連邦判事は今週、CrowdStrikeが製品の安全性、テストの厳格さ、規制遵守について公衆を誤解させたとして告発された証券詐欺訴訟を却下した。
テキサス州西部地区連邦地方裁判所のロバート・ピットマン判事は、2024年7月の世界的IT障害の前後における、テキサス州オースティンに拠点を置くCrowdStrikeの発言の大半は、訴追対象とならない誇張表現(puffery)であるか、文脈に照らすと重要な点で誤解を招くものではないと判断した。ピットマン判事は、連邦政府のコンプライアンスに関する2つの発言は誤解を招く可能性があると認めたものの、原告側は故意または重大な過失(recklessness)を立証できていないと述べた。
「『被告らは資本調達の必要性、インセンティブ報酬の増加を望む気持ち、そして水増しされた価格で株式を売却したいという欲求によって詐欺を行う動機があった』という主張は――それ以上の事情がなければ――故意(scienter)を推認させるには不十分である」とピットマン判事は、月曜日の49ページに及ぶ命令書で記した。
この集団訴訟はニューヨーク州会計監査官トーマス・ディナポリが主導し、CrowdStrikeには適切な品質保証チームがなく、段階的なロールアウトを行わず、本番前環境で更新をテストしていなかったと主張した。ピットマン判事は6月、航空会社の乗客によるCrowdStrikeへの訴訟について、損害が航空サービスに結び付いているとして航空規制緩和法により先占されると判断した(参照: 裁判官、CrowdStrike障害に関連するフライト混乱訴訟を却下)。
判事:CrowdStrike幹部は投資家を意図的に欺いたわけではない
CrowdStrikeが障害後に行った修正は、管理不行き届きや運用上の欠陥を示唆するものの、発言当時に幹部が投資家を意図的に誤導していたことを決定的に示すものではないとピットマン判事は述べた。ピットマン判事は、より強い推認として、CrowdStrikeの幹部は、自社独自の迅速更新戦略が隠蔽ではなく、従来のテスト枠組みの外側にあると考えていたのだと判断した。
「原告の訴状は、企業の管理不全や品質管理の失敗に関するさまざまな出来事や認めを列挙している」とピットマン判事は命令書に記した。「しかし、企業の管理不全は、それだけでは10b-5請求を生じさせないし、過ちを認めること(mea culpa)も、証券詐欺事件における主張としての故意要件を十分に満たすものではない。」
原告らは、CrowdStrikeが投資家に対し、CI/CDなどの高度なソフトウェア開発手法に従っていること、ソフトウェア更新は非本番環境でテストされていること、品質保証チームを維持していることを保証していたと述べた。しかし障害後、CrowdStrikeには迅速更新に対する本番前テスト、段階的ロールアウト、独立したQAチームが欠けていたことが明らかになったと原告らは主張した(参照: CrowdStrike、世界的IT障害をめぐり集団訴訟に直面)。
「文脈の中で読めば、CrowdStrikeの2023年および2024年の委任状説明書(Proxy Statements)の『アクセシビリティ』欄にある一文だけから、CrowdStrikeがソフトウェア更新をテストする品質保証チームを有していると合理的な投資家が想定することはない」とピットマン判事は命令書に記した。
判事:CrowdStrikeのFedRAMPに関する主張は虚偽表示となり得る
障害後、原告らは、CrowdStrike自身の「暫定的なインシデント後レビュー(Preliminary Post-Incident Review)」が、同社が以前から常に用いていると主張していた条件下でテストしていれば当該更新は検知されていたはずだと認めたと述べた。また原告らによれば、2024年8月、マイケル・セントナス社長はラスベガスのDEF CONで「Most Epic Fail」賞を受け取り、同社が「これは間違っていた」と述べたという。
「業界標準はRapid Response Content更新には適用されないと考えられていた。というのも、それらはサイバーセキュリティ業界における新しいタイプの更新であり、その価値は自動的に実装されることに基づいていたからである」とピットマン判事は命令書に記した。「被告らが――後になって――厳格さに欠けるテストが悪い判断だったと結論づけたという事実は、証券詐欺の根拠にはならない。」
障害に至る2年間、原告らによれば、CrowdStrikeの幹部はFalconプラットフォームの優位性、独自のリアルタイム更新機能、そして更新テストにおける同社の規律を強調していた。しかし、2024年7月の障害でFalconの迅速更新に基本的な安全策すら欠けていたことが明らかになると、これらの保証は空虚に見えたと原告らは主張した。
「セントナスの『当社のエージェント・クラウド・アーキテクチャは……失敗した更新でエンドポイントをブルースクリーンにしない。これは業界全体でよく起きることだ』という発言(Dkt. 47-22, at 7)は、重要性を欠く誇張表現(puffery)である可能性がある」とピットマン判事は命令書に記した。「それは『会社の競争上の強みについての一般的で肯定的な発言』であり、証券詐欺の訴えを支えるには『具体性が足りない』。」
原告らは、CrowdStrikeがFedRAMPプログラムの厳格なサイバーセキュリティ遵守基準を満たしていると虚偽の認証を行い、速度を優先してこれらの重要な実務を放棄した後も、遵守していると表明し続けたと述べた。ピットマン判事は、これらの主張は重要な虚偽表示となり得ることに同意したが、原告らが故意を立証できなかったため、修正の余地を残して却下した。
「原告らは、被告カーツまたはセントナス自身がFedRAMPの検証書に署名したとする具体的事実を提示できていない」とピットマン判事は記した。「そして、いずれにせよ、仮に彼らがFedRAMPの検証書に署名していたとしても、原告らは、被告カーツまたはセントナスが『認証に含まれるいかなる記載も虚偽または誤解を招くものであることを知っていた、あるいは知らなかったことについて重大な無謀さがあった』ともっともらしく主張できていない。」
翻訳元: https://www.databreachtoday.com/court-axes-investor-lawsuit-over-crowdstrike-software-update-a-30523
