大手清掃用品メーカーのクロロックスは、ITサービスプロバイダーのコグニザントを提訴し、2023年のサイバー攻撃でハッカーがシステムに侵入しやすくしたと非難しています。
クロロックスはコグニザントに対し、3億8,000万ドルの損害賠償を求めています。この中には、是正費用として4,900万ドル(クロロックスが以前に報告した金額)が含まれており、さらに事業中断による数億ドルの損失も含まれています。
このサイバーセキュリティ事件は2023年8月に明るみに出ました。クロロックスはハッカー攻撃への対応として一部システムを停止したと報告しました。その後、同社はこの深刻なサイバー攻撃により業務に大きな混乱が生じ、製品の供給不足が発生したと述べています。
正式には確認されていませんが、この攻撃は当時、悪名高いScattered Spiderサイバー犯罪グループと関連付けられていました。このグループは最近再び活発化しており、過去1年間で複数のメンバーが逮捕・起訴されています。
コグニザントに対する訴状(Dark Web Informer提供)で、クロロックスはコグニザントがパスワードの回復やリセットを含むサポートサービスを提供していたと述べています。
クロロックスによると、コグニザントの従業員は定められた手順に従わず、パスワードの回復やリセットを依頼した人物の認証を怠ったとしています。
清掃用品メーカーの同社は、ハッカーとコグニザントのスタッフとのやりとりの一部を公開しており、そこにはサイバー犯罪者が求めた認証情報が簡単に渡されていたことが示されています。
クロロックスによると、コグニザントの従業員は複数回の通話でOktaアクセスに関連するパスワードをリセットし、攻撃者が多要素認証(OktaおよびMicrosoft MFAの両方)をリセットするのを手助けしたものの、発信者の身元確認は行っていなかったといいます。
広告。スクロールして続きをお読みください。
「コグニザントは巧妙な策略や高度なハッキング技術に騙されたわけではありません。サイバー犯罪者は単にコグニザントのサービスデスクに電話し、クロロックスのネットワークにアクセスするための認証情報を求めただけで、コグニザントはその認証情報をそのまま渡したのです」とクロロックスは訴訟で主張しています。
クロロックスは、コグニザントが「いわば正面玄関を守る」役割を担っていたと主張していますが、ITサービスプロバイダーのコグニザントはメディアへの声明で、自社はクロロックスのサイバーセキュリティを担当していなかったと述べています。
「クロロックスほどの規模の企業が、今回の攻撃を防ぐための社内サイバーセキュリティ体制がこれほどまでにずさんだったことは衝撃的です」とコグニザントは述べています。「クロロックスはこれらの失敗について私たちに責任を転嫁しようとしていますが、実際にはクロロックスがコグニザントに依頼したのは、限定的なヘルプデスクサービスのみであり、コグニザントは合理的にその業務を遂行しました。コグニザントはクロロックスのサイバーセキュリティを管理していませんでした。」
翻訳元: https://www.securityweek.com/clorox-sues-cognizant-for-380-million-over-2023-hack/