米国の大手清掃用品メーカーであるクロロックスは、2023年8月のサイバー攻撃を巡り、かつてのITサービスデスクプロバイダーであるロンドン拠点のコグニザントを提訴しました。
この事件により、メーカーは数か月にわたる業務の混乱と少なくとも4,900万ドルの費用を被りました。
7月22日にカリフォルニア州上級裁判所に提出された訴状で、クロロックスはコグニザントがハッキングの直接的な責任を負っていると主張しています。
訴状によれば、コグニザントはクロロックスのパスワードリセット手順を守らず、重要な本人確認措置を怠り、攻撃者がクロロックスのネットワークにアクセスできるようにしたとされています。
具体的には、コグニザントが認証の質問を一切せずに、クロロックスの企業ネットワークのキーをサイバー犯罪者に引き渡している様子が録音されています。
その後、サイバー犯罪者はその認証情報と、同日にサービスデスクへの同様の電話で入手した他の認証情報を使ってクロロックスを攻撃しました。
クロロックスの外部顧問弁護士であるLatham & Watkinsのパートナー、メアリー・ローズ・アレクサンダー氏は次のようにコメントしています。「クロロックスはコグニザントに自社の重要なシステムを守るという重大な責任を託しましたが、コグニザントはそれを完全に裏切りました。」
彼女はさらに続けて、「コグニザントは単にミスをしただけではありません。クロロックスのポリシーや長年のサイバーセキュリティ基準を無視し、悪名高いサイバー犯罪グループにクロロックスの企業ネットワークのキーを引き渡したのです。そのすべてが通話記録に残されており、弁解の余地はありません。」と述べました。
この清掃用品メーカーは、3億8,000万ドルの直接的および補償的損害賠償、さらに懲罰的損害賠償を求めています。
クロロックス、数週間の業務停止と4,900万ドルの損害
2023年8月14日、クロロックスは自社のITシステムで不審な活動を検知し、数時間以内にサイバー攻撃として対応が取られました。
この攻撃により、同社はITシステムの一部をオフラインにせざるを得なくなり、生産や受注処理に大規模な遅延が発生しました。
事業継続計画と従業員の努力により、クロロックスは業務の復旧とサイバー攻撃による流通損失への対応に取り組みました。
しかし、攻撃後の影響は大きく、クロロックスは数週間にわたり完全な業務回復に苦戦しました。同社はサプライチェーンの混乱が続き、製品の供給や財務業績に影響が出たと報告しています。
2024年1月のSEC提出書類では、2023年12月31日までの6か月間でこの事件に関連する費用が4,900万ドルに上ったことが明らかになりました。
2024年10月、クロロックスは年次報告書の中で、2023年のサイバー攻撃後の混乱を一因として、2030年までのプラスチックや廃棄物削減などの一部サステナビリティ目標を再評価していると述べました。
攻撃前、コグニザントは10年以上にわたりクロロックスのITサービスデスクプロバイダーを務めており、両社間の最初の情報技術サービス契約(ITSA)は2013年に締結されていました。
翻訳元: https://www.infosecurity-magazine.com/news/clorox-sues-cognizant-2023/