機関が規則の抜け道を見つける可能性、攻撃者が報復的かつ攻撃的になる懸念、政治家が脅威に屈する可能性が指摘されている。
英国政府は火曜日、すべての政府機関およびその他の政府関連団体による、いかなる状況下でも身代金支払いを禁止する命令を提案した。しかし、セキュリティ専門家はこの措置が実質的に効果を発揮するかどうか懐疑的だった。
数か月にわたるパブリック・コンサルテーションの結果として発表された政府声明は明確だった。「NHS(国民保健サービス)、地方自治体、学校を含む公共部門の団体および重要な国家インフラの運営者は、この措置の下で犯罪者への身代金支払いが禁止される」と声明は述べている。
この提案された禁止措置は現時点では民間企業には適用されないが、そうした企業にも支払いの意向を報告することが求められるとされている。
「提案によれば、禁止の対象外となる企業は、身代金支払いの意向がある場合、政府に通知することが義務付けられる」と声明は述べている。「政府は、そうした企業に対し、アドバイスや支援を提供できるほか、支払いが制裁対象のサイバー犯罪グループ(多くはロシアに拠点を置く)への送金となり違法となるリスクがある場合は通知する。」
この提案を実施するために必要な措置や、その時期については明らかにされていない。パブリック・コンサルテーションに関する詳細な報告書では、「政府は今後も産業界と協力してこれらの措置を発展させ、ガイダンスやその他の補足・明確化文書を提供する予定」とだけ記されている。提案に関与した英国当局者は、CSOのコメント要請にすぐには応じなかった。
ランサムウェア攻撃は企業のCISO(最高情報セキュリティ責任者)にとって最大の懸念事項の一つであり、大規模な攻撃が数日おきに明らかになる状況が続いている。
政府関係者は強硬姿勢を貫けるか?
セキュリティ専門家は英国の取り組みを評価しつつも、最終的に大きな違いを生むかどうかは疑問視している。
セキュリティベンダーSophosのフィールドCISOであるChet Wisniewski氏は、「結果がどうなるか非常に興味深い」としつつも、大きな効果は期待できないと懐疑的だ。
Wisniewski氏は、その懐疑の根拠として、英国の政治家が悲惨な事態が発生した際にこの方針を堅持できるかどうかにあると述べている。
「もし(攻撃者が)病院を停止させた場合、政治家は強硬姿勢を保てるだろうか?」とWisniewski氏は問い、政府関係者が「信念を貫く」ことができて初めてこの規則が機能すると強調した。「そうした事態が起きれば、結局は屈してしまうだろう。」
サイバーセキュリティコンサルティング会社NCC Groupの上級アドバイザーであるTim Rawlins氏は、英国の動きはランサムウェア攻撃を減らすというより、政府機関以外に攻撃が移るという意図しない影響をもたらす可能性があると指摘した。
「公共部門や重要インフラ組織への支払い禁止は、脅威をより小規模で耐性の低い組織へとシフトさせたり、支払いを地下に追いやる可能性がある」とRawlins氏は述べた。
また、機関や重要インフラの運営者が、支払いを隠したり、サイバーセキュリティコンサルティングなど別名目で処理したりして、この要件を回避しようとするリスクもある。
企業は身代金支払いを望むことが多い
Info-Tech Research Groupの主席リサーチディレクターであるFred Chagnon氏は、事業継続の観点からは身代金を支払うことが合理的な場合もあると指摘する。
「バックアップが破壊されたり、復旧が極端に遅い場合、身代金を支払うことが最も迅速かつ被害の少ない復旧手段となることがある。支払いは結果的にさらなる犯罪活動の資金源となる可能性があるが、被害を受けた組織にとっては、ダウンタイムや財務的損失、評判の失墜を最小限に抑えるための現実的なビジネス判断となることが多い」と述べている。
しかし彼は続けて、「被害者を罰するような方針は、事件の過少報告を招き、支払いを地下に追いやり、情報収集や法執行活動を妨げることになる。また、すでに財務的損失を被っている被害者に対する懲罰的措置でもある」と述べた。
データインテリジェンスベンダーLab 1のCEOであるRobin Brattel氏は、グループ全体のコンプライアンスという問題もあると指摘する。禁止措置が最終的に機能するのは、ほぼ全員が協力した場合に限られるという。
「一部の脅威アクターは、このモデルが本当に機能するかどうかを試すだろう。一つの組織が屈すれば、他も追随するかもしれない。全員が団結し続けることが課題だ。それができれば、金銭目的の脅威アクターはこうした被害者への攻撃をやめる可能性がある」とBrattel氏は述べる。「ただし、ハッカーや国家アクターが消えるわけではない。最初は攻撃が増加するかもしれないが、時間とともに沈静化する可能性もある。」
「私たちは(提案の)原則には賛同するが、現実は非常に異なり、より複雑だ。公共機関が事実上包囲され、業務が停止し、機密データが人質に取られている場合、予測不能で切迫した対応を引き起こす可能性がある。」
Brattel氏は、時間は常に被害者の味方ではないとも付け加えた。
「攻撃者は期限に縛られていない。待つ余裕がある。支払いがなければ、患者、学生、地域住民など、誰に影響が及ぼうとデータを公開する可能性が高い」とBrattel氏は述べる。「そのようなプレッシャーは、善意の機関であっても、非公式または間接的な方法で身代金要求に応じる道を探す要因となりうる。」
別のセキュリティ専門家も、この禁止措置が英国でのランサムウェア攻撃に大きな影響を与えるとは考えていない。
「政府がハッカーへの資金供給を断つことでランサムウェア対策に取り組む姿勢は称賛に値するが、こうしたグループは自分たちが身代金を要求される立場になることを許さないだろう」とNymVPNの最高デジタル責任者Rob Jardin氏は述べた。
「もしこの問題への最善策が『もうハッカーの要求には屈しない』と言うだけなら、彼らがさらに攻撃を強化し、より多くのデータを暴露してダークウェブで販売するビジネスに乗り出すことになっても驚くべきではない」と彼は述べている。
ニュースレターを購読する
編集部からあなたの受信箱へ直送
下記にメールアドレスを入力して開始してください。