証券取引委員会 （ SEC ） は本日、 4 つの現役および元公開企業である Unisys Corp. を告発しました。株式会社アバヤホールディングスCheck Point Software Technologies Ltd. および Mimecast Limited — サイバーセキュリティリスクおよび侵入に関する重大な誤解を招く情報開示。SEC はまた、 Unisys を開示管理と手続き違反で告発した。

両社は、 SEC の告発を解決するために以下の民事罰金を支払うことに合意した。

• ユニシスは 400 万ドルの民事罰金を支払う。
• アバヤ。100 万ドルの民事罰金を支払うでしょう
• チェックポイントは $995，000 の民事罰金を支払う。
• Mimecast は $990，000 の民事罰金を支払う。

4 社に対する告発は、 SolarWinds の Orion ソフトウェアの侵害およびその他の関連活動によって潜在的に影響を受けた公開企業を含む調査の結果です。

SEC の命令によると、 Unisys 、 Avaya 、 Check Point は 2020 年に、 Mimecast は 2021 年に、 SolarWinds Orion のハックの背後にあった可能性のある脅威アクターが許可なくシステムにアクセスしたが、それぞれがサイバーセキュリティのインシデントを過失に最小限に抑えたことを明らかにした。

Unisys に対する SEC の命令は、ギガバイトのデータの流出を含む 2 つの SolarWinds 関連の侵入を経験したことを知っているにもかかわらず、同社がサイバーセキュリティイベントからのリスクを仮説的として記述したことを発見しました。命令はまた、これらの重大な誤解を招く開示は、一部 Unisys の不十分な開示管理の結果であると判断した。

Avaya に対する SEC の命令は、 Avaya がクラウドファイル共有環境の少なくとも 145 ファイルにアクセスしたことを知っていたときに、脅威アクターが「限られた数の [当社の] 電子メールメッセージ」にアクセスしたと述べています。

チェックポイントに対する SEC の命令は、チェックポイントが侵入を知っていたが、サイバー侵入とそれによるリスクを一般的な言葉で記述した。

Mimecast に課された命令では、脅威アクターが漏洩したコードの性質と脅威アクターがアクセスした暗号化された資格情報の量を開示しなかったことで、同社が攻撃を最小限に抑えたことが判明した。

SEC の命令は、各企業が 1933 年の証券法、 1934 年の証券取引法、およびそれに基づく関連規則の適用可能な特定の規定に違反したと判断した。SEC の調査結果を認めたり否定したりすることなく、各社は、請求された規定の将来の違反を停止し、中止し、上記の罰金を支払うことに合意しました。

各社は、調査中に協力し、スタッフの調査を迅速に助ける分析やプレゼンテーションを自発的に提供し、サイバーセキュリティ管理を強化するための措置を自発的に講じました。