シスコは、ビデオ監視ソフトウェアをめぐる米国での虚偽請求法訴訟の和解に合意したことで、銀行残高が860万ドル減少した。
水曜日、内部告発者ジェームズ・グレン氏の弁護士は、このネットワーク大手への賠償金支払いにより、情報セキュリティをめぐる米国虚偽請求法に基づく訴訟としては史上初となる和解が成立すると発表した。グレン氏(と弁護士)は、この賠償金から160万ドルを受け取ることになり、残りの700万ドルは各州が受け取ることになる。
元シスコの契約社員であるグレン氏は、2011年に内部告発を行い、スイッチジラ社が重大な設計上の欠陥を開示することなく、米国政府(4つの軍部門すべてとFEMA、および米国の15の州を含む)にビデオ監視マネージャ(VSM)スイートのコピーを故意に販売したと告発した。
訴状によると、シスコは2008年から2011年にかけてこの脆弱性の存在を認識していたにもかかわらず、顧客に警告しなかったという。バグの詳細は明らかにされていないものの、訴状では、この脆弱性を突く攻撃が成功すれば、ネットワークを完全に乗っ取られる可能性があると述べられている。
政府のスパイ活動に最適なネットワーク機器に隠された秘密のバックドアが発見される:中国製…いや、待てよ、またシスコ製か
続きを読む
「Cisco VSM の最も重大な欠陥により、どんなに制限されていても、あらゆるビデオ監視ポイントのユーザーが、中央サーバーが接続されているシステムの全コンテンツにアクセスできるようになる」と The Register が入手した訴状のコピー (PDF) には記されている。
シスコの顧客の多くは、監視システムの中央メディアサーバーを、他のコンピュータと同じローカルエリアネットワーク(LAN)に接続されたコンピュータにインストールしています。シスコの監視システムの脆弱性により、1台のビデオカメラにアクセスできる、またはアクセスできるユーザーは、連邦政府機関のネットワーク全体に不正アクセスできる可能性があります。
グレン氏は、シスコが VSM の脆弱性を隠そうとしただけでなく、2008 年にシスコと、当時の雇用主であるデンマークのシスコ代理店 NetDesign に警告しようとしたときに、Switchzilla がグレン氏を解雇したと主張している。
「解雇の状況に基づき、[グレン氏]は、シスコとネットデザインにシスコ VSM 製品の欠陥を警告したことに対する報復として解雇されたと信じており、その根拠に基づいて主張している」と訴状には記されている。
「解雇された後も、レレーター氏はシスコがビデオ監視システムに関する同社の公式発表を監視し続け、シスコが問題を修正したか、少なくとも顧客に脆弱性について通知したことを期待していた。」
一方シスコは、問題となっている VSM 製品は 2014 年以降販売されておらず、この欠陥は実際にはシスコが 2007 年に買収した Broadware 社によるソフトウェアの最初の開発にまで遡ることができると主張している。
「ブロードウェアは、カスタマイズされたセキュリティアプリケーションとソリューションの実装を可能にするために、意図的にオープンアーキテクチャを採用しました。オープンアーキテクチャであるため、ビデオフィードは理論上ハッキングの標的となる可能性がありましたが、顧客のセキュリティが侵害されたという証拠はありません」と、シスコのエグゼクティブバイスプレジデント兼法務顧問マーク・チャンドラー氏は本日、声明を発表しました。
「2009年に、当社はベストプラクティスガイドを発行し、ユーザーが当社からライセンス供与を受けたソフトウェア上に必要なセキュリティ機能を構築することに特別な注意を払う必要があることを強調しました。」®
