英国政府は、公的部門および重要な国家インフラ(CNI)組織によるランサムウェア支払いの禁止案を推進することを正式に確認しました。
これは、2025年1月に開始されたパブリックコンサルテーションにおいて、回答者の4分の3がこの提案を支持したことを受けたものです。
この禁止措置は、病院、学校、交通機関などの重要な公共サービスをランサムウェア攻撃からより良く保護するため、これらの標的をサイバー犯罪グループにとって魅力の少ないものにすることを目的としています。
過去1年間で、英国の多くの公的部門サービスがランサムウェアの影響を受けており、地方自治体や病院が被害に遭っています。5月には、NHSイングランドが「蔓延する」ランサムウェアの脅威を受けて、サプライヤーに強固なサイバーセキュリティ対策の実施を求めました。
禁止の対象外となる企業は、攻撃者への身代金支払いの意向がある場合、政府に通知することが求められます。政府はその後、被害者に対して助言や支援を提供し、制裁対象のサイバー犯罪グループに送金した場合は違法となるリスクがあることも伝えます。
セキュリティ担当大臣のダン・ジャーヴィス氏は次のようにコメントしています。「ランサムウェアは、国民を危険にさらし、生計を破壊し、私たちが依存するサービスを脅かす略奪的な犯罪です。だからこそ、私たちはサイバー犯罪者のビジネスモデルを打破し、私たち全員が頼りにしているサービスを守るため、『変革計画』を推進しているのです。」
英国、ランサムウェア強制報告制度を構築へ
ランサムウェア対策の一環として、英国政府はランサムウェアインシデントの強制報告制度を創設することも約束しました。
政府によれば、コンサルテーションの中でこのような制度に対する強い支持が示されたとのことです。
強制報告制度は、英国の法執行機関が利用できるランサムウェア攻撃に関する情報を強化することを目的としています。この情報は、ランサムウェア集団を標的とした国際的な法執行活動を支援するためにも活用されます。
専門家は提案に懐疑的
専門家は、政府の計画の有効性に関する懸念を指摘しています。
これには、禁止の対象外となる企業や団体がより多く標的にされる「二重構造」のリスクも含まれます。
また、被害者が支払い以外に選択肢がないと考え、第三者仲介業者を利用するなどして禁止を回避し、ランサムウェア攻撃がさらに地下に潜るリスクもあります。
一部の組織は、監視や罰則を避けるためにランサムウェア攻撃を別のものとして偽装することを選ぶ可能性もあります。
Immersive社のサイバー脅威インテリジェンス担当シニアディレクター、ケブ・ブリーン氏は次のように警告しています。「新たな措置について考慮すべき疑問は、これによって企業が報告から遠ざかる危険性があるのではないかという点です。支払いによって迅速に復旧できる選択肢と、禁止されているため復旧できない選択肢がある場合、支払いを選び、単に報告しない誘惑に駆られるかもしれません。」
Payne Hicks Beach紛争解決チームのパートナー、マーク・ジョーンズ氏は、すでにランサムウェアへの支払いが違法となっているイタリアの調査で、組織の43%が依然としてランサムウェアの支払いを認めていることを指摘しました。
翻訳元: https://www.infosecurity-magazine.com/news/uk-ransomware-payment-ban-public/