人気漂白剤ブランド、クロロックスは、ITプロバイダーであるコグニザントが従業員を装ったハッカーにアクセス認証情報を漏洩していたことが判明し、同社を提訴しました。NBCニュースの報道によると、この情報漏洩により、企業のサービスデスクを標的とするハッカー集団「スキャタード・スパイダー」が2023年8月にクロロックスにランサムウェアを感染させました。このITサポートの失態により、クロロックスは約3億8000万ドルの損害と混乱を被ったとされています。
コグニザントはクロロックスの社内ネットワークを管理しており、パスワード、多要素認証(MFA)、VPNに問題のある従業員は、ITプロバイダーと連携してシステムへのアクセスを回復する必要があります。しかし、クロロックスは、コグニザントのサービスデスクが発信者の身元を確認せずにアクセスパスワードを提供したと主張しています。このような行為は、不正なアクセスを防ぐために制定されたポリシーに反するものであり、Ars Technicaによると、そのポリシーには社内認証とパスワードのセルフリセットツールが含まれています。ユーザーがこれらにアクセスできない場合、コグニザントは上司の名前とユーザー名を尋ねて本人確認を行う必要があります。これによりパスワードはリセットされますが、従業員とその上司にメールが送信され、セキュリティレベルが一定レベルに保たれます。
残念ながら、いくつかのケースではそうはなりませんでした。コグニザントの従業員は、発信者の身元を確認することなく、パスワードをただ渡したと主張されています。ある通話記録の一部には、この証拠が残されています。ハッカーとされる人物はコグニザントの従業員に「パスワードがないので接続できません」と伝え、従業員はためらうことなく「ああ、わかりました。わかりました。それでは、パスワードをお教えしましょうか?」と返答しています。
権限のある人物の身元を詐称することは、最も基本的なソーシャルエンジニアリング攻撃の一つであり、多くのIT企業がこれに対する対策を複数講じています。しかし、コグニザントの従業員はあまりにも信頼しすぎてプロトコルに違反し、クロロックス社に数百万ドルの損失をもたらす可能性があったようです。これは、サイバーセキュリティがどれほど強固で洗練されていても、最も弱い部分で必ず侵入される可能性があることを示しています。
「コグニザントは、精巧な策略や高度なハッキング技術に騙されたわけではない」と訴状は主張している。「サイバー犯罪者はコグニザントのサービスデスクに電話をかけ、クロロックス社のネットワークにアクセスするための認証情報を要求しただけで、コグニザントはすぐに認証情報を渡したのだ。」
Google ニュースで Tom's Hardware をフォローすると、最新のニュース、分析、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ジョウィ・モラレスは、長年のテクノロジー業界での実務経験を持つテクノロジー愛好家です。2021年から複数のテクノロジー系出版物に寄稿しており、特にテクノロジー系ハードウェアとコンシューマーエレクトロニクスに興味を持っています。
