SolarWindsハッキング事件のリスクを誤解させる開示を行ったしたとしてアメリカ証券取引委員会が4社に合計10億円超の罰金

2020年に発生した、SolarWindsのソフトウェア「Orion Platform」を利用した深刻なサイバー攻撃の影響について、重大な誤解を招くような開示を行ったとして、アメリカ証券取引所(SEC)がUnisys、Avaya Holdings、Check Point Software Technologies、Mimecastの4社を告発しました。4社は解決のため、合計698万5000ドル(約10億6000万円)の罰金支払いに合意しています。

SEC.gov | SEC Charges Four Companies With Misleading Cyber Disclosures
https://www.sec.gov/newsroom/press-releases/2024-174

SEC settles charges with 4 firms it says downplayed SolarWinds hack exposure | Cybersecurity Dive
https://www.cybersecuritydive.com/news/sec-settles-charges-4-companies-solarwinds/730668/

SEC fines four companies $7M for 'misleading cyber disclosures' regarding SolarWinds hack | TechCrunch
https://techcrunch.com/2024/10/22/sec-fines-four-companies-7-million-for-misleading-cyber-disclosures-regarding-solarwinds-hack/

2020年に発生したSolarWindsのソフトウェアを悪用したサイバー攻撃は、官公庁や大企業も広い範囲で被害を受け、Microsoftのブラッド・スミス社長が「過去10年で最も深刻なサイバー攻撃の1つ」と評しています。

Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ - GIGAZINE

SEC執行部のサンジェイ・ワドワ氏は「今回の措置が示すように、公開企業はサイバー攻撃の標的になる可能性がありますが、遭遇したサイバーセキュリティ事件に関して誤解を招くような開示を行って、株主や他の一般投資家の犠牲を増やさない責務があります。SECの命令は、これらの企業が当該インシデントについて誤解を招く開示を行い、インシデントの真の範囲について投資家から隠したことを認定するものです」と述べました。

SECによると、Unisys、Avaya、Check Pointの3社は2020年に、Mimecastは2021年に、それぞれOrion Platformを利用したサイバー攻撃の脅威アクターが自社システムに無許可でアクセスしたことを知りつつ、最小限のことしか情報を開示しなかったとのこと。

たとえばUnisysの場合、2度にわたって侵入を受け数GB単位のデータ流出があったにもかかわらず、リスクを仮定のものとして説明していました。また、Avayaは、クラウド上で共有していた少なくとも145のファイルに脅威アクターが不正アクセスしていたことを認識しつつ、情報開示では「限られた数のメールにアクセスを受けた」と過小報告していました。

告発を受けて、Unisysは400万ドル(約6億700万円)、Avayaは100万ドル(約1億5200万円)、Check Pointは99万5000ドル(約1億5100万円)、Mimecastは99万ドル(約1億5000万円)の罰金を支払うことになります。

SECは「重大なサイバーセキュリティ侵害を過小報告するのは間違った戦略です。これらの事例のうち2つでは、警告されたリスクがすでに顕在化していたことを知っていたにもかかわらず、仮定や一般的な枠組みで説明していました。連邦証券法は半端な真実の開示を禁じており、リスク要因の開示における記載に例外はありません」と述べています。