オーストラリア、新たなランサムウェア支払い開示ルールを開始

出典: Jamie Paddock via Alamy Stock Photo

ニュース概要

オーストラリアは、5月末に新たなランサムウェア支払い開示ルールを実施しました。これは、年間売上高が300万オーストラリアドル（193万ドル）のすべての組織に適用されます。

このカテゴリに該当する組織は、オーストラリア信号局（ASD）の報告ツールを使用して、個人、企業または組織、または政府部門や機関を代表して報告することが求められます。 

報告は、身代金の支払いを行った後72時間以内、または報告する企業が支払いを認識した時点で行わなければなりません。

サイバーセキュリティ（ランサムウェア支払い報告）ルール2025によれば、報告には、報告する企業のインフラへのサイバーインシデントの影響、使用されたランサムウェアまたは他のマルウェアのバリアント、企業のシステムで悪用された脆弱性、および政府機関によるサイバーセキュリティインシデントへの対応、緩和、解決に役立つ情報を含める必要があります。

報告には、要求された身代金の額と支払われた身代金、要求されたおよび使用された提供方法、支払い前の交渉の説明、および恐喝者との通信の性質とタイミングに関するその他の詳細も含める必要があります。

これらの報告要件に従わない場合、これは世界初の義務的なランサムウェア支払い報告要件であり、民事罰の対象となる可能性があります。これらの要件は、公的部門の組織には適用されません。

新しいルールは、オーストラリアが初めてサイバーセキュリティ法案2024を議会に導入したから1年以内に公式化されました。この法案は、重要なサイバー攻撃のレビューを実施するためのサイバーインシデントレビュー委員会の設立を求めるものでした。これらの規制変更は、2030年までにサイバーセキュリティのリーダーになるという国の目標の一環であり、この目標は2023年に初めて提案されました。