特集
» 2023年12月02日 08時00分 公開

「異議あり!」 SolarWindsとそのCISOが詐欺容疑で告発されるも反論Cybersecurity Dive

訴状によると、SolarWindsはサイバーセキュリティの実践に関して誤った情報を投資家に提供し、既知のリスクを開示しなかったとされている。

[David JonesCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 米国証券取引委員会(以下、SEC)は、2020年12月に発覚したマルウェア「Sunburst」による攻撃の前に、サイバーセキュリティ対策について投資家を欺いたとして、SolarWindsと同社のCISO(最高情報セキュリティ責任者)であるティモシー・ブラウン氏を詐欺と内部統制の不備により告発した。

 SECは2023年10月30日に「SolarWindsは、上場した2018年10月から少なくともSunburst攻撃までの間、サイバーセキュリティの実践について誇張し、既知のリスクを開示しなかった」と主張している(注1)。

SECがSolarWindsを詐欺で告発 同社は「見当違いで不適切」と批判

 SECの告発によると、SolarWindsが公式に発表した内容は、ブラウン氏らとも共有されていた同社のエンジニアによる2018年の評価を含む内部評価と矛盾していた。同社の内部評価によると、企業のリモートアクセスの設定は「あまり安全でない」とされていた。

 SECの関係者は「SolarWindsとブラウン氏が、繰り返される警告を無視し、同社のサイバーセキュリティを危険にさらした」と主張している。

 SECの執行部門のディレクターであるグルビール・グリウォール氏は「SolarWindsとブラウン氏は、これらの脆弱(ぜいじゃく)性への対処よりも、自社のサイバーコントロール環境について、虚偽の報告をすることに優先し、投資家が正確かつ重要な情報を得る機会を奪った」と述べている。

 ニューヨーク州南部地区に提出された訴状では、SolarWindsは1933年証券法および1934年証券取引所法の詐欺防止規定に違反したとされている。

 また、SECは「SolarWindsは、証券取引所法における報告条項および内部統制条項に違反し、ブラウン氏がこれらの違反を唆し、助長した」と主張している。

 SECは恒久的な差止命令、不正な行為によって得られた利益および利息の返還、民事罰金、ブラウン氏の役員または取締役としての勤務の禁止を求めている。

 SolarWindsのCEOであるスダカール・ラマクリシュナ氏は、ブログでこの疑惑に反論し(注2)、SECの告発を「見当違いで不適切な強制措置」と呼んだ。同社は、2023年10月30日にSECに提出した8-Kの報告書に(注3)、この投稿を掲載した。

SECの告発にSolarWindsが異議あり

 SECは経営幹部に対する監視を強化しており、SolarWindsに対する告発は全国の企業のCISOに大きな影響を与える可能性がある。

 Forresterのバイスプレジデント兼主席アナリストであるジェフ・ポラード氏は「CISOは、組織や他の幹部から許可された業務のみを実施できる。このことは、SECのこの度の一連の行動における根拠でもある。つまり、SolarWindsのCISOは、問題とその深刻さを企業の他の幹部に適切に伝えていなかったのだ」とコメントしている。

 ポラード氏は「仮にブラウン氏が問題に関する懸念を提起し、他の上級幹部に無視されたのであれば、彼が単独で非難されるのは適切ではない」と警告した。

 ブラウンは2017年にセキュリティ担当のバイスプレジデントとしてSolarWindsに入社し、その後、2021年5月にCISOに昇進した(注4)。

 SECによると、2020年9月にブラウン氏らと共有された内部文書には、過去の1カ月間に確認されたセキュリティに関する問題の量が、エンジニアリングチームの問題解決能力を上回っている旨が記載されていたという。

 SECによると、SolarWindsは2020年12月14日に提出した8-Kの申告においても不完全な開示を実施していた。同社の株価はその後2日間で25%下落した。

 SolarWindsは、声明で告発に以下のような異議を唱えている。

 「米国企業に対するロシアのサイバー攻撃に関連したSECの根拠のない告発に失望しており、この行為が国家安全保障を危険にさらすことを深く懸念している。当社と当社のCISOに対する請求を捏造するというSECの判断は、SECによる過剰な介入の1つの例であり、全国の上場企業と献身的なサイバーセキュリティの専門家に対する警鐘である」

 今回の告発は、SECが2023年6月に送信した通知に基づくものだ(注5)。同通知では、調査の結果としてSolarWindsとブラウン氏に下される可能性のある処分が示された。

© Industry Dive. All rights reserved.

注目のテーマ