ランサムウェアの身代金支払い「違法化」が難しい“厄介な理由”：ランサムウェア身代金の支払い推奨に「ノー」【後編】

ランサムウェア攻撃を受けた際の身代金の支払いを巡り、セキュリティ専門家は「規制」が必要だと指摘する。しかし規制は厳し過ぎると「逆効果」を招く可能性がある。それは何なのか。

[Alex Scroxton，TechTarget]

　英国の政府機関である国家サイバーセキュリティセンター（NCSC：National Cyber Security Centre）と情報コミッショナー事務局（ICO：Information Commissioner's Office）は、弁護士団体の英国法曹協会（Law Society）に書簡を送った。ランサムウェア（身代金要求型マルウェア）攻撃を受けた企業に、会員弁護士が身代金の支払いを推奨しないよう、英国法曹協会に要請することが目的だ。再びの攻撃を招きかねない身代金の支払いについて、セキュリティ専門家はどう見ているのか。

「身代金支払いの違法化」が良い解決策にならない理由

併せて読みたいお薦め記事

連載：ランサムウェア身代金の支払い推奨に「ノー」

• 前編：「ランサムウェア被害者は身代金を払って」と弁護士が推奨？　その“謎”の理由

もしランサムウェア攻撃を受けたら

• ランサムウェア攻撃で身代金を“絶対に払ってはいけない理由”はこれだ
• “バックアップ万能論”は幻想　ランサムウェア対策の誤解と真実

　セキュリティベンダーOrange Cyberdefenseのセキュリティリサーチ責任者、シャルル・ファンデルバルト氏は「企業が身代金を払い続けていては、ランサムウェア攻撃は減らない」と懸念する。身代金を支払ってもデータが復元するとは限らず、身代金が攻撃者にとって再び攻撃を仕掛けるための「資金」になる可能性がある。そうした中、身代金の支払いを規制する必要があるとファンデルバルト氏は指摘する。

　「犯罪を抑止するには犯罪者の動機をなくす必要がある。ランサムウェア攻撃の場合、お金の流れを断つことだ」とファンデルバルト氏は言う。一方の被害企業は身代金の支払いをサイバーセキュリティ保険で取り戻せる場合があり、それが身代金を支払う動機になっていると同氏はみる。

　ファンデルバルト氏によれば、国が身代金の支払いを過度に規制したり、違法化したりすれば、被害企業を“犯罪者”だと捉える見方が広がりかねない。その結果、企業が攻撃の被害を報告しなくなり、ランサムウェア攻撃の実態が表に出にくくなってしまう恐れがある。そのため「違法化よりも、身代金を支払わない意識を根付かせる方が効果的だ」とファンデルバルト氏は言う。

　英国には、ランサムウェア攻撃や他のサイバー犯罪の報告を受ける不正報告センター「Action Fraud」の電話窓口がある。企業はこの電話窓口を介して、EU（欧州連合）一般データ保護規則（GDPR）関連のデータ侵害はICOに、サイバー攻撃はNCSCに報告できる。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。