英国は、すべての公共機関と国家の重要インフラに対し、ランサムウェア攻撃者への身代金支払いを禁止する計画を進める。その目的は、重要産業を「犯罪者にとって魅力のない標的」にすることで、国内におけるインシデントの発生頻度と影響を軽減することにある。
この禁止措置はNHSトラスト、学校、地方議会、データセンターに適用される予定で、1月に初めて提案されました。その後、数ヶ月にわたるパブリックコメントを経て、今週、回答者の4分の3近くがこの提案を支持したとの発表に至りました。
既存の禁止範囲の拡大
現在、全国のすべての政府機関は、データの復号や漏洩防止のためにサイバー犯罪者に金銭を支払うことを禁止されています。この規則は、英国国民が頼りにしているサービスやインフラを、財政的および業務上の混乱から守るために制定されました。
この提案は禁止措置に従う義務のある機関のリストを拡大することを目的としているが、サイバー企業ThreatSpikeのCEOアダム・ブレイク氏は、その範囲はまだ公共サービスを保護するには十分ではないかもしれないと考えている。
「学校や病院などの組織は、マネージドIT企業などの非公的機関に大きく依存しており、彼らも標的となる可能性があり、システムの復旧に金銭を支払う可能性が非常に高い」と彼はTechRepublicへのメールで述べた。「人々はおそらく制限を回避しようとするだろう。このポリシーを効果的に機能させたいのであれば、MSPのような企業も身代金の支払いを制限される必要がある。」
すべての企業はランサムウェア攻撃を報告し、支払いの意思を明らかにすることが義務付けられる。
この提案は、禁止対象範囲の拡大に加え、対象外の企業に対し、身代金を支払う意思がある場合、政府への通知を義務付ける。これにより、当局は身代金支払いの合法性について助言を受けることができ、(制裁対象犯罪グループへの支払いは違法であるため)手続き全体を通して支援を受けることができる。
「ランサムウェアは、国民を危険にさらし、生活を破壊し、私たちが依存しているサービスを脅かす、略奪的な犯罪です」と、ダン・ジャービス安全保障大臣は声明で述べた。「業界と連携してこれらの対策を推進することで、英国がランサムウェアとの戦いにおいて団結しているという明確なメッセージを送ることができます。」
提案されている法案では、組織に対し、ランサムウェア攻撃を認識してから72時間以内に報告することを義務付けています。これらの措置は、誰がどのように標的にされているかに関する最新情報を法執行機関に提供し、組織犯罪グループの捜査や勧告の公表を支援することを目的としています。
ランサムウェアの支払いを禁止することは、解決するよりも多くの問題を引き起こす可能性がある
ランサムウェアによる支払いを禁止することはリスクを伴います。医療分野は国家の重要なインフラと分類されているため、ランサムウェアによる支払いを差し控えることは患者のケアに影響を与える可能性があります。6月、当局はSynnovisへの攻撃により、血液検査の結果が遅れたために患者1名が死亡したことを確認しました。さらに数十名が被害を受けました。
ランサムウェアの禁止は、インシデントの発生件数を増加させる可能性があります。Sygniaのランサムウェア交渉担当者はTechRepublicに対し、一部の脅威アクターは行動を抑制される一方で、より攻撃的または個人的な脅迫へとエスカレートするアクターもいると述べています。金銭目的ではなく、地政学的な理由からデータの窃盗や混乱を企てるアクターもおり、彼らには禁止措置は影響しません。
英国の禁止案を概説した文書の中で、内務省は、この法律が「専門的なランサムウェア保険に加入したり、専門家に駆除を依頼したりできない」中小企業に不均衡な影響を与える可能性があることを認めています。これらの企業は、支払いを拒否した場合、業務中断による経済的損失からの回復に苦労する可能性があり、秘密裏に支払った場合は政府から罰金を科せられ、さらに義務的な報告義務による負担も大きくなります。
「身代金を支払わないという全面的な決定は、政府には許される特権だ」とシグニアのガイ・シーガル氏は述べた。「しかし、ビジネス分野では適用範囲がはるかに狭い」
トレーニングプロバイダーのImmersiveでサイバー脅威インテリジェンス担当シニアディレクターを務めるケブ・ブリーン氏は、TechRepublicへの電子メールの中で、企業が身代金の支払いを拒否すると、単にビジネスに損害を与えるだけでなく、より広範囲に及ぶ悪影響が生じる可能性があると述べた。
「一部の組織は、インフラの復旧のためではなく、大量の個人情報(PII)の公開を防ぐため、身代金を支払っています。個人への被害は、サービスがオフラインになることよりもはるかに大きくなる可能性があります。」と彼は述べた。
英国、サイバー攻撃の急増に直面、改革を推進
英国では過去1年間、大英図書館、スーパーマーケットのセインズベリー、モリソンズ、コープ、M&Sを標的としたランサムウェア攻撃、そしてNHS(国民保健サービス)の業務に支障をきたした病理学会社シノヴィスを標的とした攻撃など、注目を集めるハッキング事件が急増しました。12月には、英国国立サイバーセキュリティセンターの責任者が、英国のサイバーリスクは「大きく過小評価されている」と警告しました。
これを受けて、政府はサイバー犯罪の取り締まりを強化しています。2月に導入された新たな評価システムは、サイバー攻撃の深刻度を分類し、企業や政策立案者にサイバー脅威の影響に関するより正確な情報を提供します。今年議会に提出予定の「サイバーセキュリティ・レジリエンス法案」は、既存のサイバー規制の欠陥を補うことを目指しています。
ランサムウェアは依然として最大の懸念事項ですが、中小企業のサイバー衛生の向上により、サイバー攻撃やデータ侵害を報告する英国企業の割合は2024年に実際に減少しました。
