks Surge In 2025: Double the Usual Rate（外部）
2025年にサプライチェーン攻撃が通常の2倍の頻度で発生していることを報告。サードパーティリスク管理の重要性を強調。

Volvo Group North America customer data exposed in Conduent hack（外部）
Volvo Group North Americaが16,991人の従業員データ漏洩を確認。侵入発見から影響確認まで1年かかった点を指摘。

【編集部後記】

今回の事案を見て、「自社は大丈夫だろうか」と感じた方も多いのではないでしょうか。Volvoほどの企業でも、委託先経由で2年連続の漏洩に見舞われています。私たち一人ひとりも、どこかで誰かのシステムにデータを預けているはずです。

あなたの会社は取引先のセキュリティ対策をどこまで把握していますか？個人としても、サービスを選ぶ際にセキュリティ体制を確認していますか？完璧な防御は難しいかもしれませんが、リスクを知り、備える姿勢が大切だと感じています。みなさんはこの問題をどう捉えますか？