IT管理を外注していたらサイバー攻撃を受けた 外注先を訴えられるのか?
情報システム部門の業務の一部を外注することは珍しくない。しかし、外注先の「ミス」によってサイバー攻撃を受けたとき、責任はどうなるのだろうか。
企業がITヘルプデスク部門を外注することは珍しくない。だが、サイバー攻撃を受けてしまったことを外注先の責任として訴えることは可能なのだろうか。
外注先を訴えられるのか?
攻撃を受けたのは除菌製品や漂白剤の製造・販売に強みがある1兆円企業だ。
大手消費財メーカーのCloroxは2025年7月22日(現地時間、以下同)に、同社のITヘルプデスクを管理していたIT企業のCognizant Technology Solutions(以下、Cognizant)を提訴した。Cloroxは2023年に受けたサイバー攻撃で生産能力が大きく損なわれて3億8000万ドルの損失を招いた責任がCognizantにあると主張している。同社の2024年の売上高は約71億ドルだ。
攻撃者は2023年8月にソーシャルエンジニアリングを利用してCloroxのシステムに侵入した。攻撃によってIT基盤が混乱した結果、Cloroxは家庭用洗剤などの主力製品の出荷を数カ月間停止せざるを得なかった(注1)。
カリフォルニア州高等裁判所に提出された訴状の中で、CloroxはCognizantが認証手順に従わずに攻撃者へ認証情報を渡したため、CloroxのITシステムを保護できなかったと主張した。CloroxはCognizantによる攻撃対応が不適切だったため復旧期間が長引いたとも主張している。
Cloroxはどのように攻撃されたのか
Cloroxの事例は典型的なソーシャルエンジニアリング攻撃だ。明らかになっている攻撃の流れを説明しよう。まず攻撃者がITヘルプデスク業務を請け負っていたCognizantのサポート担当者へ電話をかけた。このとき攻撃者はCloroxの従業員になりすまして、パスワードを忘れたのでリセットしてほしいと依頼した。このとき多要素認証のリセットも実行した。
企業において従業員からこのような依頼を受けることは全く珍しいことではない。だが、手順を誤ると簡単にサイバー攻撃を受けてしまうため、あらかじめ定められた厳格な認証プロセスが必要だ。
攻撃者は新しく与えられたパスワードを使ってCloroxの社内ネットワークに侵入後、次はCloroxのITセキュリティチームの担当者になりすまして、さらに高い権限を持つアカウントの認証情報を入手した。
Cloroxのネットワーク全体にアクセスできるドメイン管理者権限を得た犯罪者がランサムウェアを全社に展開した結果、工場の生産システムや流通システムが停止した。この被害を修復するために約4900万ドルを要した他、売り上げの損失などを含めると総損失額は最大3億8000万ドルに及ぶという。同社はCognizantの担当者が本人確認の認証プロセスを怠って、パスワードをリセットしてしまったことが原因だとして、裁判において損害賠償をCognizantに要求した。
認証プロセスで手を抜いてはいけない
Cloroxの事例から分かることは、パスワードのリセットのような日常の業務でも、あらかじめ定められた厳密なプロセスから少しでも外れたことをしてはいけないということだ。当時とは異なり、現在では犯罪者が生成AIを用いた音声や映像のディープフェイク技術を使いこなしている。認証プロセスに穴がないかどうかもう一度確認する必要があるだろう。(キーマンズネット編集部)
Cloroxの外部弁護士であり、法律事務所Latham&Watkinsのパートナーでもあるメアリー・ローズ・アレクサンダー氏は次のように述べた。
「Cloroxは自社の企業システムを守るという極めて重要な責任をCognizantに託したが、Cognizantは完全に失敗した。Cognizantは単にミスを犯しただけではない。Cloroxの方針や長年培われたサイバーセキュリティ基準を無視し、Cloroxの企業ネットワークへのアクセスを可能にする『鍵』を悪名高いサイバー犯罪グループに渡してしまった。その際のやり取りは通話記録に残っており、言い逃れはできない」
犯人はまたもやScattered Spider
研究者はCloroxへの攻撃を悪名高い攻撃グループ「Scattered Spider」による犯行だとした。攻撃グループは直近数カ月間にわたって、小売業界や保険業界、航空業界などを繰り返し標的にしてきた。攻撃グループは音声によるフィッシングなどの手口を使ってITヘルプデスクの担当者をだまして認証情報を入手し、ユーザーの多要素認証を回避させるといったソーシャルエンジニアリング攻撃を得意としている。
Cognizantはこの訴訟を批判して、「Cloroxが自社の内部サイバーセキュリティ規定をどのように管理していたのかについては、依然として疑問が残る」と述べた。
Cognizantは『Cybersecurity Dive』に提供した声明の中で次のように述べた。
「Cloroxのような大企業において、攻撃を防ぐための社内サイバーセキュリティ体制にこれほどの不備があったとは驚きだ。Cloroxは失敗の責任を当社に押し付けようとしているが、実際のところCloroxが当社に依頼したのは限られた範囲におけるヘルプデスク業務であり、私たちはそれを適切に遂行した。当社はCloroxのサイバーセキュリティを管理していたわけではない」
出典:Clorox files $380 million suit blaming Cognizant for 2023 cyberattack(Cybersecurity Dive)
注1:Clorox warns of product shortages a month after disclosing cyberattack(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
企業のパスワードはこうして盗まれる 13の手口を徹底解説
パスワードを盗み出す犯罪者の手口を知らなければ、対策することもできない。犯罪者は不特定多数を狙う場合と特定の個人を狙う場合がある。それぞれどのような手口があるのだろうか。
首謀者を逮捕したのに続くサイバー攻撃、次に狙われるのは誰だ
サイバー攻撃を防ぐ方法はさまざまだ。エンドポイントセキュリティやネットワークセキュリティなどを強化することはもちろんだが、犯罪者の手口を知ることも役立つ。
Microsoftが警告するサイバー犯罪者の手口 VMwareも狙う
Microsoftは悪名高いサイバー犯罪グループ「Scattered Spider」を分析して、手口の変化についてまとめた。