英国政府は、公的機関および重要インフラ事業者がサイバー犯罪者に身代金を支払うことを禁止する方針を発表しました。これは、必須サービスを混乱させ、毎年数百万ポンドの経済的損失をもたらしているランサムウェア攻撃への対策として、同国の方針が大きく転換することを意味します。
提案されている対策では、国民保健サービス(NHS)、地方自治体、学校、その他の公的機関が犯罪組織に支払いを行うことを禁止し、民間企業には身代金の支払い前に当局への通知を義務付けます。政府は、これらの制限がランサムウェアのビジネスモデルを崩壊させることを目的としていると述べています。
また、この対策には、捜査当局が犯人を追跡し活動を妨害するための情報を得ることを目的とした、報告義務の導入も含まれています。
ランサムウェア攻撃は、マークス&スペンサーのような大手小売業者から、NHSの病院、さらには英国図書館などの文化機関にまで幅広く影響を及ぼしてきました。英国図書館は、2023年10月に壊滅的な攻撃を受け、技術インフラが破壊されました。
図書館は最初の侵害から1年以上経った今も運営に影響が続いています。公的機関として、攻撃者と交渉したり、要求された身代金を支払ったりすることはありませんでした。保健サービスはランサムウェア事件に関して特に注目されており、最近ではNHSのある組織が、患者の死亡にランサムウェア攻撃が影響したと認定しています。
英国の安全保障担当大臣ダン・ジャーヴィス氏は、ランサムウェアを「市民を危険にさらす略奪的な犯罪」と位置付け、政府が「サイバー犯罪ビジネスモデルを打ち砕く」意図を強調しました。
「産業界と連携してこれらの対策を推進することで、英国がランサムウェアとの戦いに団結しているという明確なメッセージを発信します」と、発表の中で述べています。
同国のナショナル・サイバー・セキュリティ・センターは、新たな対策は堅牢な防御策の必要性を置き換えるものではなく、補完するものであると強調しました。組織は引き続き、オフラインバックアップの維持、継続計画の策定、確立されたフレームワークを用いた全体的なサイバーセキュリティ体制の強化が求められます。
提案された対策の実施詳細や執行メカニズムは、まだ完全には明らかにされていません。政府は、新たなルールがサイバー脅威に対処するためのより広範な「変革計画」の一部であるとし、今後政策枠組みの進展に伴い、さらなる発表がある可能性を示唆しています。
身代金支払い制限がランサムウェア攻撃の抑止にどれほど効果があるかについては、サイバーセキュリティ専門家の間でも議論が続いています。利益動機を排除すれば犯罪者の関心が薄れると主張する声がある一方で、攻撃者がシステムの暗号化ではなく、データ窃取や恐喝など別の手法に切り替える可能性を警告する意見もあります。
翻訳元: https://cyberscoop.com/uk-ransomware-payment-ban-public-sector-private-business-reporting/