ランサムウェアグループが被害者のデータ漏洩に関する情報開示義務を怠ったとしてSECを提訴

こんにちは、丸山満彦です。

復号鍵が欲しければ、個人情報等の秘密データを漏洩されたくなければ、、、と脅し、そして今度は、「SECに提訴するぞ」と脅す...

なるほどですね。。。

今年の7月に発表されたSECの新しいルールでは、

重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しいItem1.05に開示し、インシデントの性質、範囲、時期、および登録企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明する

ことが義務付けられていますね。。。そのForm 8-Kは

サイバーセキュリティインシデントが重要であると登録者が判断してから4営業日以内に提出

しなければなりませんね。ただし、

米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期する

ことができますね。。。

ちなみに、ランサムウェアグループがSECに報告した画面ショットも合わせて記事にのっていますね。。。

ランサムウェアグループもあの手、この手で。。。ただ、今回のこの発表が本当なら、開示がより進むかもしれませんね(^^;;

 

・ランサムウェアグループ：Alhpv

・被害企業といわれているのは：MeridianLink

 

● DataBreaches.net

・2023.11.15 AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC (2)

 

● Security Week

・2023.11.30 Ransomware Group Files SEC Complaint Over Victim’s Failure to Disclose Data Breach

 

 

---

 

SECの新ルールについて...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

 

案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

 

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書　サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者