ランサムウェア攻撃への「身代金支払い禁止令」は逆効果?:英国の新対策に専門家が警告
ランサムウェア攻撃に対処するため、英国政府は重要インフラ事業者に対し、身代金の支払いを禁止する政策案を打ち出した。犯罪組織の資金源を断つ狙いだが、専門家は「かえって被害を拡大させる」と警鐘を鳴らす。
英国の内務省が2025年7月に提出した法案によって、病院などの公衆衛生機関、地方自治体や学校といった公共部門、国民生活に不可欠な重要国家インフラ(CNI)の事業者は、ランサムウェア(身代金要求型マルウェア)犯罪組織への身代金支払いが公式に禁止される。
支持を受けて導入が進む「身代金支払い禁止令」
この措置は、新規則の導入時に専門家や関連団体、一般市民から意見を聞き入れる「パブリックコンサルテーション」を含む、長期的な国内議論を経て導入される見込みだ。英内務省によると、このパブリックコンサルテーションに意見を寄せた団体や個人のうち、72%が禁止に賛成した。
英内務省は、サイバー恐喝による英国の年間被害額が数百万ポンドに上ると見積もっている。事業運営や財政面だけではなく、人命に関わる深刻な危険性をもたらす場合もある。
保安大臣のダン・ジャービス氏は、ランサムウェア攻撃を「国民を危険にさらし、生活を破壊し、社会に不可欠なサービスを脅かす悪質な犯罪」と表現する。「犯罪組織が利益を上げられなくなる仕組みを作り、国民が頼るサービスを守る決意だ。産業界と連携してランサムウェア対策を推進することで、英国が一体となってランサムウェアと戦う姿勢を明確に示す」と同氏は意思を表明する。
一方で、今回の支払い禁止措置の対象外となる組織が身代金を支払う場合は、今後設けられる窓口を通じて政府に届け出ることが義務付けられる。届け出た組織は関係当局から助言や支援を受けることができ、その支払いが法律違反になる可能性があるかどうかも教えてもらえる。
英国政府は、ランサムウェアに関する報告義務化も進めている。これによって、当局が犯罪組織を追跡し、その活動を妨害するために必要な情報を収集しやすくなることを期待している。
2025年4月にランサムウェア攻撃を受けた消費者協同組合Co-operative Group(Co-op)のCEOシリン・クーリーハク氏は、ランサムウェア攻撃への身代金支払いに対する政府の注力を歓迎し、次のように話す。「われわれは身をもって、ランサムウェア攻撃が企業や社会に与える損害を知った。重要なのは、この経験から学び、組織同士が連携して再発を防ぐことだ。今回の措置は、そのための力強い後押しになる」
専門家からは懸念の声も
英国内務省が目指すのは、身代金という収入源を断つことで、ランサムウェア攻撃をビジネスとして成り立たなくさせることだ。これによって、英国の公共サービスが攻撃対象としての魅力を失うことを期待している。
公共サービスや重要インフラが標的になるのは、病院や水道会社のような組織が、一般企業のように業務停止のリスクを冒せず、身代金の要求に応じる可能性が高いと犯罪集団が見なしているからだ。
ランサムウェアの専門家で、独立系シンクタンクの英国王立防衛安全保障研究所(RUSI)でシニアリサーチフェローを務めるジェイミー・マッコール氏は、政府の姿勢を評価する一方、この政策の実効性には懐疑的だ。
英国家犯罪対策庁(NCA)と国家サイバーセキュリティセンター(NCSC)は、報告書「Ransomware, extortion and the cyber crime ecosystem」において、「ほとんどのランサムウェア攻撃は特定の標的を狙ったものではなく、行き当たりばったりだ」と指摘する。マッコール氏もこれに同意し、「攻撃者が英国の法律や重要インフラの指定方法をわざわざ調べて攻撃対象から外すとは考えにくい」と語る。
マッコール氏は、今回の禁止措置はランサムウェア攻撃を受ける可能性を減らすことにはつながらず、被害に遭った重要インフラ事業者の復旧をかえって困難にする危険性があると警鐘を鳴らす。
VPN(仮想プライベートネットワーク)事業者Nym Technologiesのマーケティング責任者であるロブ・ジャーディン氏も、政府の目標は素晴らしいと評価しつつ、「犯罪組織がこの計画を甘んじて受け入れるはずがない」と警告する。
「『もう要求には応じない』と宣言するだけでは犯罪組織は引き下がらず、むしろさらに多くのデータを盗み出して暴露したり売買したりするなど、報復としてより強硬な手段を取る可能性がある」(ジャーディン氏)
マッコール氏は次のように結論付ける。「政府主導の施策は対策の一つに過ぎない。より重要なのは、組織と個人の両方が、攻撃者にそもそも侵入させない、つまり攻撃を根本的に無力化するための堅牢(けんろう)な自己防衛策を導入することだ」
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。