ランサムウェアの身代金支払いを支援すると罰金＆制裁対象に：犯罪者の資金源を遮断

米国政府は、金融機関や保険会社などがランサムウェアの身代金支払いを支援した場合、罰金を科したり刑事告発したりする可能性があると警告した。

≫ 2020年11月23日 08時00分公開

[Alex Scroxton，Computer Weekly]

　米国財務省外国資産管理室（OFAC：Office of Foreign Assets Control）が発行した勧告には、金融機関、サイバーセキュリティ保険会社、デジタルフォレンジックやインシデント対応に関係する企業に対して、攻撃者への金銭支払い支援はOFACの規制に違反するリスクがあるという厳しい警告が含まれている。

　財務省は声明の中で次のように述べている。「本勧告は、悪意を持ってサイバー犯罪を行う者とランサムウェアの取引を促進する者を、OFACのサイバー関連制裁プログラムに指定することを目的とする」

　「本勧告はランサムウェアの被害者に関与する金融機関などに対し、攻撃を報告して法執行機関に全面協力することが大きな緩和要因になると見なし、これを奨励する」

　これはランサムウェアの制裁対象者への金銭支払いを支援する企業に適用される。ただし、制裁対象者に指定されていなくても金銭を支払うことは推奨されない。

　この勧告は、ランサムウェアへの支払い促進はサイバー犯罪者が「利益を得て、違法な目的を前進させる」ことを可能にし、米国の国家安全保障と外交政策の目的に「反する」活動に資金を提供し、他の標的への攻撃を助長すると指摘している。

　Nozomi NetworksのCEO、エドガー・キャプドビル氏によると、ランサムウェアに屈することは火に油をそそぐようなものだという。

　「こうした圧力を多く目にするようになった。2020年10月初旬のOFACの勧告に加えて、サイバーセキュリティに真剣に取り組まなかった企業幹部に責任を負わせるという法案をウォーレン上院議員とワイデン上院議員がそれぞれ提出した」と同氏は話す。

　「サイバー脅威は変わらず発生し続けるだろう。身代金の支払いを選択することは高額な費用がかかる上、あまりにも近視眼的な対応だ。身代金の支払額は復旧コストの2倍に相当する可能性があることが調査で示されている」

　「企業がサイバーセキュリティプログラムを構築し、メンテナンスして、絶えず改善することが常に最善の対策になる。現在では、コスト効果の高いツールが間違いなく存在する」

リスクの決定

　CybereasonでCSO（最高セキュリティ責任者）を務めるサム・カリー氏は次のように話す。「これまでは、身代金を支払う際のリスクの決定は被害者とその保険会社が行っていた。その決定は、どの製品やサービスが脅威にさらされているかによって生殺与奪の判断が下されていた」

　「今回、政府が明確なガイドラインを提示し、被害を受けた顧客に代わって身代金を支払う保険会社が罰金と刑事告発を受ける可能性が含まれた」

　この直前、英国のNCSC（National Cyber Security Centre）に相当する米国のCISA（Cybersecurity and Infrastructure Security Agency）も改訂版のランサムウェアガイドを発行した。このガイドは、ITやセキュリティの担当者が最悪のシナリオに備え、これを防御することを支援することを目的とする。

　CISAでサイバーセキュリティの副長官を務めるブライアン・ウェア氏は次のように話す。「CISAのパートナーに対して、ランサムウェアへの防御を支援して適切なリスク管理行動を助言し、サイバー攻撃の発生時に回復力が高く責任あるインシデント対応計画を提示することがCISAの優先事項だ」

TechTargetジャパントップセキュリティ