米証券取引委員会(SEC)は、2020年に発生したSolarWinds Orion社による大規模なハッキング事件において、情報漏えいの影響について投資家を欺いたとして、Unisys Corp、Avaya Holdings Corp、Check Point Software、Mimecastの4社を起訴した。
「証券取引委員会は本日、ユニシス・コーポレーション、アバヤ・ホールディングス・コーポレーション、チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド、マイムキャスト・リミテッドの現在および過去の上場企業4社を、サイバーセキュリティのリスクと侵入に関して重大な誤解を招くような開示を行ったとして起訴した。
「SECはまた、ユニシスを開示統制手続き違反で起訴した。
これらの企業は、SECの告発を解決するために民事罰の支払いに同意した。ユニシスは400万ドル、アバヤは100万ドル、チェック・ポイントは99万5000ドル、マイムキャストは99万ドルの民事罰金を支払う。
これらの制裁金は、ユニシス・コーポレーション、アバヤ・ホールディングス、チェック・ポイント・ソフトウェア、Mimecastの各社が、ソーラーウィンズのサプライ・チェーン攻撃で被った侵害を軽視し、攻撃の潜在的な影響について投資家を闇に葬ったとして、SECが申し立てたものである。
「SECの命令によると、ユニシス、アバヤ、チェック・ポイントは2020年に、マイムキャストは2021年に、SolarWinds Orionのハッキングの背後にいたと思われる脅威者が自社のシステムに無許可でアクセスしたことを知ったが、各社はその公開情報開示において、サイバーセキュリティに関する事故を過失により最小限に抑えた」とSECの発表は続く。
「ユニシスに対するSECの命令は、同社がギガバイト単位のデータ流出を伴う2件のソーラーウィンズ関連の侵入を経験していることを知っていたにもかかわらず、サイバーセキュリティ事件によるリスクを仮定のものとして説明していたことを認定している。
SECの調査によると、Avayaは、クラウド・ストレージ環境にある少なくとも145のファイルにもアクセスされたことを知っていたにもかかわらず、脅威行為者がアクセスしたのは限られた数の電子メール・メッセージのみであったと主張していました。
チェック・ポイント社に関する調査では、同社は侵害されたことは知っていたが、”一般的な用語 “を用いてその影響を軽視していたことが判明した。
Mimecast社については、盗まれたコードの性質や、侵害時にアクセスされた暗号化された認証情報の数を開示しないことで、攻撃を軽視していたことがSECによって明らかになった。
2019年、ITソフトウェア会社SolarWindsは、ロシア対外情報庁(SVR)のハッキング部門であるAPT29として知られるロシアの国家支援ハッキンググループによって侵害された。
攻撃の一環として、脅威行為者はSolarWinds Orion IT管理プラットフォームと2020年3月から2020年6月にかけてリリースされた後続のアップデートをトロイの木馬化しました。
これらの悪意のあるアップデートは、SolarWindsの顧客にプッシュダウンされ、Sunburstバックドアを含むさまざまなマルウェアを「18,000人未満」の被害者のシステムに落下させた。しかし、攻撃者は、第二段階の悪用のために、より少ない数の標的を厳選しました。
その後、マイクロソフト、ファイア・アイ、国務省、国土安全保障省(DHS)、財務省、エネルギー省(DOE)、国立衛生研究所(NIH)、国立核安全保障局(NNSA)など、複数の企業や米政府機関が侵入されたことを確認した。
Comments