Last Updated on 2024-01-30 11:37 by 荒木 啓介
SolarWindsは、2020年のサイバー攻撃に関連して米国証券取引委員会(SEC)から提訴されたことに対し、自社とそのCISO(最高情報セキュリティ責任者)であるTim Brownに対する詐欺の告発を「根拠のない前例のないもの」と批判しました。この攻撃では、SolarWindsのネットワーク監視ソフトウェアがロシアのスパイによってバックドア(不正アクセスを可能にする隠し機能)が仕掛けられ、顧客が盗聴される事態となりました。SolarWindsは、SECがサイバーセキュリティを規制する能力に欠けると非難し、SECの訴訟は「被害者を再び被害者にする」ものだと主張しています。
SECは2020年10月にSolarWindsとBrownに対して、2018年10月以降のセキュリティ慣行について投資家を誤解させたとして訴訟を起こしました。この攻撃により、約18,000の組織が影響を受け、その中にはMicrosoft、Intel、FireEye、Cisco、米国の財務省、司法省、エネルギー省、ペンタゴン(国防総省)などが含まれます。しかし、実際にロシアのCozy Bearによってハッキングされたのは約100の組織でした。SolarWindsの弁護士は、SECの主張は全面的に失敗しており、経営陣が何か誤解を招くような声明をしたわけではないと主張しています。また、Brownに対するSECの訴訟は「不当であり、理解不能」と述べています。SECはこの件についてコメントを控えています。
【ニュース解説】
2020年、SolarWindsという企業が中心となったサイバー攻撃が発生しました。この攻撃では、同社のネットワーク監視ソフトウェアがロシアのスパイによってバックドアを仕掛けられ、多数の顧客が盗聴される事態に陥りました。この事件に関連して、米国証券取引委員会(SEC)はSolarWindsとその最高情報セキュリティ責任者(CISO)であるTim Brownに対して、セキュリティ慣行について投資家を誤解させたとして訴訟を起こしました。
SolarWindsはこの訴訟に対して強く反論し、SECの告発を「根拠のない前例のないもの」と批判しています。同社は、SECがサイバーセキュリティを規制する能力に欠けており、この訴訟は「被害者を再び被害者にする」ものだと主張しています。また、SolarWindsの弁護士は、SECの主張は全面的に失敗しており、経営陣が何か誤解を招くような声明をしたわけではないと述べています。
この事件は、サイバーセキュリティの脅威が国家レベルのスパイ活動にまで及んでいることを示しています。また、企業がどのようにしてセキュリティリスクを開示し、投資家を保護するかという問題も提起しています。SECの訴訟は、企業がセキュリティに関する内部情報を詳細に開示することを求めていますが、これは企業にとって実行が難しく、攻撃者に対するロードマップを提供する恐れがあるため、議論の余地があります。
このような背景から、サイバーセキュリティの規制や企業の開示義務に関する議論は今後も続くことが予想されます。また、企業がどのようにしてセキュリティ対策を強化し、同時に透明性を保ちながら投資家を保護するかが、重要な課題となっています。この事件は、サイバーセキュリティの重要性と、それに対する企業と規制当局の対応の難しさを浮き彫りにしています。
from SolarWinds slams SEC lawsuit against it as 'unprecedented' victim blaming.
