コンテンツにスキップするには Enter キーを押してください

クロロックス、3億8,000万ドルのサイバー攻撃訴訟で「ハッカーがコグニザントのヘルプデスクを騙した」と主張

投稿日 2025年7月24日

Image

クロロックスはIT大手コグニザントを重大な過失で提訴し、従業員の身元を確認せずにハッカーのためにパスワードをリセットしたことで、2023年8月の大規模なサイバー攻撃を可能にしたと主張しています。

この事件は2023年9月に初めて公表され、Scattered Spiderと関連するハッカーによるソーシャルエンジニアリング攻撃によって同社が侵害されたと報じられています。

訴状によると、コグニザントはクロロックスにITサービスを提供しており、サービスデスクサポートやID管理も含まれていましたが、これが同社にとって壊滅的かつ高額なサイバー攻撃の侵入口となりました。

クロロックスは家庭用洗剤、漂白剤、消毒剤、パーソナルケア用品で知られる大手消費財メーカーです。コグニザントはクラウドサービス、ソフトウェア開発、サイバーセキュリティを提供するグローバルなITサービス・コンサルティング企業です。

訴状によれば、2013年から2023年まで、コグニザントはクロロックスのIT運用を担当していました。

「コグニザントは、クロロックスの従業員がパスワードの回復やリセットの支援を必要とする際に連絡できるサービスデスク(以下「サービスデスク」)を提供していました」と、BleepingComputerに共有された訴状には記載されています。

「コグニザントのサービスデスク運用には、簡単で常識的な要件がありました。すなわち、正しく認証を行う前に、誰の認証情報もリセットしないということです。クロロックスは、認証情報の回復やリセット支援を行う際に従うべき明確な手順をコグニザントに提供しており、これによりコグニザントが容易に対応できるようにしていました。」

しかし、訴状では2023年8月11日に、サイバー犯罪者がクロロックスの担当者を装い、複数回コグニザントのサービスデスクに電話をかけ、パスワードおよび多要素認証(MFA)のリセットを要求した記録があると主張しています。

「いずれの通話においても、担当者は発信者が実際に従業員1であることを確認しませんでした。担当者は、サイバー犯罪者のためにパスワードを変更する前に、クロロックスの認証情報サポート手順(2023年以前の手順、または2023年1月の更新版のいずれも)を守りませんでした。さらに担当者は、本人確認を一切行わずに従業員1のMFA認証情報を複数回リセットしました。また、担当者はパスワードリセットを知らせるために、従業員またはその上司に必要なメールを一度も送信しませんでした。」とクロロックスは訴状で主張しています。

この種のソーシャルエンジニアリング攻撃はScattered Spiderの攻撃の特徴となっており、最近では英国小売業のマークス&スペンサーCo-opへの攻撃にも使われています。

発信者の実際の身元を確認しなかったとされる結果、コグニザントはハッカーのために認証情報と多要素認証(MFA)をリセットし、クロロックスのITネットワークへのアクセスを許してしまいました。

さらに悪いことに、クロロックスは、脅威アクターが同じ手口でITセキュリティ部門の別の従業員のパスワードとMFAもリセットさせたと主張していますが、これもまた確認なしで行われました。これにより攻撃者はネットワークへの特権アクセスを得て、さらに多くのデバイスに侵入したとされています。

Image
ハッカーとサービスデスクの通話記録
出典:クロロックスによるコグニザントへの訴状

クロロックスは、コグニザントの行為によって自社の企業ネットワークが麻痺し、製造が停止し、広範な製品不足と事業中断が発生したと述べています。

これに加え、クロロックスはコグニザントの対応および復旧支援が極めて不適切であったとし、封じ込め措置の適用の遅れ、侵害されたアカウントの停止の失敗、現場に未熟な人員を派遣したことなどを挙げています。

「その結果生じたサイバー攻撃は壊滅的でした。クロロックスの企業ネットワークは麻痺し、事業運営は大きく損なわれました」と訴状には記載されています。

「さらに悪いことに、クロロックスがコグニザントにインシデント対応および災害復旧支援サービスを要請した際、コグニザントは対応を誤り、既に引き起こした被害をさらに拡大させました。」

クロロックスの訴状は、コグニザントがITSA義務を果たさなかったことによる契約違反、誠実かつ公正な取引義務違反、重大な過失、クライアントの認証情報リセット手順に関するスタッフ教育についての意図的な虚偽表示を主張しています。

これらの行為により、事業中断による数億ドル規模の売上損失や、長期的な影響を伴う評判の毀損が発生したとして、クロロックスは4,900万ドルの直接的な損害賠償と、総額3億8,000万ドルの損害賠償を求めています。

BleepingComputerは訴訟に関するコメントをコグニザントに求めましたが、記載されていた広報アドレスは配信失敗で返送されました。


Wiz

クラウド検知&対応入門

新たな脅威をリアルタイムで封じ込め、ビジネスへの影響を未然に防ぎましょう。

この実践的かつ分かりやすいガイドで、クラウド検知と対応(CDR)がセキュリティチームにもたらす優位性について学びましょう。

翻訳元: https://www.bleepingcomputer.com/news/security/hackers-fooled-cognizant-help-desk-says-clorox-in-380m-cyberattack-lawsuit/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です