SolarWinds、米国証券取引委員会に詐欺行為と内部統制の不備で告発される：「脆弱性に懸念が生じれは投資家に正直に伝えるべき」

2020年米国全土に広がった大規模サイバーチェーン攻撃SolarWinds事件で、SolarWindsとCISOは早い段階で同社製品Orionに具体的な不備やリスクがあることを把握しつつ過少に報告していたことが発覚した。

[＠IT]

　米国証券取引委員会（Securities and Exchange Commission、以下SEC）は2023年10月30日（米国時間）、テキサス州オースティンを拠点とするSolarWinds社と最高情報セキュリティ責任者（CISO）ティモシー・G・ブラウン氏を、既知のサイバーセキュリティリスクと脆弱（ぜいじゃく）性に関連する詐欺行為と内部統制の不備で告発したことを発表した。

　2018年10月の新規株式公開から少なくとも2020年12月にかけて、「SUNBURST」と名付けられたマルウェアによって同社製品「Orion」が大規模なサイバー攻撃の標的となった事件が発生した。訴状によると、この発表まで少なくとも2年間あまり、SolarWindsとブラウン氏は自社のサイバーセキュリティ対策を誇張し、既知のリスクの過小な開示および非開示により、投資家を欺いたという。この期間中、SECに提出された文書では、SolarWindsとブラウン氏は具体的な不備やリスクを知りながら、一般的で仮説的なリスクのみを開示したとされ、自社が直面するリスクが増大していたことも認識していたとされている。

早い段階でリスクを知りつつ、情報を隠蔽（いんぺい）したSolarWinds

　SolarWindsのエンジニアが作成し、ブラウン氏にも共有された社内プレゼンテーション（2018年）は、SolarWindsのリモートアクセス設定が「あまり安全ではない」と評価していたと訴状は主張している。さらに、その脆弱性を見抜かれれば悪用されかねないため、「大きな評判と財務上の損失」につながる可能性があるという内部評価を受けていた。

　同様に、ブラウン氏による2018年および2019年のプレゼンテーションでは、「自社のセキュリティの現状は、当社の重要な資産にとって非常に脆弱な状態である」「重要なシステムやデータへのアクセスおよび特権は不適切である」と述べられている。

　さらに、SECの訴状によると、2019年から2020年にかけて、ブラウン氏を含むSolarWindsの従業員の間で、同社の重要資産をサイバー攻撃から保護する能力を疑問視する複数のやりとりがあったという。例えば、SECの訴状によると、2020年6月、SolarWindsの顧客に対するサイバー攻撃を調査していたブラウン氏は、攻撃者がSolarWindsのOrionを、より大規模な攻撃に利用しようとしている可能性があると認識していた。

　SECの訴状では、ブラウン氏がSolar Windsのサイバーセキュリティのリスクと脆弱性を認識していたにもかかわらず、その問題を解決することを怠り、時には社内でその問題をさらに十分に提起することもしなかったと指摘されている。こうした怠慢の結果、同社は主力製品であるOrionを含む同社の最も貴重な資産が適切に保護されているという合理的な保証も提供できなかったという。

　SEC執行部のガービル・S・グレワール氏は「SolarWindsとブラウン氏は、SolarWindsのサイバーリスクに関して繰り返されてきた警告を何年にもわたって無視してきた。SolarWindsとブラウン氏は、こうした脆弱性に対処するどころか、同社のサイバー管理環境について虚偽のキャンペーンを展開し、投資家に正確な重要情報を開示しなかった。今回の執行措置は、SolarWindsとブラウン氏が投資家を欺き、同社の最重要資産を保護しなかったことに対する告発だけでなく、あらゆる事業者に向けたわれわれのメッセージでもある。つまり、リスク環境に合った強力なコントロールを実施し、懸念が生じれは投資家に正直に伝えるべきだというメッセージだ」と述べた。

　SECの告発によると、ニューヨーク州南部地区で提出され、SolarWindsとブラウン氏が1933年証券法および1934年証券取引法の詐欺防止規定に違反したこと、SolarWindsが証券取引法の報告および内部統制規定に違反したこと、ブラウン氏が同社の違反をほう助したと主張している。SECはブラウン氏に対して恒久的な差し止め措置、前判決金利を含む利益没収、民事罰金、役員および取締役の資格停止を求めている。