2025年8月、世界的な人材派遣企業であるマンパワー社が、約14万5,000人の個人情報が漏洩したことを公表しました。
これは、2024年12月から2025年1月にかけて、同社のミシガン州ランシングのフランチャイズがランサムウェア攻撃を受けた結果です。
攻撃者は、約500GBのデータを盗み取ったとされ、個人情報だけでなく、企業の財務情報や契約書なども含まれていた可能性があります。
攻撃の発覚と初動対応
マンパワー社は、2025年1月20日にランシングのオフィスで発生したITシステムの停止を契機に、セキュリティインシデントの調査を開始しました。
その結果、2024年12月29日から2025年1月12日までの間に、攻撃者が同社のネットワークに不正アクセスし、個人情報を含むファイルを取得した可能性があることが判明しました。これにより、144,189人の個人情報が漏洩したとされています。
攻撃者とその手法
セキュリティ専門メディアによると、ランサムウェアグループ「RansomHub」がこの攻撃の背後にいるとされています。RansomHubは、企業の機密データを盗み出し、身代金を要求する「ランサムウェア・アズ・ア・サービス(RaaS)」を提供する犯罪グループで、過去にも多くの企業を標的にしてきました。
攻撃者は、パスポートのスキャン、社会保障番号、住所、連絡先情報などを含む個人情報や、企業の財務諸表、契約書、秘密保持契約(NDA)などの機密文書を盗み取ったとされています。
影響と対応策
マンパワー社は、影響を受けた個人に対して、12ヶ月間の無料クレジットモニタリングと身分盗難防止サービスを提供しています。
また、同社はFBIと連携し、攻撃者の特定と法的措置を進めています。さらに、今後の情報漏洩を防ぐため、ITセキュリティの強化を図っています。
今後の展望と教訓
今回の事件は、企業のサプライチェーンにおけるセキュリティの脆弱性を浮き彫りにしました。特に、フランチャイズなどの独立した運営体が攻撃を受けることで、親会社のブランドや顧客情報にも影響が及ぶ可能性があります。
企業は、サプライチェーン全体のセキュリティ対策を強化し、定期的なセキュリティ監査や従業員への教育を実施することが求められます。
実務上の示唆
企業は、以下の点を実践することで、同様の攻撃から自社を守ることができる可能性が高まります。
- 多層的なセキュリティ対策の導入
ファイアウォール、侵入検知システム、暗号化などを組み合わせて、攻撃の入口を多様化し、早期発見を可能にします。 - サプライチェーンのセキュリティ評価
取引先やフランチャイズのセキュリティ体制を定期的に評価し、リスクを最小化します。 - 従業員教育の強化
フィッシング攻撃やマルウェアのリスクについて、定期的なトレーニングを実施し、従業員の意識を高めます。 - インシデント対応計画の策定
セキュリティインシデントが発生した際の対応手順を明確にし、迅速な対応を可能にします。
企業がこれらの対策を講じることで、サイバー攻撃のリスクを低減し、顧客や取引先からの信頼を維持することができます。
まとめ
マンパワー社のデータ漏洩事件は、サプライチェーン全体のセキュリティ対策の重要性を再認識させるものでした。企業は、単独でのセキュリティ対策だけでなく、取引先やフランチャイズを含む全体のセキュリティ体制を強化する必要があります。今後もサイバー攻撃は進化し続ける中で、企業は柔軟かつ迅速に対応できる体制を整えることが求められます。
