「ランサムウェア攻撃の身代金支払いは、いずれ違法になる」と専門家が考える訳：ランサムウェア攻撃の身代金は支払うべきか【第3回】

ランサムウェア攻撃を受けた場合、身代金を支払うかどうかは被害企業が判断すればよい。ただし今後は、身代金の支払いを法律で制限する動きが出てくると専門家は予測する。それはなぜなのか。

[Kyle Johnson，TechTarget]

　2021年9月時点、米国ではランサムウェア（身代金要求型マルウェア）攻撃の被害企業が身代金を支払うのは合法だ。ただしサイバーセキュリティ専門家は、企業に身代金を支払わないように勧めている。それでも盗まれた資産の重要性を考慮して「身代金を払う必要があり、合法的にそうすることが可能だ」と判断する企業もある。

併せて読みたいお薦め記事

ランサムウェア攻撃の被害事例

• ランサムウェアに襲われた自治体が、身代金を払わないために使った“切り札”とは
• ランサムウェアから復旧したはずの食肉業者が、身代金1100万ドルを支払った理由
• 「ランサムウェア」攻撃を受けた学校は身代金を払うべきなのか？　実例から学ぶ

身代金の支払いが違法に？

　米国財務省は2020年10月、「企業がランサムウェア攻撃に身代金を支払うと法的な問題になる可能性がある」という勧告を公表した。勧告によると、ランサムウェア攻撃に対する身代金の支払いに関与した被害者、サイバー保険会社、金融機関は、財務省外国資産管理局（OFAC）の規制に違反したと見なされて、連邦政府から罰金を科される可能性がある。

　「米連邦捜査局（FBI）がランサムウェア攻撃に対して身代金を支払わないよう企業に呼び掛けているのは、身代金の支払いが問題を悪化させるばかりだからだ」。米TechTarget傘下の調査会社Enterprise Strategy Groupでアナリストを務めるデーブ・グルーバー氏はこう語る。

　グルーバー氏は、ランサムウェア攻撃を阻止する法律がいずれ施行されると見込んでいる。「ランサムウェア攻撃サイクルを止めるためにどうすべきかを考えると、『被害企業が身代金を払うのをやめる』か『当局が身代金の支払いに対する重い罰則を設け、強制する』のどちらかしかないからだ」と同氏は理由を説明する。

　サイバーセキュリティ専門家は、企業が「身代金を支払うのが最も出費を抑えることができる」と判断した場合でも、FBIかサイバーセキュリティインフラセキュリティ庁（CISA）に報告するよう勧めている。調査会社Gartnerのアナリストであるポール・ファータード氏によると、現代の企業は以前と比べて、身代金を支払ってもインシデントを報告するようになった。ファータード氏が情報源にしている企業の一社は、ランサムウェア攻撃の攻撃者とその標的を仲介する役割を果たしており、ビジネスが拡大し続けているという。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。