「ランサムウェア攻撃の身代金支払いは、いずれ違法になる」と専門家が考える訳ランサムウェア攻撃の身代金は支払うべきか【第3回】

ランサムウェア攻撃を受けた場合、身代金を支払うかどうかは被害企業が判断すればよい。ただし今後は、身代金の支払いを法律で制限する動きが出てくると専門家は予測する。それはなぜなのか。

2021年11月24日 08時00分 公開
[Kyle JohnsonTechTarget]

関連キーワード

セキュリティ対策 | 標的型攻撃


 2021年9月時点、米国ではランサムウェア(身代金要求型マルウェア)攻撃の被害企業が身代金を支払うのは合法だ。ただしサイバーセキュリティ専門家は、企業に身代金を支払わないように勧めている。それでも盗まれた資産の重要性を考慮して「身代金を払う必要があり、合法的にそうすることが可能だ」と判断する企業もある。

身代金の支払いが違法に?

 米国財務省は2020年10月、「企業がランサムウェア攻撃に身代金を支払うと法的な問題になる可能性がある」という勧告を公表した。勧告によると、ランサムウェア攻撃に対する身代金の支払いに関与した被害者、サイバー保険会社、金融機関は、財務省外国資産管理局(OFAC)の規制に違反したと見なされて、連邦政府から罰金を科される可能性がある。

 「米連邦捜査局(FBI)がランサムウェア攻撃に対して身代金を支払わないよう企業に呼び掛けているのは、身代金の支払いが問題を悪化させるばかりだからだ」。米TechTarget傘下の調査会社Enterprise Strategy Groupでアナリストを務めるデーブ・グルーバー氏はこう語る。

 グルーバー氏は、ランサムウェア攻撃を阻止する法律がいずれ施行されると見込んでいる。「ランサムウェア攻撃サイクルを止めるためにどうすべきかを考えると、『被害企業が身代金を払うのをやめる』か『当局が身代金の支払いに対する重い罰則を設け、強制する』のどちらかしかないからだ」と同氏は理由を説明する。

 サイバーセキュリティ専門家は、企業が「身代金を支払うのが最も出費を抑えることができる」と判断した場合でも、FBIかサイバーセキュリティインフラセキュリティ庁(CISA)に報告するよう勧めている。調査会社Gartnerのアナリストであるポール・ファータード氏によると、現代の企業は以前と比べて、身代金を支払ってもインシデントを報告するようになった。ファータード氏が情報源にしている企業の一社は、ランサムウェア攻撃の攻撃者とその標的を仲介する役割を果たしており、ビジネスが拡大し続けているという。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...