【衝撃】パスワードリセットだけで3.8億ドル被害!クロロックス社を襲った「ソーシャルエンジニアリング」の恐怖、ITヘルプデスクの脆弱性が露呈
【衝撃】パスワードリセットだけで3.8億ドル被害!クロロックス社を襲った「ソーシャルエンジニアリング」の恐怖、ITヘルプデスクの脆弱性が露呈
2023年8月11日、米国の有名企業クロロックス社が、ハッカー集団「スキャッタースパイダー」によるサイバー攻撃を受け、3億8000万ドルという巨額の損失を被りました。驚くべきことに、この攻撃は高度なハッキング手法ではなく、IT業者のヘルプデスクに電話をかけ、「パスワードを忘れた」と伝えるだけという、極めて単純な手口で成功しました。
単純な手口でセキュリティを突破
攻撃者は、クロロックス社のIT業務を担当していたコグニザント社のサービスデスクに電話をかけ、クロロックスの従業員になりすましました。録音された通話記録によれば、攻撃者が「パスワードがないので接続できない」と伝えただけで、サポート担当者は本人確認を一切行わずにパスワードを提供してしまいました。通常、企業のITヘルプデスクでは厳格な本人確認手順が定められていますが、この事件ではそうした基本的な手順が完全に無視されました。
さらに攻撃者は、同じ日に複数回電話をかけ、多要素認証(MFA)のリセットも要求。コグニザントの担当者は、短時間に同じユーザーから繰り返しMFAリセットの要求があるという異常なパターンに疑問を持つことなく、毎回要求に応じてしまいました。最も深刻だったのは、攻撃者が2人目の標的としてITセキュリティチームの従業員を選んだことです。同じ手法を使ってこの従業員のパスワードとMFAもリセットさせることに成功し、システム全体を管理する特権を持つアカウントへのアクセスを獲得。これにより、攻撃者はネットワーク全体への扉を開くことに成功しました。
スキャッタースパイダーの脅威と被害の規模
この攻撃を実行したスキャッタースパイダーは、2022年頃から活動が確認されているハッカー集団で、メンバーは17歳から22歳と推定されています。彼らの特徴は、ソーシャルエンジニアリングと呼ばれる心理的な詐欺手法を使用し、企業のITヘルプデスクやコールセンターの担当者を言葉巧みに騙して認証情報を入手することです。2023年にはラスベガスのカジノ大手MGMリゾートとシーザーズ・エンターテインメントも同様の手口で攻撃を受けており、深刻な業務妨害が発生しました。
クロロックス社が被った被害は甚大でした。攻撃から3時間以内に侵入を検知し、5日以内にハッカーをネットワークから排除することに成功しましたが、その間に重要なシステムを複数停止せざるを得ませんでした。製造ラインは完全に停止し、注文処理システムも使用不能となり、全て手作業で処理する必要が生じました。この状態が数週間続き、従業員は紙とペンを使って在庫管理や出荷手続きを行うという、デジタル時代には考えられない状況に陥りました。最終的な損害額は約3億8000万ドルに上り、製品の供給不足により米国内の小売店の棚からクロロックス製品が姿を消す事態となりました。
訴訟と責任の所在、そして業界への教訓
2025年7月22日、クロロックス社はコグニザント社を相手取り損害賠償を求める訴訟を起こしました。訴状では、コグニザントが基本的なセキュリティ手順に従わなかったことが破滅的なサイバー攻撃を引き起こしたと主張しています。一方、コグニザントは、クロロックス社が不適切な内部サイバーセキュリティシステムしか持っていなかったと反論し、責任を否定しています。この訴訟は、サードパーティーベンダーのセキュリティ責任に関する重要な先例となる可能性があります。
この事件はIT業界全体に大きな衝撃を与え、特に多くの企業がITサポート業務を外部委託している現状において、セキュリティリスクの再評価が急務となっています。専門家たちは、人的要因の脆弱性への対処、アイデンティティ検証管理(IVM)システムの導入、契約面での見直し、教育と訓練の強化などが重要であると指摘しています。この事件は、最も洗練されたセキュリティシステムも、人間の判断ミスという最も単純な弱点によって無力化される可能性があることを示しており、企業は技術的な対策だけでなく、人的要因への対応を強化する必要があるという教訓を突きつけています。
AIの所感
クロロックス社を襲ったサイバー攻撃は、現代のデジタル社会が抱える最も根深い脆弱性の一つを浮き彫りにしました。それは、どれほど高度なセキュリティシステムを構築しても、最終的には「人間」という要素が最大の弱点となり得るという事実です。パスワードリセットという日常的な業務が、厳格な本人確認手順の欠如によって、3億8000万ドルという天文学的な被害に繋がったことは、まさに「人為的ミス」の恐ろしさを物語っています。この事件は、企業が外部委託先にセキュリティ業務を任せる際の責任の所在や、ベンダー管理の重要性を改めて問い直すきっかけとなるでしょう。また、従業員一人ひとりのセキュリティ意識の向上と、ソーシャルエンジニアリングの手口に対する継続的な教育・訓練の必要性を強く示唆しています。技術の進化が加速する一方で、人間の心理を巧みに操るソーシャルエンジニアリングの手口は、今後も巧妙化していくことが予想されます。企業は、技術的な防御だけでなく、人的要因に対する多層的な防御策を講じることが、サイバー攻撃から身を守るための喫緊の課題であると痛感させられる事例です。