SolarWindsは2020年に発生したマルウェア「Sunburst」による攻撃に先立って、投資家に誤った情報を提供したとして告発されたが、その容疑の大半を連邦裁判所は棄却した。これは何を意味するのか。
米国証券取引委員会(以下、SEC)はSolarWindsが2020年に発生したマルウェア「Sunburst」攻撃によって大きな被害を発生させたSolarWindsに対し、投資家にリスクを事前に共有せず欺いたとして、同社とそのCISO(最高情報 セキュリティ 責任者)であるティム・ブラウン氏を告発した。Sunburstによる攻撃では、同社の「Orion Platform」に注入されたマルウェアによって、数千の企業が被害に遭った。
連邦地方裁判所のポール・エンゲルマイヤー判事は、同社への請求の大半を棄却した(注2)。中でも重要なのは、同社の会計慣行に関するものだった。一方で、SolarWindsの株式公開前の有価証券報告書に関する請求は支持した。「この判決は、上場企業が一般市民や顧客に提供したサイバーセキュリティ関連の情報と、取締役会や役員が出した情報の内容が一致しない場合、SECが詐欺であると主張できることを意味する」 CISO(最高情報セキュリティ責任者)や上場企業の中には、この判決によってサイバーリスクの実践を巡る規制の動きが鈍化すると考える者もいるかもしれないが、ある法律専門家は「その推測は時期尚早だ」と指摘する。 法律事務所Reed Smithのジェリー・ステグメイア氏(パートナー)は「SECは、依然としてサイバーセキュリティ全般や企業のインシデント対応を積極的に監視している。SECや連邦取引委員会(FTC)などの政府機関、州検事総長、集団訴訟を担当する弁護士との間において、訴訟の可能性はかつてないほど高まっている」と述べた。セキュリティ管理違反の事例としては、2021年11月下旬に発生した印刷業者R.R. Donnelley&Sonsのランサムウェア被害が記憶に新しい。ハッカーはシステムを暗号化してデータを盗み、同社の事業をクリスマス直前まで停止させた。SECと同社の裁判は2024年6月に210万ドルの罰金支払いで和解している(注3)。
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
CrowdStrikeの障害の教訓を生かせ Microsoftが再発防止策を公表:Cybersecurity DiveMicrosoftは、大規模なセキュリティの見直しに着手してからわずか数カ月後に、CrowdStrikeのアップデートに起因する問題に関連したレジリエンス強化の取り組みについて説明した。
続きを読む »
CrowdStrikeの障害は日本円換算で7900億円の大損失 サイバー保険ではカバーできず:Cybersecurity DiveParametrixのレポートによると、Crowdstrikeに関連する世界的なIT障害により、Microsoftを除く「Fortune 500」企業に少なくとも54億ドル(日本円換算で7900億円)の金銭的損失が発生する可能性が高いという。
続きを読む »
セキュリティ企業は問題を起こしたとき、なぜ“すぐ謝れないのか”?:Cybersecurity Dive世界中のWindows環境で発生したインシデントの責任を取って、CrowdStrikeは迅速に謝罪した。この対応は謝罪の言葉を述べたり、過ちを認めたりする習慣がないサイバーセキュリティ業界では珍しいケースだ。
続きを読む »
OT環境の侵害に特化したマルウェアが登場 ウイルス対策ソフトでは検知不可:Cybersecurity DiveDragosはOTシステムの侵害に特化したマルウェア「FrostyGoop」を観測した。FrostyGoopはウクライナのエネルギー供給業者に対して実行された2024年1月のサイバー攻撃に関連していたとみられる。
続きを読む »
サイバー攻撃の初期アクセス経路の約半数は脆弱な認証情報を狙っている:Cybersecurity DiveGoogle Cloudのレポートによると、2024年の上半期におけるクラウド環境への攻撃の最初のアクセス経路として最も多かったのは、認証情報に対する誤った管理を原因とするものだった。
続きを読む »
Progress Softwareの支出が高騰 原因はMOVEitに関する法的責任:Cybersecurity Diveファイル転送サービス「MOVEit Transfer」の脆弱性が悪用されたことに関連して、Progress Softwareの支出が高騰している。同社は、訴訟や規制当局による監視、政府の調査に直面している。
続きを読む »