サイバーセキュリティおよび法律の専門家は、この訴訟がリスク開示に関する先例となる可能性があると考えていました。
証券取引委員会(SEC)は木曜日、画期的な民事詐欺訴訟を取り下げると発表しました。対象はSolarWinds社および同社の最高情報セキュリティ責任者(CISO)であるティム・ブラウン氏です。
SECは2023年にSolarWindsを提訴し、同社がロシア政府のハッカーによる大規模なサプライチェーン攻撃に先立ち、既知のセキュリティリスクを投資家に開示しなかったと主張していました。この攻撃では、同社のOrionソフトウェアがマルウェアに感染しました。
委員会の訴訟では、SolarWindsおよびブラウン氏が同社のサイバーセキュリティプログラムにおける具体的な欠陥を認識していたにもかかわらず、投資家に知らせなかったとしています。SECは訴状で、同社およびブラウン氏が詐欺および内部統制の失敗を犯したと非難しました。
しかし木曜日、SECと被告側は訴訟の棄却に関する共同合意書を提出しました(棄却は再提起を認めない形です)。SECによれば、この棄却が他の訴訟に影響を及ぼすとは限りません。
SolarWindsのOrionプラットフォームは幅広い政府機関や企業で利用されており、ロシアは感染したコードを通じてネットワークに侵入した後、同社の顧客への広範なアクセスを得ることができました。
SECによるSolarWindsへの訴訟は2024年、大きな打撃を受けました。連邦判事が主張の大部分を棄却したためです。これには2020年12月の攻撃公表後の出来事に関するすべての主張や、内部会計および開示統制に関する主張が含まれています。
SolarWindsは、SECの訴訟取り下げの決定について「明らかに喜んでいる」と述べ、同社はこの訴訟を委員会による大きな越権行為だと表現しました。
「私たちは確信を持って戦い、事実が私たちのチームの適切な対応を示していると主張しました。この結果はその立場が正しかったことを歓迎すべき証明です」とSolarWindsの広報担当者はCybersecurity Diveに語りました。「この解決が、多くのCISOがこの訴訟と、それが彼らの業務に与える潜在的な萎縮効果について抱いていた懸念を和らげることを願っています。」
SECは、訴訟に関する裁判所への提出書類およびプレスリリース以外のコメントを控えました。
翻訳元: https://www.cybersecuritydive.com/news/sec-drops-civil-fraud-case-solarwinds/806126/
