ランサムウェア犯罪者への身代金支払い「禁止法」は学校にとって“逆効果”か？：教育機関に狙いを定めるランサムウェア【第4回】

教育機関を狙うランサムウェア攻撃が後を絶たない。米国では、一部の州政府が法制度による身代金支払いの規制に乗り出している。こうした取り組みに対しては「逆効果だ」との専門家の声がある。なぜなのか。

[Alexis Zacharakos，TechTarget]

　米国において、K-12（幼稚園から高等学校までの教育機関）などの教育機関へのランサムウェア（身代金要求型マルウェア）攻撃が勢いづいている。この状況を受けて、セキュリティベンダーも、政府機関も、ランサムウェア攻撃への対策を推進している。

「身代金支払いを法律で禁止」は“逆効果”の謎

併せて読みたいお薦め記事

連載：教育機関に狙いを定めるランサムウェア

• 第1回：ランサムウェア犯罪者が「学校」を狙うようになった“なるほどの理由”
• 第2回：学校がランサムウェア犯罪者の身代金要求に応じない“納得の理由”
• 第3回：「銀行から10年遅れている」――学校セキュリティの“残念な現状”

ランサムウェア攻撃の被害

• ランサムウェアに襲われた自治体が、身代金を払わないために使った“切り札”とは
• ランサムウェア被害校が「生徒のデータが漏れても身代金を払わなかった」理由

　米国土安全保障省（DHS）のセキュリティ専門機関、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA：Cybersecurity and Infrastructure Security Agency）は、教育機関向けのセキュリティガイドラインを策定した。これは「2021年K-12サイバーセキュリティ法」（K-12 Cybersecurity Act of 2021）が義務付けるサイバーセキュリティ強化の実現に向けた取り組みだ。2023年1月には、CISAは教育機関のセキュリティ対策に関する報告書も発表した。

　CISAは、K-12がサイバーセキュリティの計画策定、運用、保守を実施するための実践的なガイドライン群を公開済みだ。このガイドライン群は以下3つの推奨事項を、実現方法や参考情報と共に解説している。

• 実績のあるセキュリティ対策の導入
• 金銭的、人的リソースの制約への対処
• 脅威とインシデントに関する他組織とのコミュニケーション

　依然として教育機関は、サイバーセキュリティの効率的な構築や充実のための資金を十分に確保できていない。こうした状況は、セキュリティ専門家が指摘する通りだ。

　教育機関に特化した措置ではないものの、ノースカロライナ州とフロリダ州は、サイバー攻撃に関連する身代金の支払いを禁止した。攻撃者に、公的機関への攻撃を思いとどまらせる狙いだ。

　両州の措置による効果については、議論が分かれている。セキュリティベンダーGroupSenseの創業者兼CEOであるカーティス・マインダー氏は、州政府がこうした法律を施行しても身代金の支払いに歯止めは掛からず、組織はひそかに身代金を支払うと推測する。

　「この措置は逆効果になる」とマインダー氏は持論を展開する。「『身代金を支払う』『支払わない』に次ぐ第3の選択肢を提供しなければ、攻撃を助長してしまう」と同氏は指摘。ただし第3の選択肢は「まだ存在しない」（同氏）のが現状だ。

---

　第5回は、進化するランサムウェア攻撃の手法を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。