この攻撃は「スキャタード・スパイダー」と関連付けられており、家庭用洗剤などの生産が妨害されました。
クロロックスは火曜日、ITヘルプデスクを管理していたコグニザントを提訴し、2023年のサイバー攻撃でクロロックスの生産能力が麻痺し、同社に3億8000万ドルの損害を与えた責任があると主張しました。
ハッカーは2023年8月、クロロックスに対してソーシャルエンジニアリング攻撃を仕掛け、ITインフラを混乱させ、家庭用洗剤などの主力製品の出荷能力を数か月にわたり妨げました。
カリフォルニア州上級裁判所に提出された訴状で、クロロックスは、コグニザントが適切な認証を行わずに攻撃者に認証情報を渡したことで、クロロックスのコンピューターシステムを保護できなかったと主張しました。また、コグニザントの対応が不十分だったため、復旧までの時間が長引いたとも述べています。
「クロロックスは、企業システムの保護という重要な責任をコグニザントに託しましたが、コグニザントはそれをひどく失敗しました」と、クロロックス社の外部弁護士でLatham & Watkinsのパートナーであるメアリー・ローズ・アレクサンダー氏は述べました。「コグニザントは単に失敗しただけではありません。クロロックスの企業ネットワークの鍵を、クロロックスの方針や長年のサイバーセキュリティ基準を無視して、悪名高いサイバー犯罪グループに渡したのです。すべて通話記録に残っており、弁解の余地はありません。」
調査員は、クロロックスへの攻撃は「スキャタード・スパイダー」と呼ばれる悪名高いハッカー集団によるものだとしています。この集団は過去数か月間、小売、保険、航空業界などの標的を繰り返し攻撃してきました。同グループは、ボイスフィッシングなどの手法を用いてITヘルプデスクを騙し、ハッカーに認証情報を渡させたり、多要素認証を回避させたりするソーシャルエンジニアリング攻撃を得意としています。
コグニザントはクロロックスによる訴訟を批判し、クロロックス自身の内部サイバーセキュリティプロトコルの管理方法についても疑問が残ると述べました。
「クロロックスほどの規模の企業が、この攻撃を緩和するための内部サイバーセキュリティシステムがこれほど無能だったことは衝撃的です」とコグニザントはCybersecurity Diveへの声明で述べました。「クロロックスはこれらの失敗の責任を私たちに押し付けようとしていますが、実際にはクロロックスはコグニザントに限定的なヘルプデスクサービスのみを依頼しており、コグニザントはそれを合理的に遂行しました。コグニザントはクロロックスのサイバーセキュリティを管理していませんでした。」
翻訳元: https://www.cybersecuritydive.com/news/clorox-380-million-suit-cognizant-cyberattack/753837/