クロロックス社は、サービスデスクプロバイダーのコグニザント社をカリフォルニア州裁判所に3億8000万ドルで訴えている。同社のITサポートチームは、従業員がパスワードを要求しただけでそれを攻撃者に渡し、「サイバー犯罪者がクロロックス社のネットワークに足場を築くことを可能にした」と主張している。
クロロックス、ビジネスオペレーションに打撃を与えたITセキュリティ侵害を解決
続きを読む
クロロックス社は昨日、契約違反や過失などを理由に訴状を提出し、コグニザント社の「不備」が最終的に2023年にクロロックス社に対する「壊滅的なサイバー攻撃」につながり、「クロロックス社のシステムと業務に壊滅的な混乱」をもたらしたと主張した。一部編集された19ページの訴状[PDF]は、こちらからご覧いただけます。
訴状によると、コグニザントはクロロックスのサービスデスクを運営し、クロロックスの従業員にITサポートを提供していた。これには「必要に応じて従業員の認証情報の回復」も含まれていた。訴状によると、両社は10年以上前の2013年に最初の契約を締結し、その後もサービス契約を更新してきたという。
漂白剤メーカーは、コグニザントが認証情報の回復やリセットのサポートを提供するための「簡単な手順」に従わなかったと主張している。
クロロックス社は訴訟の中で、2023年8月のサイバー攻撃の数カ月前の2023年2月に、社内のサービスデスクマネージャーが認証情報サポート手順の更新を要求し、何度か要求した後、コグニザントのサービスデスクリーダーが「『チームを教育した』という過去形のコメントとともに、認証情報サポート手順のアクション項目が完了したことを応答し、確認した」と主張している。
「コグニザント社のエージェントがサイバー犯罪者と電話したことにより、これが明白な嘘であることが判明した」と訴状には続けて記載されている。
訴状では次のように主張している。
訴状によると、クロロックス社のネットワーク認証情報サポート要求への対応手順の更新では、クロロックス社の従業員からネットワーク パスワードのリセット要求を受け取ると、サービス エージェントは「従業員に対し、クロロックス社の認証およびセルフ パスワード リセット ツールである MyID を使用するよう案内する、または MyID が利用できない場合は、(a) 従業員のパスワードをリセットする前にマネージャー名と MyID ユーザー名で従業員の身元を確認し、(b) リセット後に従業員のクロロックス メール アカウントと関係マネージャーに必要な確認メールを送信する」ことになっていた。
同社は、攻撃中にこれらの手順が遵守されていなかったと主張している。2023年8月11日、攻撃者がコグニザントのサービスデスクの担当者を装って電話をかけてきた際、担当者がクロロックスがネットワークへのアクセス認証に使用していたID管理ツール「Okta」のアクセスを「リセット」したという。クロロックスによると、担当者は攻撃者にクロロックスのVPNに接続するよう指示したが、侵入者はパスワードがないと接続できないと抗議したという。訴状によると、担当者はその後、それ以上の質問や本人確認を行わずにOktaへのアクセスをリセットし、「クロロックスの認証情報サポート手順に直接違反した」という。
その後、攻撃者は Microsoft MFA 認証情報のリセットを要求し、サービス エージェントはこれを「まったく ID 確認を行わずに複数回」実行したとされています。
クロロックス社はさらに、「エージェントはいかなる時点でも、従業員または従業員のマネージャーにパスワードのリセットを通知するために必要なメールを送信しなかった」と主張している。
訴状によると、攻撃者はまた、SMS MFAのために、そのスタッフ(訴状では「従業員1」とされている)に関連付けられた電話番号をリセットするよう要求したという。
クロロックス社は、「サイバー犯罪者は、従業員1の侵害された認証情報を使用してクロロックス社のネットワークにログインし、情報を収集しました。その後、サイバー犯罪者はITセキュリティ部門に勤務する従業員2の認証情報を標的にすることができました」と主張しています。
- サイバー犯罪者がバンに潜入し、業務を踏みにじる
- クロロックスCISO、数百万ドル規模のサイバー攻撃後に自らトイレへ
- クロロックス社、サイバー攻撃による「大規模な混乱」を認める
- クロロックス、ビジネスオペレーションに打撃を与えたITセキュリティ侵害を解決
クロロックス社は、サイバー犯罪者の最初の活動から3時間以内に攻撃者を自社の環境から排除することに成功したにもかかわらず、さらなるエスカレーションを避けるためにシステムをオフラインにしなければならなくなり、サイバー攻撃によって業務に「壊滅的な」混乱が生じたと主張している。その結果、製造を一時停止し、数週間にわたって手動の注文処理方法に頼らざるを得なくなり、顧客向けの製品不足と「大幅な売上損失」を招いた。
同社はまた、ITサポートパートナーのインシデント後対応についても責任を問うており、クロロックス社がコグニザント社に対し、「サイバー犯罪者がアンインストールした重要なサイバーセキュリティツール」の再インストールを緊急に要請した際、コグニザント社は15分以内で完了するはずの作業を1時間以上もかけて完了させたと主張している。さらに、データベースの復旧、IPアドレスリストの作成、アカウントの停止が適切に処理されていなかったと主張している。同社は3億8000万ドルの損害賠償と陪審裁判を求めている。
時価総額160億ドルの漂白剤メーカーである同社は昨年70億ドルの収益を上げており、そのブランドは、どこにでもある消毒剤から木炭、猫砂、ゴミ袋、ヒドゥンランチのサラダドレッシングまで、あらゆるものを網羅している。
The Register はCognizant に訴訟についてのコメントを求め、広報担当者は次のような声明を発表しました。
クロロックスのような規模の企業が、今回の攻撃を軽減するための社内サイバーセキュリティシステムがこれほど不十分だったとは、衝撃的です。クロロックスはこれらの失敗を当社のせいにしようとしましたが、実際には、クロロックスはコグニザントを限られた範囲のヘルプデスクサービスのために雇用し、コグニザントはそれを適切に提供しただけでした。コグニザントはクロロックスのサイバーセキュリティを管理していませんでした。®
