SolarWindsは2020年に発生したマルウェア「Sunburst」による攻撃に先立って、投資家に誤った情報を提供したとして告発されたが、その容疑の大半を連邦裁判所は棄却した。これは何を意味するのか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米国証券取引委員会(以下、SEC)はSolarWindsが2020年に発生したマルウェア「Sunburst」攻撃によって大きな被害を発生させたSolarWindsに対し、投資家にリスクを事前に共有せず欺いたとして、同社とそのCISO(最高情報セキュリティ責任者)であるティム・ブラウン氏を告発した。
同問題について、連邦裁判所は容疑の大半を棄却した。この判決はSECによるサイバーリスク開示規制の進め方に大きな影響を与える可能性がある。
Sunburstによる攻撃では、同社の「Orion Platform」に注入されたマルウェアによって、数千の企業が被害に遭った。
連邦地方裁判所のポール・エンゲルマイヤー判事は、同社への請求の大半を棄却した(注2)。中でも重要なのは、同社の会計慣行に関するものだった。一方で、SolarWindsの株式公開前の有価証券報告書に関する請求は支持した。
法律事務所McDermott, Will&Emeryの共同経営者であり、ニューヨーク州南部地区の元連邦検察官であるサガー・ラヴィ氏は、次のように述べた。
「この判決は、上場企業が一般市民や顧客に提供したサイバーセキュリティ関連の情報と、取締役会や役員が出した情報の内容が一致しない場合、SECが詐欺であると主張できることを意味する」
CISO(最高情報セキュリティ責任者)や上場企業の中には、この判決によってサイバーリスクの実践を巡る規制の動きが鈍化すると考える者もいるかもしれないが、ある法律専門家は「その推測は時期尚早だ」と指摘する。
法律事務所Reed Smithのジェリー・ステグメイア氏(パートナー)は「SECは、依然としてサイバーセキュリティ全般や企業のインシデント対応を積極的に監視している。SECや連邦取引委員会(FTC)などの政府機関、州検事総長、集団訴訟を担当する弁護士との間において、訴訟の可能性はかつてないほど高まっている」と述べた。
セキュリティ管理違反の事例としては、2021年11月下旬に発生した印刷業者R.R. Donnelley&Sonsのランサムウェア被害が記憶に新しい。ハッカーはシステムを暗号化してデータを盗み、同社の事業をクリスマス直前まで停止させた。SECと同社の裁判は2024年6月に210万ドルの罰金支払いで和解している(注3)。
SECはR.R. Donnelley&Sonsにおいて、これらの情報を経営陣に報告するための開示管理と手続きを設計できていなかったと主張した。
R.R. Donnelley&Sonsは事件の調査に全面協力し、和解成立の要因になった。
SolarWindsの判決がR.R. Donnelley&Sonsの和解や過去の裁判に影響を与えるかどうかは不明だが、今後SECが内部統制に関わる訴訟を起こす能力を制限する可能性は高い。
法律事務所Holland&Knightのシャードゥル・デサイ氏(パートナー)は、電子メールで次のように述べた。
「今回の判決は、SECによる開示規制違反の追求は、管理に設計上の欠陥があったり、システムが頻繁にエラーを引き起こしたりしているような場合に限定される可能性があると示唆している。重大なサイバーセキュリティインシデントの開示が遅れる原因となった無意識のエラーだけでは、SECが措置を取る理由とならない可能性がある」
連邦当局はサイバーリスクを適切に開示し、投資家や顧客に対して透明性を示すことを怠った企業を取り締まってきた。
SECは2023年、2020年に発生したランサムウェア攻撃の範囲について誤解を招くような開示を行ったとして、教育用ソフトウェア企業であるBlackbaudと300万ドルで和解を成立させている(注4)。
2022年にはSECによる事前調査を受けている間にランサムウェア攻撃を隠蔽(いんぺい)したとして、Uberの元CSO(セキュリティ最高責任者)が有罪判決を受けている(注5)。
攻撃者が5700万件の顧客記録と60万件のドライバーの運転免許番号にアクセスした後、Uberの元CSO(最高セキュリティ責任者)であるジョセフ・サリバン氏は2人のハッカーに金銭を支払い、秘密保持契約を締結していた。
最初の公判前会議は、ロウワーマンハッタンのサーグッド・マーシャル裁判所で2024年8月14日(現地時間)に開かれる予定だ。裁判所は、裁判と弁護に関する事実および法的根拠、予審動議、和解の見通しに関する情報を求めている。
SolarWindsの広報担当者は、電子メールで「残された主張が事実に反する理由を示すために、当社独自の証拠を提示する機会を楽しみにしている」と述べた。
SECはコメントを拒否した。
(注1)SEC charges SolarWinds, its CISO with fraud(Cybersecurity Dive)
(注2)Majority of SEC civil fraud case against SolarWinds dismissed, but core remains(Cybersecurity Dive)
(注3)SEC Charges R.R. Donnelley & Sons Co. with Cybersecurity-Related Controls Violations(SEC)
(注4)Blackbaud to pay $3M to settle SEC charges of a misleading ransomware investigation(Cybersecurity Dive)
(注5)Uber ex-CSO verdict raises thorny issues of cyber governance and transparency(Cybersecurity Dive)
© Industry Dive. All rights reserved.