Interviews Brawte nfaq 0 Comments

ああ、まさにその時:ハッカー攻撃を受けたSolarWindsが怒った株主に訴えられる

Table of Contents

ああ、まさにその時:ハッカー攻撃を受けたSolarWindsが怒った株主に訴えられる

大規模なスパイ活動の一環として徹底的にハッキングされたネットワーク監視企業のソーラーウィンズは、経営陣が数々のセキュリティ問題について株主に報告しなかったとして株主から訴訟を起こされた。

先月、SolarWindsがOrionソフトウェアの配布に使用していたアップデートサーバーが、不正な侵入者によってコードに密かにバックドアが仕掛けられていたことが明らかになりました。これにより、ハッカーは製品をインストールした顧客のコンピュータに侵入することができました。この顧客には、世界中の多数の政府機関や企業が含まれていました。この改ざんを調査していた米国政府の国家安全保障会議(NSC)タスクフォースは火曜日の声明で、これらの不正侵入者は機密情報や重要情報を探ろうとしていたロシアのスパイである可能性が高いと述べました。

同評議会の声明には、「この調査は、ロシア系と思われるAPT(高度持続的脅威)実行犯が、最近発見された政府および非政府ネットワークへの進行中のサイバー侵害のほとんど、またはすべてに関与していることを示している」と書かれている。

この研究は、ロシア起源と思われるAPT(Advanced Persistent Threat)攻撃者が、最近発見された政府および非政府ネットワークのサイバー侵害のほとんどまたはすべてに関与していることを示唆している。

現時点では、これは情報収集活動であり、今後もそうあり続けると考えています。私たちは、この活動の全容を把握し、それに応じた対応を行うために必要なあらゆる措置を講じています。

タスクフォースは、官民合わせて1万8000の組織が汚染されたOrionビルドをダウンロードしたと推定しているが、埋め込まれたバックドアを介したさらなるネットワーク侵入を受けたのは「はるかに少数」だったとしている。つまり、多くのIT部門がソフトウェアをインストールしたにもかかわらず、ハッカーは隠されたセキュリティホールからほんの数か所しか侵入できなかったということだ。それでもなお、SolarWindsの評判と株価へのダメージは甚大であり、株主は激怒している。

テキサスで起こされ、集団訴訟としての地位を求めている彼らの訴訟[PDF]は、SolarWindsの社長であるケビン・トンプソンとCFOのバートン・カルスが重要な事実を「虚偽に伝え、開示しなかった」ためにアメリカの証券法に違反したと主張している。

太陽嵐 - Shutterstock

明るい面としては、SolarWindsのサンバースト攻撃はサイバーセキュリティ分野を再び進化させるきっかけとなるだろう。

続きを読む

訴訟では、バックドアが世界に知れ渡ったことで「同社の証券の市場価値が急落」し、「多大な損失と損害」を被ったと指摘している。つまり、ハッキングが発覚した12月に同社の株価が急落した際に、同社は損失を被ったのだ。その後、状況はさらに悪化している。

訴訟では、ソフトウェア企業が2020年半ばからOrion監視製品にバックドアが仕掛けられ、米国連邦政府や企業が利用するシステムが不正アクセスされる事態に陥っていたことを株主に適時に警告しなかったと主張されている。例えばマイクロソフトは、実稼働ネットワークには感染していなかったものの、汚染されたスイートをインストールしたと述べている。

訴訟ではまた、SolarWinds の更新サーバーはかつては「solarwinds123」という非常に危険なパスワードでのみ保護されていたが、これはセキュリティが真剣に受け止められていたことを示す良い兆候ではなかったと指摘している。

知識が少なすぎると危険だ

さらに、幹部らは「重要な記述の省略および/または重要な記述の虚偽を実際に認識していた」にもかかわらず、「原告を欺く」意図を持っていた、あるいは、自らの記述における真実を確認し開示しなかったことで、真実を軽視した行動をとったと主張している。真のセキュリティ状況を開示しなかったことで、同社の株価は「人為的に吊り上げられた」という主張である。

SolarWindsは、SECへの四半期報告書において、サイバーセキュリティへの取り組みに関する投資家への定型的な警告を記載しました。「世界中からハッキングや侵入を試みる件数、強度、巧妙さが増加している」ため、「これらの手法を予測したり、適切な予防措置を講じたりすることができない可能性がある」というものです。その結果、SolarWindsのソフトウェアが侵害され、「顧客や投資家の信頼に悪影響を及ぼす深刻な評判の失墜」につながる可能性があります。

風車

SolarWindsが既知の攻撃タイムラインを公開、新たなデータによるとハッカーが昨年ダミーランを実行した可能性が示唆される

続きを読む

訴訟で掘り下げられる可能性のある疑問は、その警告が十分だったのか、それとも、事態がさら​​に悪化する可能性があると幹部らが知っていたにもかかわらず、その情報を適切に伝えなかったのか、ということだ。

訴状は、ハッキングが公になった3日後の報道に言及しており、セキュリティ研究者のヴィノス・クマール氏は「『solarwinds123』というパスワードを使えば誰でもSolarWindsのアップデートサーバーにアクセスできると同社に警告した」と述べている。また、訴状では、ハッキングが明らかになった数日後も、侵害されたOrionのソフトウェアアップデートがSolarWindsのウェブサイトに残っていたものの、どのウェブページからも直接リンクされなくなっていたと指摘している。

この訴訟では、弁護士費用や裁判所が会社に科す可能性のある罰金に加え、「発生した合理的な費用と経費」に対する損害賠償を求めているが、金額は明示されていない。®

Interviews

Smart Recommendations

Discover More