SolarWindsのサイバー攻撃の事後対応 何がまずかったのか?
サイバー攻撃を受けたとき、直後の復旧はもちろんのこと、長く続く調査にも落とし穴がある。対応がまずいと訴訟の対象になってしまう。SolarWindsの事例を紹介しよう。
SolarWindsのネットワーク監視ツールが攻撃者に狙われ、不正なコードを埋め込まれたことで米国政府や民間企業など多数がサイバー攻撃を受けた。この事件が起きたのは2020年のことだが、まだ尾を引いている。何が起きたのだろうか。
何が問題になったのか
SolarWindsはサイバー攻撃の被害者だが、攻撃が明らかになった後の対応に問題があったという。
2023年12月5日に証券取引委員会(SEC)に提出された書類によると(注1)、Check Point Software Technologies(以下、Check Point)は、SolarWindsの監視ツール「Orion」の脆弱(ぜいじゃく)性に関連するSECの調査に協力した。
Check Pointは自主的に文書やその他の情報を提供し、ソフトウェアへのアクセスについてSECに通知した。提出書類によると、同社は限られたテスト環境へのアクセス権しか持っておらず、機密データや顧客情報、コード、その他の企業資産にはアクセスできなかった。
Check Pointは、本件について年次報告書で開示すべきだったかどうかについて、SECと和解協議中だ。同社によると、合意に基づく支払いが必要になる可能性はあるが、重大な影響はないとのことだ。
SECはSolarWindsを提訴した
SECは2020年のサプライチェーン攻撃に関する開示について(注2)、SolarWindsを調査中だ。
SECは2023年10月に、SolarWindsのセキュリティ能力について投資家に誤った情報を提供したとして、同社と同社のティモシー・ブラウン氏(CISO《最高情報セキュリティ責任者》)に対して民事提訴を起こした(注3)。2020年時点、ブラウン氏はセキュリティ担当のバイスプレジデントだった。
SolarWindsの関係者は、これらの告発を強く避難し(注4)、調査全体が不適切だと主張した。また、国家のサイバーインフラストラクチャに関連する開発手法の安全性を高めるために、連邦当局と長年にわたって連携してきたことを引き合いに出した。
SECは以前、ブラウン氏と同社のCFO(最高財務責任者)に対する調査に関連して、法的措置の可能性に関する通知をSolarWindsに送ったが(注5)、CFOは起訴されなかった。
SECはSolarWindsの調査に関連して、企業に対して自発的な情報提供を求めている(注6)。これらの質問は、投資家への情報開示の不備に関連している。
その他の要請について具体的に尋ねられたSECの広報担当者は「当局は調査の有無についてコメントしない」と答えた。
Check Pointによると、SECに対する支払いが同社の業績や事業、全体的な財務状況に重大な影響を与えることはないという。同社の広報担当者は、今回の情報開示について詳しい説明を避けたが、交渉が和解に至る可能性もあれば、至らない可能性もあると強調した。Check Pointは、現在協議されている条件で交渉がまとまる保証はないとしている。提出書類によると、SECとの和解には同委員会の承認が必要だ。
SECが他のセキュリティ企業と連絡を取ったかどうかは、現時点で判明していない。
出典:Check Point Software in SEC settlement talks in connection with SolarWinds probe(Cybersecurity Dive)
注1:FORM 6-K(SEC)
注2:One year later: Has SolarWinds changed how industry builds software?(Cybersecurity Dive)
注3:SEC charges SolarWinds, its CISO with fraud(Cybersecurity Dive)
注4:Transparency, Information-Sharing, and Collaboration Make the Software Industry More Secure. We Must Not Risk Our Progress.(SolarWinds)
注5:SEC notifies SolarWinds CISO and CFO of possible action in cyber investigation(Cybersecurity Dive)
注6:In the Matter of Certain Cybersecurity-Related Events (HO-14225) FAQs(SEC)
© Industry Dive. All rights reserved.
関連記事
サイバー攻撃よりも怖い「証券取引委員会」 何が恐ろしいのか
米国の証券取引委員会はサイバー攻撃を受けた企業に対して非常に厳しい態度を取り始めた。これは日本企業にも波及するのだろうか。
自社がサイバー攻撃を受けた 証券取引委員会は敵か味方か
証券取引委員会の新しいサイバーセキュリティ開示規則が施行された。企業側に求められることは多く、経営層から担当者まで考えなければならないことが多い。