英国政府は、公共部門および重要インフラ分野からのランサムウェア支払いを違法とする計画を発表しました。
これは古くから議論されてきた難題です。犯罪者にとってランサムウェアを魅力的でなくするには、どうすればよいのでしょうか。不可能にするか、利益が出ないようにするかのどちらかですが、どちらも介入なしには実現しそうにありません。政府はこれまで、組織にセキュリティ基準を求めることで前者を試みてきましたが、このアプローチはうまくいきませんでした。そこで英国は、公共部門および重要インフラというコントロール可能な分野で、支払い自体を違法とする後者の方法を試みようとしています。
「この措置のもと、NHS(国民保健サービス)、地方自治体、学校を含む公共部門団体および重要な国家インフラの運営者は、犯罪者への身代金支払いを禁止されることになります」と英国政府は2025年7月22日に発表しました。
この要件は拡大された規制によって支えられています。禁止の対象外となる組織は、「身代金の支払い意図がある場合は政府に通知する」ことが求められます。これは今後、完全な義務的報告へと拡大される可能性が高く、「法執行機関が犯罪者を追跡し、その活動を妨害するための重要な情報を得る」ことを目的としています。
セキュリティ担当大臣のダン・ジャーヴィス氏は「私たちはサイバー犯罪ビジネスモデルを打ち砕き、私たち全員が頼るサービスを守る決意です」とコメントしています。しかし、セキュリティ実務者の見解は「良い、必要な一歩だ」というものから「大きな効果は見込めない」というものまで様々です。
Orange CyberdefenseのCSIRTマネージャー、スコット・ウォーカー氏は、ほぼ熱狂的なほどこの新措置を歓迎しています。「これらの新しい措置は…業界が待ち望んでいたものであり…新しいランサムウェア支払い防止スキームと強化された即時報告体制です。」
ウォーカー氏は、重要な国家インフラについて「彼らを魅力的な標的でなくすべきです…ほとんどの違法犯罪活動と同様に、加害者は金銭だけを動機としています。動機を取り除けば、インセンティブもなくなります」と述べています。
しかし、CybaVerseのCTO、ジュリエット・ハドソン氏は、すべてのランサムウェア攻撃が金銭目的であるとは限らないと指摘します。「現在の地政学的状況では、すべてのランサムウェア攻撃が直接的に金銭を動機としているとは言えません。場合によっては、国家が情報収集や社会的損害を目的に重要インフラを標的にしています。支払い禁止では、こうした攻撃を阻止することはできません。」
広告。スクロールして続きをお読みください。
同様に、地政学的状況が改善しなければ、敵対的な国家が損害を与える目的で重要インフラを攻撃することも容易に想像できます。これは、失敗したランサムウェア攻撃(実質的にはワイパー)に偽装されるかもしれません。攻撃が犯罪的なランサムウェアと分類されれば、戦争行為としての法的基準を満たさなくなります—たとえ実質的には戦争行為であっても。(英国の立場としては、サイバー戦争行為に対して実力行使で応じる権利を有するとしています。)
重要インフラに対するランサムウェア攻撃は根絶されるわけではなく、むしろ禁止によってより危険になる可能性もあります。
Acumen CyberのCTO、ケビン・ロバートソン氏も同様に懐疑的です。「組織はこの法改正を防御力の向上と見なすべきではありません。影響はほとんどないでしょう。支払い禁止だけでランサムウェアが止まることはありません」と彼は言います。逆効果になる可能性もあります。「組織が要求に応じて支払っても報告しない地下経済が生まれたり、グローバル企業が英国以外の場所から支払いを行うことも考えられます。」
サイバー分野で最大の問題の一つは、意図しない結果が生じることです。リソースは有限です。一つの穴を埋めるには、別の場所を掘って材料を調達しなければならないかもしれません。ほとんどの組織はサイバーセキュリティを通じてランサムウェア問題の解決を本気で試みてきましたが、すべての穴を埋めることはできませんでした。身代金支払い禁止の必要性は、この失敗を認めるものです。
問題は、禁止にもまた独自の意図しない結果が生じる可能性が高いことです。組織は犯罪者に金を渡したいから身代金を払うのではなく、非常に現実的な理由から支払っています。こうした現実的な理由は、政府の要件に関係なく今後も続くでしょう。この法制化以前に身代金を支払ってこなかった企業は、法律のためではなく自らの選択として、その慣行を続けるでしょう。
しかし、これまで身代金を支払ってきた企業は、今や板挟みの状況に置かれます。「現実として、多くの組織はこれまで、迅速な業務再開とコスト最小化という現実的な理由から身代金支払いを選択してきました」とOPSWATの国際担当SVP、ジェームズ・ニールソン氏はコメントしています。「新たな措置は、攻撃に対処している最中の被害者を犯罪者として扱うリスクや、法令遵守のために長期的な業務停止や多大なコストを強いられるリスクを生じさせます。これは組織にとって非常に厳しい立場です。」
身代金支払いの必要性は、違法化されても変わりません。一部の組織は、法律の抜け穴や犯罪者への隠れた支払い方法を探し出し、ビジネスを守ろうとするでしょう—道徳的にはともかく、実質的には自らも犯罪者となる可能性があります。
仮に法律の意図が成功したとしても、犯罪者の関心がより規制の緩いビジネス分野に向かうだけであり、国家やより高度な攻撃グループによる重要インフラへの攻撃を防ぐことはできません。「ランサムウェア攻撃者がいなくなることはありませんが、焦点を変えるかもしれません」とニールソン氏は警告します。
ランサムウェアの脅威は、多くの個別要因からなるトランプの山のようなものです。これらのカードへの対応を法的に規制しても、山をシャッフルするだけでカード自体がなくなるわけではありません。山を変える唯一の方法は、新しいカードを加えることであり、既存の山をシャッフルすることではありません。
これは難しいことです。「政府が言うだけでなく実行したいのであれば、攻撃が発生した際に組織が対応できるようにしなければなりません」とトレバー・ディアリング氏は提案します。「つまり、必要なバックアップを用意し、すべての組織が堅実な復旧計画とリスク評価を持ち、常に最新の状態に保つことが必要です。」
しかし、これも結局は山をシャッフルしているだけです。サイバーセキュリティソリューションはこれまで機能してきませんでした。セキュリティはふるいのようなもので、どこかに必ず隙間があります。攻撃者は流動的で、常に穴を見つけ出します。
一つの選択肢は、支払いをしなかった被害者に追加の財政支援を提供することです—これは保険業界ではなく、政府の後ろ盾による保険のようなものですが、保険業界が求めてきたものの実現しなかった仕組みです。しかし、これはほぼ確実に政治的に不可能でしょう。
ランサムウェア問題におけるすべての要素を総合すると、最終的には政府の介入で状況を混乱させるよりも、企業が自力で最善を尽くすべきだという結論になります。禁止は単なる政治的なパフォーマンスにすぎません。
「組織によるランサムウェア支払いの禁止は理論上は良さそうに聞こえますが、実際には大惨事です」とForresterの主席アナリスト、アリー・メレン氏は述べています。「組織が身代金を支払うのは、他に選択肢がないからであり、望んでいるからではありません…全面的な禁止は非現実的であり、守ろうとする組織にとって有害です。」
翻訳元: https://www.securityweek.com/uks-ransomware-payment-ban-bold-strategy-or-dangerous-gamble/