身代金の支払いを禁止することは、各国政府が使う気さえあれば、反サイバー犯罪の手段として常に選択肢に残っている。
英国では、少なくとも部分的な身代金支払い禁止が施行されるのを目にすることになるだろうと、サイバーセキュリティ政策の専門家で、Institute for Security and Technology(IST)の官民連携「ランサムウェア・タスクフォース」の共同議長を務めるジェン・エリス氏は述べた。
身代金の禁止は万能薬ではなく、攻撃件数への影響はごく小さい可能性があり、また「攻撃者の行動を義務付けるのではなく、被害者の行動を義務付ける」ことになるため、「あまり良くない」と彼女は言う。とはいえ、サイバー犯罪に直接資金を提供することの倫理もまた問題だ。
時期については、英国政府がまず他の2つの取り組みを前進させると彼女は見ている。1つ目は、今月初めに公表された政府向けの改訂版サイバー行動計画だ。この計画は、政府のサイバーセキュリティおよびレジリエンス法案の第2読会の前日に公表された。同法案は、民間部門の広範な領域にわたり、インシデント報告とサプライチェーンの脆弱性管理に関するより厳格な規則を課すことになる。
次の議題として、これは「純粋に推測にすぎない」が、何らかの身代金支払い禁止が制定されると彼女は予想している。それが一定規模以上の企業のみに適用されるのか、特定のセクターにまたがって適用されるのか、また適用除外となる組織であっても(相手が制裁対象である場合に備えて)支払いの承認を得る必要があるのか、といった詳細も未解決の問題だ。
Infromation Security Media Groupとのこの音声インタビュー(写真下のリンク参照)で、エリス氏は次の点についても語った:
- 多くのランサムウェア集団が、破壊的な攻撃から離れつつある動き
- Scattered Spiderとその類が、サイバー犯罪の面で「異例」の存在であり続ける理由
- 身代金支払い禁止が、攻撃者と被害者の双方に与え得る影響
NextJenSecurityの創設者として、ジェン・エリス氏は、セキュリティ専門家、技術プロバイダーおよび運用者、市民社会、政府と連携し、サイバーセキュリティの課題と戦略に対する理解を深める取り組みを行っている。
エリス氏は、内閣府のGovernment Cyber Advisory Boardを含む、英国政府のさまざまな諮問委員会や作業部会に参加している。彼女はRoyal United Services Instituteのアソシエイト・フェローであり、Institute for Security and Technologyのアジャンクト・アドバイザーで、ISTのランサムウェア・タスクフォースの共同議長も務める。また、Center for Cybersecurity Policy and LawおよびCVEプログラムの理事も務めている。
翻訳元: https://www.databreachtoday.com/interviews/case-for-ransom-payment-ban-when-might-happen-i-5520
