Clorox、サイバー攻撃におけるヘルプデスクの失敗を巡りCognizantを3億8,000万ドルで提訴

米国の漂白剤および清掃用品大手Cloroxは、ITサービスプロバイダーCognizantに対し、同社のヘルプデスクスタッフがサイバー犯罪者からの電話に対し、何の確認もせずにネットワークのパスワードを渡したとして、3億8,000万ドルの訴訟を起こしました。

火曜日にアラメダ郡上級裁判所に提出された訴状には、消費財企業に3億8,000万ドルの損害をもたらした2023年8月の攻撃の驚くほど単純な手口を明らかにする実際の会話記録が含まれています。

「Cognizantは、巧妙な策略や高度なハッキング技術に騙されたわけではありません」と訴状は述べています。「サイバー犯罪者は単にCognizantのサービスデスクに電話をかけ、Cloroxのネットワークにアクセスするための認証情報を求めただけで、Cognizantはその認証情報をそのまま渡したのです。」

「パスワードは何ですか？」「Welcome…」

訴状には、攻撃者がいかに簡単にCloroxのネットワークにアクセスできたかを示す逐語的な会話記録が含まれています。セキュリティ崩壊の典型例となるやり取りでは、サイバー犯罪者が単に「パスワードがないので接続できない」と伝えました。

「パスワードがないので、接続できません」と攻撃者は言いました。

「ああ、わかりました。では、パスワードをお伝えしますね」とCognizantの担当者は即座に答え、「Welcome…」で始まるパスワードを伝えました。

このパターンは2023年8月11日を通じて繰り返され、サイバー犯罪者はパスワードリセット、多要素認証（MFA）のリセット、さらにはSMS認証用の電話番号変更まで、従業員番号やマネージャー名、その他の本人確認情報を一切提示せずに成功させました。

「この侵害はマルウェアやゼロデイによるものではなく、基本的な本人確認の欠如によるものです」とGreyhound Researchのチーフアナリスト、Sanchit Vir Gogia氏は述べています。「企業はもはやアウトソーシング＝責任放棄と考えてはなりません。」

2023年のサイバー攻撃は、ITヘルプデスクを標的とした巧妙なソーシャルエンジニアリングキャンペーンで知られるScattered Spiderというサイバー犯罪グループに帰属されています。しかし今回、攻撃者は高度な技術ではなく、驚くほど基本的な手口で成功しました。

「Scattered Spiderが『パスワードをリセットしてください』という単純な電話で成功したことは、脅威者がまず最も手間のかからないソーシャルエンジニアリングを試み、単純な手口が失敗した場合のみボイスクローンやディープフェイクにエスカレートすることを示しています」とEverest Groupのシニアアナリスト、Prabhjyot Kaur氏は述べています。

訴状では、攻撃者が同一の手法を用いてCloroxの複数の従業員アカウントを組織的に侵害した経緯が詳細に記されています。攻撃者は1人の従業員の認証情報で最初のアクセスを得た後、同じ日に複数回電話をかけて同じ従業員のMFA認証情報をリセットし、Cognizantの担当者はその異常なパターンに疑問を持つことなく毎回応じていました。

保証にもかかわらず組織的な研修の失敗

訴状によれば、Cloroxがこのような攻撃を防ぐために特別に設計した包括的な手順を提供していたにもかかわらず、セキュリティの崩壊が発生しました。さらに、Cloroxの社内サービスデスクマネージャーはCognizantのチームリーダーと毎週会議を行い、最新のセキュリティ手順が実施されていることを繰り返し確認していました。

2023年2月、Cognizantのサービスデスクリーダーは「チームに教育済み」とコメントし、研修の完了を確認しました。しかし、8月の攻撃によってこれらの保証が虚偽であったことが明らかになりました。

「このサイバー攻撃は、これがすべて破滅的な嘘だったことを明らかにしました」と訴状は述べています。「CognizantがCloroxの方針や手順、または業界の基本的な基準についてサービスデスクスタッフを適切に研修していれば、このサイバー攻撃は決して起こらなかったはずです。」

初期の侵害だけでなく、Cognizantの失敗はインシデント対応中にも続きました。Cloroxが侵入を3時間以内に検知した際、訴状によれば、Cognizantは本来15分で再インストールできるはずの重要なサイバーセキュリティツールの再インストールに1時間以上かかり、誤ったIPアドレスリストを提供したため、封じ込め措置が8時間遅れました。

「このサイバー攻撃により、Cloroxはシステムをオフラインにし、製造を停止し、数週間にわたり手作業での注文処理に頼らざるを得なくなりました」と述べられています。サイバー攻撃による損害は約3億8,000万ドルに上り、そのうち4,900万ドル超が修復費用、「数億ドル規模の事業中断損失」が含まれると訴状は主張しています。

ベンダー責任に関する法的影響

「この訴訟は、侵害対応を運用プロセスから法的判断へと転換し、企業が責任を交渉し、契約上の負担を割り当て、レジリエンスを設計する方法を変える可能性があります」とGogia氏は説明しています。

Cloroxの訴状には、契約違反、誠実かつ公正な取引の違反、重大な過失、故意の虚偽表示の4つの訴因が含まれています。重大な過失の主張では、Cognizantの行為を「通常の注意義務からの極端な逸脱」としています。

「Cloroxの訴訟は、アウトソーシングされたヘルプデスクが壊滅的な単一障害点となり得ることを示しており、企業は他の重要なコントロールと同様に統治すべきです」とKaur氏は指摘します。彼女は、契約には多要素認証と上司の共同承認を伴う「ゼロトラストのリセットプロセス」を義務付けるべきだと推奨しています。

「Cloroxは3億8,000万ドルの損害賠償を請求しており、ベンダーの不手際がITアウトソーシングで依然として一般的な責任上限をはるかに上回る可能性を示しています」とKaur氏は付け加えました。彼女は、企業がサードパーティによるサイバー失敗をトップ5のリスクとしてモデル化することを推奨しています。

企業のセキュリティリーダーにとって、このケースは人による本人確認プロセスにも技術的なセキュリティコントロールと同等の厳格さが必要であり、抽象的なサービスレベル合意ではなく運用要件を明記した契約が必要であることを強く示しています。

CloroxとCognizantはコメント要請に応じませんでした。