「異議あり!」 SolarWindsとそのCISOが詐欺容疑で告発されるも反論:Cybersecurity Dive
訴状によると、SolarWindsはサイバーセキュリティの実践に関して誤った情報を投資家に提供し、既知のリスクを開示しなかったとされている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国証券取引委員会(以下、SEC)は、2020年12月に発覚したマルウェア「Sunburst」による攻撃の前に、サイバーセキュリティ対策について投資家を欺いたとして、SolarWindsと同社のCISO(最高情報セキュリティ責任者)であるティモシー・ブラウン氏を詐欺と内部統制の不備により告発した。
SECは2023年10月30日に「SolarWindsは、上場した2018年10月から少なくともSunburst攻撃までの間、サイバーセキュリティの実践について誇張し、既知のリスクを開示しなかった」と主張している(注1)。
SECがSolarWindsを詐欺で告発 同社は「見当違いで不適切」と批判
SECの告発によると、SolarWindsが公式に発表した内容は、ブラウン氏らとも共有されていた同社のエンジニアによる2018年の評価を含む内部評価と矛盾していた。同社の内部評価によると、企業のリモートアクセスの設定は「あまり安全でない」とされていた。
SECの関係者は「SolarWindsとブラウン氏が、繰り返される警告を無視し、同社のサイバーセキュリティを危険にさらした」と主張している。
SECの執行部門のディレクターであるグルビール・グリウォール氏は「SolarWindsとブラウン氏は、これらの脆弱(ぜいじゃく)性への対処よりも、自社のサイバーコントロール環境について、虚偽の報告をすることに優先し、投資家が正確かつ重要な情報を得る機会を奪った」と述べている。
ニューヨーク州南部地区に提出された訴状では、SolarWindsは1933年証券法および1934年証券取引所法の詐欺防止規定に違反したとされている。
また、SECは「SolarWindsは、証券取引所法における報告条項および内部統制条項に違反し、ブラウン氏がこれらの違反を唆し、助長した」と主張している。
SECは恒久的な差止命令、不正な行為によって得られた利益および利息の返還、民事罰金、ブラウン氏の役員または取締役としての勤務の禁止を求めている。
SolarWindsのCEOであるスダカール・ラマクリシュナ氏は、ブログでこの疑惑に反論し(注2)、SECの告発を「見当違いで不適切な強制措置」と呼んだ。同社は、2023年10月30日にSECに提出した8-Kの報告書に(注3)、この投稿を掲載した。
SECの告発にSolarWindsが異議あり
SECは経営幹部に対する監視を強化しており、SolarWindsに対する告発は全国の企業のCISOに大きな影響を与える可能性がある。
Forresterのバイスプレジデント兼主席アナリストであるジェフ・ポラード氏は「CISOは、組織や他の幹部から許可された業務のみを実施できる。このことは、SECのこの度の一連の行動における根拠でもある。つまり、SolarWindsのCISOは、問題とその深刻さを企業の他の幹部に適切に伝えていなかったのだ」とコメントしている。
ポラード氏は「仮にブラウン氏が問題に関する懸念を提起し、他の上級幹部に無視されたのであれば、彼が単独で非難されるのは適切ではない」と警告した。
ブラウンは2017年にセキュリティ担当のバイスプレジデントとしてSolarWindsに入社し、その後、2021年5月にCISOに昇進した(注4)。
SECによると、2020年9月にブラウン氏らと共有された内部文書には、過去の1カ月間に確認されたセキュリティに関する問題の量が、エンジニアリングチームの問題解決能力を上回っている旨が記載されていたという。
SECによると、SolarWindsは2020年12月14日に提出した8-Kの申告においても不完全な開示を実施していた。同社の株価はその後2日間で25%下落した。
SolarWindsは、声明で告発に以下のような異議を唱えている。
「米国企業に対するロシアのサイバー攻撃に関連したSECの根拠のない告発に失望しており、この行為が国家安全保障を危険にさらすことを深く懸念している。当社と当社のCISOに対する請求を捏造するというSECの判断は、SECによる過剰な介入の1つの例であり、全国の上場企業と献身的なサイバーセキュリティの専門家に対する警鐘である」
今回の告発は、SECが2023年6月に送信した通知に基づくものだ(注5)。同通知では、調査の結果としてSolarWindsとブラウン氏に下される可能性のある処分が示された。
(注1)UNITED STATES DISTRICT COURT SOUTHERN DISTRICT OF NEW YORK (SEC)
(注2)Transparency, Information-Sharing, and Collaboration Make the Software Industry More Secure. We Must Not Risk Our Progress.(orangematter)
(注3)SOLARWINDS CORPORATION(SEC)
(注4)SolarWinds Accelerates its Plan for a Safer SolarWinds and Customer Community With the Appointment of Three New Executives(SOLARWINDS)
(注5)SEC notifies SolarWinds CISO and CFO of possible action in cyber investigation(Cybersecurity Dive)
関連記事
徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。
年末の大掃除とともに、PCの中も整理をしてみませんか?
2023年ももうすぐ終わりが近づいてきました。年末には大掃除をするのが定番ですが、これを機にPCの中身もあらためて整理してみましょう。
「サイバー攻撃でいくら損する?」を試算できる待望のフレームワークが誕生
The FAIR Instituteはランサムウェアをはじめとした重大なサイバー攻撃に関連するコストを試算し、関係者がより適切にリスクを算定するための基準を作ろうとしている。
攻撃者の“裏事情”から考える いま注目のランサムウェアグループとその特徴
ランサムウェアに対抗するには攻撃者の動向を把握することが重要だ。著名なホワイトハッカーがサイバー攻撃者たちの裏事情に加えて、注目すべき新たなランサムウェアグループとその特徴などを明らかにした。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。