世界規模の食品会社で個人情報が漏えい サプライチェーン攻撃か

企業が攻撃を受けて個人情報の漏えいに至る経路は複数考えられる。モンデリーズの場合は何が起きたのだろうか。

[David Jones，Cybersecurity Dive]

　世界規模の食品会社で個人情報の漏えいが起きた。食品会社が直接サイバー攻撃を受けたわけではない。何が起こったのだろうか。

サプライチェーン攻撃の可能性

　Mondelēz International（モンデリーズ、以下Mondelez）は5万1000人以上の従業員と元従業員の個人情報が漏えいしたと発表した（注1）。米国メーン州司法長官の事務所に提出した書類で明らかになった内容だ。漏えいの原因は単純ではなかった。

　同社に法律サービスを提供していた法律事務所Bryan Cave Leighton Paisnerで情報漏えいが発生したことが原因だ。取引先が攻撃を受けた場合、社内の体制を固めるだけでは漏えいを防止できない。つまり今回の攻撃は一種のサプライチェーン攻撃だといえるだろう。

　Mondelezで米国における訴訟を担当するチーフカウンセルのケビン・ブレナン氏からの書簡には次のようにある。2023年2月27日に同法律事務所は顧客データが保存されているコンピュータシステムの一部に不審な活動があることを発見し、2023年2月23日から3月1日まで活動が続いたという。

　同法律事務所は外部の調査会社と協力して対応を開始し、法執行機関に通知した後、2023年3月24日にMondelezにも通知した。外部の攻撃者がデータを入手したことはこのとき確認できた。攻撃者がアクセスした範囲は直ちには判明しなかった。

　Mondelezの顧客に対しても攻撃があったことを2023年6月12日の週に通知した。

氏名、住所、生年月日などの個人情報が漏えい

　Mondelezは2023年5月22日までに十分な情報を受け取り、漏えいを通知する必要がある人物を特定できた。漏えいしたデータには氏名や住所、生年月日、従業員識別番号、社会保障番号、Mondelezの退職金と従業員貯蓄制度に関する情報が含まれていた。口座番号とクレジットカードのデータは含まれていない。

　Bryan Cave Leighton Paisnerの広報担当者は「当事務所は法執行機関と連携し、影響を受けた関係者と連絡を取っている。この問題の解決を目指す一方で、私たちはクライアントにサービスを提供し続けることができており、サービス提供に集中している」と述べた。

　この広報担当者は事件がどのように起こったかという詳細には触れず、Mondelez以外の顧客に影響があったかどうかについても言及しなかった。2023年7月20日時点でもこれ以上の進展はない。

　Mondelezの開示によると、同法律事務所はMondelezに対して、今後このような事態を防ぐための措置を講じた旨を伝えたという。

出典：Mondelez retirement data breached after hacker targets law firm Bryan Cave（Cybersecurity Dive）

注1：Data Breach Notifications（Office of the Maine Attorney General）