米国証券取引委員会(SEC)は、2020年のSUNBURST攻撃につながったセキュリティ慣行について投資家を誤解させたとしてSolarWindsと同社の最高情報セキュリティ責任者(CISO)を訴えていた訴訟を取り下げました。
木曜日に提出された共同申し立てで、SECはSolarWindsおよび同社の最高情報セキュリティ責任者ティモシー・G・ブラウンとともに、裁判所に対して委員会の継続中の訴訟の却下[PDF]を要請しました。また、民事執行措置の終了も求めました。
SECは、訴訟取り下げの決定について「裁量権の行使によるものであり、他の事件に対する委員会の立場を必ずしも反映するものではない」と述べています。
SolarWindsの広報担当者はThe Registerに対し、同社が「明らかにこの結果に満足している」と語りました。
「私たちは信念を持って戦い、事実が私たちのチームが適切に行動したことを示していると主張しました」と広報担当者は述べ、SECの決定について「この立場が正当化されたことを歓迎します」と付け加えました。
「この解決が、多くのCISOがこの事件について抱いていた懸念や、彼らの業務に及ぼしかねなかった萎縮効果を和らげることを願っています。」
訴訟の取り下げについての後のブログで、SolarWindsのCEOスダカール・ラマクリシュナは、SECの決定が「SolarWindsにとって変革的な章の終わりであり、次の章の始まりを示すものだ」と述べました。ラマクリシュナ氏は、ロシアのスパイが同社の内部インフラにアクセスした後、ベンダーのOrionネットワーク監視スイートにバックドアを仕込んだこの攻撃が「新しいSolarWindsを形作った」と語りました。
約18,000の組織がこの改ざんされたソフトウェアをダウンロードし、約100社がその後ロシアのCozy Bearグループにハッキングされました。被害者にはMicrosoft、Intel、FireEye、Cisco、そして米国財務省、司法省、国防総省、エネルギー省が含まれていました。
「[SUNBURST]は私たちに、より新しく出現する脅威についてさらに深く考えることを促し、その結果としてSecure by Design、すなわち業界全体で信頼性と安全性の高いソフトウェア開発の新たな基準を設定するという私たちの誓約につながりました」とラマクリシュナ氏は記しています。
SECによる2023年の訴訟は、SolarWindsとそのCISOが2018年10月までさかのぼってセキュリティ慣行について投資家を誤解させ、その後サイバー攻撃の規模や深刻さを意図的に過小評価したと主張していました。
当時、SolarWindsは米国の金融監督機関が「被害者を再び被害者にしようとしている」と非難しており、これはサイバーインシデント後に規制当局がCISOを標的にするという珍しい例でした。
2024年7月、裁判官はSECの主張の大部分を退けました。そのため、委員会が訴訟を取り下げることに同意したのは、形勢が不利だと判断した可能性があります。SECにもコメントを求めており、返答があれば本記事を更新します。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/20/sec_bails_on_solarwinds_lawsuit/
