ランサムウェア攻撃を受けた場合、身代金を支払うかどうかは被害企業が判断すればよい。ただし今後は、身代金の支払いを法律で制限する動きが出てくると専門家は予測する。それはなぜなのか。
2021年9月時点、米国ではランサムウェア(身代金要求型マルウェア)攻撃の被害企業が身代金を支払うのは合法だ。ただしサイバーセキュリティ専門家は、企業に身代金を支払わないように勧めている。それでも盗まれた資産の重要性を考慮して「身代金を払う必要があり、合法的にそうすることが可能だ」と判断する企業もある。
米国財務省は2020年10月、「企業がランサムウェア攻撃に身代金を支払うと法的な問題になる可能性がある」という勧告を公表した。勧告によると、ランサムウェア攻撃に対する身代金の支払いに関与した被害者、サイバー保険会社、金融機関は、財務省外国資産管理局(OFAC)の規制に違反したと見なされて、連邦政府から罰金を科される可能性がある。
「米連邦捜査局(FBI)がランサムウェア攻撃に対して身代金を支払わないよう企業に呼び掛けているのは、身代金の支払いが問題を悪化させるばかりだからだ」。米TechTarget傘下の調査会社Enterprise Strategy Groupでアナリストを務めるデーブ・グルーバー氏はこう語る。
グルーバー氏は、ランサムウェア攻撃を阻止する法律がいずれ施行されると見込んでいる。「ランサムウェア攻撃サイクルを止めるためにどうすべきかを考えると、『被害企業が身代金を払うのをやめる』か『当局が身代金の支払いに対する重い罰則を設け、強制する』のどちらかしかないからだ」と同氏は理由を説明する。
サイバーセキュリティ専門家は、企業が「身代金を支払うのが最も出費を抑えることができる」と判断した場合でも、FBIかサイバーセキュリティインフラセキュリティ庁(CISA)に報告するよう勧めている。調査会社Gartnerのアナリストであるポール・ファータード氏によると、現代の企業は以前と比べて、身代金を支払ってもインシデントを報告するようになった。ファータード氏が情報源にしている企業の一社は、ランサムウェア攻撃の攻撃者とその標的を仲介する役割を果たしており、ビジネスが拡大し続けているという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
AIの進化が加速する「プラットフォームビジネス」とは?
マーケットプレイス構築を支援するMiraklが日本で初のイベントを開催し、新たな成長戦略...
「マーケティングオートメーション」 国内売れ筋TOP10(2024年12月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
2024年の消費者購買行動変化 「日本酒」に注目してみると……
2023年と比較して2024年の消費者の購買行動にはどのような変化があったのか。カタリナマ...