米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)
こんにちは、丸山満彦です。
米国の証券取引委員会 (SEC) がソーラーウィンズ社と最高情報セキュリティ責任者(CISO)を詐欺と内部統制の不備で告発していますね。。。
内部統制に不備があり、その結果情報セキュリティリスクが高かったにも関わらず、そのリスクを適切に開示しておらず不適切で、投資家を騙す結果となったということで、SECが会社とCISOを訴えたということですかね。。。
情報セキュリティリスクが経営に与える影響は大きくなってきていて、CISOを設置する企業も増えていますが、その責任がより重くなってきているということですね。。。
CISOとしては、リスクを感じているのであれば、経営会議、取締役会等で適切い主張することが重要ですね。結果的にそれが、取締役会で否定されたとしても、その結果は議事録等に残る(残ってなかったら、残すようにいわないとだめですが...)ので、CISOの責任は一定軽減されることになると思います。。。
米国における財務諸表等の開示については、日本の感覚より、かなり厳しいという認識はもっておいたほうがよいと思います。内容の詳細さもそうなのですが、特に誠実さ。。。
日本では銀行預金が多いですが、米国では株式投資も普通で、資本主義社会として、投資は社会発展の重要なエンジンと考えていて、それに対する違反というのは、国家反逆罪的な勢いなのではないかと思います(^^)
訴訟の行方が注目されますね。。。
ちなみに、SolarWinds Onion製品はSBOMへの流れを加速したとも思うんですよね。。。という意味では、なかなか大きな事件だったとは思います。。。
● U.S. Securityes and Exchange Commission: SEC
・2023.10.30 SEC Charges SolarWinds and Chief Information Security Officer with Fraud, Internal Control Failures
SEC Charges SolarWinds and Chief Information Security Officer with Fraud, Internal Control Failures | 米証券取引委員会(SEC)、ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 |
Complaint alleges software company misled investors about its cybersecurity practices and known risks | ソフトウェア会社がサイバーセキュリティの実践と既知のリスクについて投資家を欺いたとして訴追される。 |
FOR IMMEDIATE RELEASE | 即時リリース |
2023-227 | 2023-227 |
Washington D.C., Oct. 30, 2023 — | ワシントンD.C.、2023年10月30日-。 |
The Securities and Exchange Commission today announced charges against Austin, Texas-based software company SolarWinds Corporation and its chief information security officer, Timothy G. Brown, for fraud and internal control failures relating to allegedly known cybersecurity risks and vulnerabilities. The complaint alleges that, from at least its October 2018 initial public offering through at least its December 2020 announcement that it was the target of a massive, nearly two-year long cyberattack, dubbed “SUNBURST,” SolarWinds and Brown defrauded investors by overstating SolarWinds' cybersecurity practices and understating or failing to disclose known risks. In its filings with the SEC during this period, SolarWinds allegedly misled investors by disclosing only generic and hypothetical risks at a time when the company and Brown knew of specific deficiencies in SolarWinds’ cybersecurity practices as well as the increasingly elevated risks the company faced at the same time. | 証券取引委員会は本日、テキサス州オースティンを拠点とするソフトウェア会社ソーラーウィンズ・コーポレーションと同社の最高情報セキュリティー責任者であるティモシー・G・ブラウン氏に対し、既知のサイバーセキュリティーのリスクと脆弱性に関連した詐欺行為と内部統制の不備で告発したことを発表した。訴状では、少なくとも2018年10月の新規株式公開から、少なくとも2020年12月の「SUNBURST」と呼ばれる2年近くに及ぶ大規模なサイバー攻撃の標的であるとの発表まで、ソーラーウィンズ社とブラウンは、ソーラーウィンズ社のサイバーセキュリティの実践を過大に誇張し、既知のリスクを過小に開示したり開示しなかったりして投資家を欺いたとしている。この時期、ソーラーウインズ社はSECに提出した書類の中で、同社とブラウンはソーラーウインズ社のサイバーセキュリティ対策に具体的な欠陥があり、同時に同社が直面していたリスクがますます高まっていることを知っていたにもかかわらず、一般的で仮定のリスクしか開示せず、投資家を欺いたとされている。 |
As the complaint alleges, SolarWinds’ public statements about its cybersecurity practices and risks were at odds with its internal assessments, including a 2018 presentation prepared by a company engineer and shared internally, including with Brown, that SolarWinds’ remote access set-up was “not very secure” and that someone exploiting the vulnerability “can basically do whatever without us detecting it until it’s too late,” which could lead to “major reputation and financial loss” for SolarWinds. Similarly, as alleged in the SEC’s complaint, 2018 and 2019 presentations by Brown stated, respectively, that the “current state of security leaves us in a very vulnerable state for our critical assets” and that “[a]ccess and privilege to critical systems/data is inappropriate.” | 訴状で主張されているように、サイバーセキュリティの実践とリスクに関するソーラーウインズ社の公式声明は、同社のエンジニアが作成し、ブラウン氏を含む社内で共有された2018年のプレゼンテーションを含め、ソーラーウインズ社のリモートアクセスのセットアップは「あまり安全ではない」、脆弱性を悪用する者は「基本的に手遅れになるまで検知せずに何でもできる」、ソーラーウインズ社にとって「大きな評判と財務上の損失」につながる可能性がある、といった同社の内部アセスメントと食い違っていた。同様に、SECの訴状で主張されているように、ブラウンによる2018年と2019年のプレゼンテーションでは、それぞれ、"セキュリティの現状は、当社の重要な資産にとって非常に脆弱性を残す状態 "であり、"重要なシステム/データへのアクセスと特権は不適切 "であると述べられている。 |
In addition, the SEC’s complaint alleges that multiple communications among SolarWinds employees, including Brown, throughout 2019 and 2020 questioned the company’s ability to protect its critical assets from cyberattacks. For example, according to the SEC’s complaint, in June 2020, while investigating a cyberattack on a SolarWinds customer, Brown wrote that it was “very concerning” that the attacker may have been looking to use SolarWinds’ Orion software in larger attacks because “our backends are not that resilient;” and a September 2020 internal document shared with Brown and others stated, “the volume of security issues being identified over the last month have [sic] outstripped the capacity of Engineering teams to resolve.” | さらにSECの訴状によると、2019年から2020年にかけて、ブラウンを含むソーラーウィンズ社の従業員の間で、同社の重要資産をサイバー攻撃から守る能力を疑問視するコミュニケーションが複数あったという。例えば、SECの訴状によると、2020年6月、ソーラーウインズ社の顧客に対するサイバー攻撃を調査していたブラウン氏は、攻撃者がソーラーウインズのOrionソフトウェアをより大規模な攻撃に利用しようとしていた可能性があることを「非常に懸念している」と記している。 |
The SEC’s complaint alleges that Brown was aware of SolarWinds’ cybersecurity risks and vulnerabilities but failed to resolve the issues or, at times, sufficiently raise them further within the company. As a result of these lapses, the company allegedly also could not provide reasonable assurances that its most valuable assets, including its flagship Orion product, were adequately protected. | SECの訴状によると、ブラウン氏はソーラーウインズ社のサイバーセキュリティのリスクと脆弱性を認識していたにもかかわらず、その問題を解決することを怠り、時には社内でさらに十分に問題提起することもしなかったという。こうした怠慢の結果、同社は主力製品であるOrionを含む同社の最も貴重な資産が適切に保護されているという合理的な保証も提供できなかったとされている。 |
SolarWinds made an incomplete disclosure about the SUNBURST attack in a December 14, 2020, Form 8-K filing, following which its stock price dropped approximately 25 percent over the next two days and approximately 35 percent by the end of the month. | ソーラーウインズ社は、2020年12月14日に提出したフォーム8-KでSUNBURST攻撃について不完全な開示を行い、その後株価は2日間で約25%、月末までに約35%下落した。 |
“We allege that, for years, SolarWinds and Brown ignored repeated red flags about SolarWinds’ cyber risks, which were well known throughout the company and led one of Brown’s subordinates to conclude: ‘We’re so far from being a security minded company,’” said Gurbir S. Grewal, Director of the SEC’s Division of Enforcement. “Rather than address these vulnerabilities, SolarWinds and Brown engaged in a campaign to paint a false picture of the company’s cyber controls environment, thereby depriving investors of accurate material information. Today’s enforcement action not only charges SolarWinds and Brown for misleading the investing public and failing to protect the company’s ‘crown jewel’ assets, but also underscores our message to issuers: implement strong controls calibrated to your risk environments and level with investors about known concerns.” | SEC執行部のガービル・S・グレワル部長は、次のように述べた。「ソーラーウインズ社とブラウン氏は何年もの間、ソーラーウインズ社のサイバーリスクに関する度重なる赤信号を無視していたと我々は主張している。ソーラーウインズ社とブラウン氏は、こうした脆弱性に対処するどころか、同社のサイバー管理環境について虚像を描くキャンペーンを展開し、投資家から正確な重要情報を奪った。本日の強制措置は、ソーラーウインズ社とブラウン氏が投資家を欺き、同社の "王冠の宝石 "のような資産を保護しなかったことを告発するだけでなく、発行体に対する我々のメッセージを強調するものである。」 |
The SEC’s complaint, filed in the Southern District of New York, alleges that SolarWinds and Brown violated the antifraud provisions of the Securities Act of 1933 and of the Securities Exchange Act of 1934; SolarWinds violated reporting and internal controls provisions of the Exchange Act; and Brown aided and abetted the company’s violations. The complaint seeks permanent injunctive relief, disgorgement with prejudgment interest, civil penalties, and an officer and director bar against Brown. | SECの訴状はニューヨーク州南部地区で提出され、ソーラーウィンズ社とブラウン氏が1933年証券法および1934年証券取引法の詐欺防止規定に違反したこと、ソーラーウィンズ社が証券取引法の報告および内部統制規定に違反したこと、ブラウン氏が同社の違反を幇助したことを主張している。訴状は、ブラウン氏に対し、永久的差止命令による救済、予見利息を伴う遺贈、民事罰、役員および取締役の資格停止を求めている。 |
The SEC’s investigation was conducted by W. Bradley Ney, Lory Stone, and Benjamin Brutlag, with assistance from the Trial Unit’s Christopher Bruckmann and Kristen Warden, and was supervised by Carolyn M. Welshhans and Melissa R. Hodgman. The SEC’s litigation will be led by Mr. Bruckmann and Ms. Warden under the supervision of Melissa Armstrong. | SECの調査は、W.ブラッドリー・ネイ、ローリー・ストーン、ベンジャミン・ブルトラグが行ない、トライアル・ユニットのクリストファー・ブルックマンとクリステン・ウォーデンが支援し、キャロリン・M.ウェルシュハンスとメリッサ・R.ホッジマンが監督した。SECの訴訟は、メリッサ・アームストロングの監督の下、ブルックマン氏とウォーデン氏が指揮する。 |
ちなみに、
関連 8-K
● EDGAR
・2023.10.30 Form 8-K
Item 7.01 Regulation FD Disclosure. | 項目7.01 規制FDの開示 |
On October 30, 2023, SolarWinds Corporation (“SolarWinds” or the “Company”) provided the following update regarding the previously disclosed investigation by the Securities and Exchange Commission of the cyberattack on the Company’s Orion Software Platform and internal systems on its Orange Matter blog, accessible at [web]. The Company may from time to time provide additional updates related to this matter on its Orange Matter blog. | 2023年10月30日、ソーラーウインズ・コーポレーション(以下「ソーラーウインズ」または「当社」)は、当社のOrion Software Platformおよび社内システムに対するサイバー攻撃に関する証券取引委員会による調査について、先に開示した以下の最新情報を、当社のOrange Matterブログ [web] で提供した。当社は、オレンジ・マター・ブログでこの件に関する最新情報を随時提供する可能性がある。 |
Transparency, Information-Sharing, and Collaboration Make the Software Industry More Secure. We Must Not Risk Our Progress. | 透明性、情報共有、コラボレーションがソフトウェア業界をより安全にする。我々の進歩を危険にさらしてはならない。 |
Soon after the highly sophisticated Russian cyberattack on SolarWinds and other technology companies was discovered in December 2020, the U.S. government and the security community determined it was carried out by persistent Russian threat actors. SUNBURST used novel techniques the world’s best cybersecurity experts had never seen before. | 2020年12月、ソーラーウインズとその他のテクノロジー企業に対する高度に洗練されたロシアのサイバー攻撃が発覚した直後、米国政府とセキュリティコミュニティは、それがロシアの執拗な脅威行為者によって実行されたと判断した。SUNBURSTは、世界最高のサイバーセキュリティ専門家も見たことのない斬新な手法を用いた。 |
Since SUNBURST, there have been several reports of successful, highly resourceful, and capable technology companies—and even federal agencies—falling victim to nation-state cyberattacks, further illustrating that no one is immune to the new, advanced threats that have unfortunately become commonplace. As we practice and advocate, a community vigil is the only way to improve our collective security. It is imperative for victims of cyberattacks to come forward and share their experiences for the benefit of the broader community—and it is imperative these victims not be further victimized. | SUNBURST以降、成功を収め、非常に機知に富み、有能なテクノロジー企業、さらには連邦政府機関までもが、国家によるサイバー攻撃の犠牲になったという報告がいくつかあり、残念ながら一般的になってしまった新たな高度な脅威に対して、誰も無防備でいられるわけではないことをさらに物語っている。私たちが実践し、提唱しているように、地域社会の警戒こそが、私たちの集団的安全保障を向上させる唯一の方法である。サイバー攻撃の被害者が名乗り出、その経験を共有することは、より広範なコミュニティのために不可欠であり、これらの被害者がさらに被害を受けることのないようにすることが肝要である。 |
When I joined SolarWinds just days after the company learned of SUNBURST, my immediate focus was supporting our customers as we quickly contained, remediated, and eradicated the issue—while helping our customers ensure their environments were secure. We shared information about the incident as it was confirmed. The transparency of our response and our ongoing commitment to public-private partnerships has been widely praised in the global IT and security communities. We defined and implemented our Secure by Design initiative and have been commended broadly for advancing cybersecurity. | 私がソーラーウインズに入社したのは、SUNBURSTの存在を知ってからわずか数日後のことであった。インシデントが確認されると、私たちはその情報を共有した。私たちの対応の透明性と官民パートナーシップへの継続的なコミットメントは、世界のITおよびセキュリティ・コミュニティで広く賞賛された。私たちはセキュア・バイ・デザイン・イニシアチブを定義・実施し、サイバーセキュリティを推進したことで広く称賛されている。 |
How we responded to SUNBURST is exactly what the U.S. government seeks to encourage. So, it is alarming that the Securities and Exchange Commission (SEC) has now filed what we believe is a misguided and improper enforcement action against us, representing a regressive set of views and actions inconsistent with the progress the industry needs to make and the government encourages. | SUNBURSTへの対応は、まさに米国政府が奨励しようとしているものだ。そのため、証券取引委員会(SEC)がこのたび、私たちに対して見当違いの不適切な強制執行を行ったことは憂慮すべきことであり、業界が達成すべき進歩や政府が奨励する進歩と矛盾する、時代に逆行する一連の見解と行動を表している。 |
The truth of the matter is that SolarWinds maintained appropriate cybersecurity controls prior to SUNBURST and has led the way ever since in continuously improving enterprise software security based on evolving industry standards and increasingly advanced cybersecurity threats. For these reasons, we will vigorously oppose this action by the SEC. | 問題の真実は、ソーラーウインズはSUNBURST以前から適切なサイバーセキュリティ管理を維持し、その後も進化する業界標準とますます高度化するサイバーセキュリティの脅威に基づき、企業向けソフトウェアのセキュリティを継続的に改善することで業界をリードしてきたということである。これらの理由から、当社はSECによるこの措置に激しく反対する。 |
Our commitment to transparent communication has extended beyond customers to the entire industry and our government partners. We made a deliberate choice to speak—candidly and frequently—with the goal of sharing what we learned to help others become more secure. We partnered closely with the government and encouraged other companies to be more open about security by sharing information and best practices. We have advocated strongly for robust public-private partnerships to prevent future nation-state attacks. As a result of our efforts, the industry has made considerable progress in this regard since SUNBURST. Fierce business competitors now understand the need to be cooperative partners focused on defending our nation’s cyberinfrastructure against new and constantly changing attacks. | 透明性のあるコミュニケーションへのコミットメントは、顧客だけでなく、業界全体や政府パートナーにまで及んでいる。私たちは、他の人々がより安全になるために私たちが学んだことを共有することを目標に、率直かつ頻繁に発言することを意図的に選択した。政府と緊密に連携し、情報やベスト・プラクティスを共有することで、セキュリティについてよりオープンになるよう他社を奨励した。私たちは、将来の国家による攻撃を防ぐために、官民の強固なパートナーシップを強く提唱した。我々の努力の結果、サンバースト以降、業界はこの点でかなりの進歩を遂げた。熾烈なビジネス上の競合他社は現在、絶えず変化する新たな攻撃からわが国のサイバーインフラを守ることに注力する協力的なパートナーになる必要性を理解している。 |
The SEC’s charges now risk the open information-sharing across the industry that cybersecurity experts agree is needed for our collective security. They also risk disenfranchising earnest cybersecurity professionals across the country, taking these cyber warriors off the front lines. I worry these actions will stunt the growth of public-private partnerships and broader information-sharing, making us all even more vulnerable to security attacks. | SECの告発は、サイバーセキュリティの専門家たちが安全保障のために必要だと認めている、業界を超えたオープンな情報共有を危うくするものだ。また、全米の熱心なサイバーセキュリティの専門家の権利を奪い、サイバー戦士たちを最前線から遠ざけてしまう危険性もある。このような行動は、官民のパートナーシップやより広範な情報共有の成長を阻害し、私たち全員をセキュリティ攻撃に対してさらに脆弱にするのではないかと心配している。 |
The actions we have taken over the last two and half years motivate us to stay the course and to push back against any efforts that will make our customers and our industry less secure. We will continue to move forward guided by our fundamental principles of transparency, urgency, collaboration, communication, and humility. | この2年半の間に私たちが取ってきた行動は、私たちの顧客や業界の安全性を低下させるような取り組みに対して、断固として立ち向かい、反撃する意欲をかき立てるものだ。私たちは、透明性、緊急性、協調性、コミュニケーション、謙虚さという基本原則に導かれながら、前進を続けていく。 |
EDGARでのSolarwinds社の 10K, !0Q, 8Kをフィルターしたもの...
● まるちゃんの情報セキュリティ気まぐれ日記
Solarwinds関係
・2021.04.22 U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明
・2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド
・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。
・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。
・2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起
・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise
Comments