50カ国が賛同した“身代金支払いの拒否”の共同声明 だが専門家は影響を疑問視Cybersecurity Dive

CRIのメンバーである50カ国は「各国政府の権限の下にある機関は、ランサムウェアに関連する身代金を支払うべきではない」という共同声明を発表した。この誓約は、禁止に向けた第一歩になる可能性がある。

» 2023年12月09日 07時00分 公開
[Matt KapkoCybersecurity Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

Cybersecurity Dive

 International Counter Ransomware Initiative(以下、CRI)のメンバーである50カ国は2023年10月30日(現地時間、以下同)の週に「各国政府の権限の下にある機関は、ランサムウェアに関連する身代金を支払うべきではない」とする共同声明に賛同した(注1)。

共同声明は身代金支払いを思いとどまらせる第一歩になるか?

 48カ国、欧州連合(EU)やインターポールを代表するサイバー当局が米国ワシントンD.C.に集まり、ランサムウェアへの対抗策を進める取り組みは3年目を迎えた。国家安全保証の副顧問であり、サイバーの分野と新しい技術を担当するアン・ノイバーガー氏は、サミット前のブリーフィングにおいて「資金が流れ続ける限り、ランサムウェアによる被害は拡大し続けるだろう」と指摘した。

 破壊的なランサムウェア活動が続いたことを受けて、今回の国際的なポリシーに対する賛同がなされた。米国当局は2022年に、身代金支払いの全面的な禁止を採用しなかったが(注2)、2023年の半ばにその姿勢を再考している(注3)。

 サイバーセキュリティの専門家によると、この誓約はランサムウェア攻撃を助長する身代金の支払いに立ち向かう多国間の意向を示しているが、その範囲と影響は限定的だという。

 サイバーセキュリティ事業を営むReliaquestにおいて、CISO(最高情報セキュリティ責任者)オフィスのバイスプレジデントおよびCISOを務めるリック・ホランド氏は「禁止をどのように表現するかが重要だ。『身代金を支払うべきでない』という言葉では、『身代金を支払ってはならない』という言葉ほど、民間企業が攻撃者の要求に応じることを思いとどまらせられないだろう」と話す。

 「身代金の支払いにはリスクが伴うが、結局のところ、それはビジネス上の決断だ。ビジネスに重大な影響を及ぼす要因が潜在的に存在する状態を解消するために、多くの経営陣は身代金の支払いを選択するだろう」(ホランド氏)

 同誓約は、CRIのメンバーである国と、それぞれの権限の下にある機関に限定されている。Gartnerのバイスプレジデントであり、著名なアナリストでもあるカテル・ティエレマン氏は「米国では民間企業、州および地方の管轄区域はこの誓約に含まれない」と述べた。

 「攻撃を受けている最中に決断を下さなければならないため、大半の組織にとって、これらの共同声明はあまり意味がない。最近起こった2つのランサムウェアの事例として、CaesarsのものとMGMのものがある(注4)(注5)。それぞれの事例で、異なる支払いの決定が行われ、異なる結果をもたらした」(ティエレマン氏)

 政府や企業による身代金の支払いを禁じることは困難だが、CRIの誓約は、禁止に向けた第一歩になる可能性がある。

 サイバーセキュリティ事業を営むEmsisoftの脅威アナリストであるブレット・カロウ氏は「現時点では大きな影響力を持つ誓約ではないかもしれないが、身代金の支払いに関する規制を強化するための小さな一歩になるだろう。仮に政府が身代金の支払いを完全に阻止したいのであれば、立法が必要だ。現在のランサムウェア対策は明らかに機能していない。そのため新しい戦略が早急に求められる」と話す。

 政権高官によると、ランサムウェアに関する米国内の被害者は、2022年5月〜2023年6月の間に身代金として15億ドルを支払っている。

 政府高官は「ランサムウェアによる混乱を根本的に減少させたいのであれば、身代金を支払わないように促す必要がある」と述べている。

 CRIのメンバーは、脅威を迅速に共有するための情報共有プラットフォームの開発に加え、各国がメンバーにインシデント対応の支援を要請するためのフォーラムと仕組みの整備、ランサムウェアの実行者が使用する暗号資産ウォレットに関するブラックリストの共有を進めている。

 ティエレマン氏は「私たちは、大半のランサムウェア攻撃の根底に、暗号通貨の要求があることを知っており、暗号通貨の資金が世界中で悪質な行動を助長していることを理解している」と述べた。

 ランサムウェアの活動を抑制するためのCRIのメンバーによる試みは世界的なものだが、米国組織は依然として攻撃者にとって最大の標的だ。「世界のサイバー攻撃の46%は米国人を標的にしたものだ」とノイバーガー氏は述べた。

(注1)International Counter Ransomware Initiative 2023 Joint Statement(THE WHITE HOUSE)
(注2)US government rejects ransom payment ban to spur disclosure(Cybersecurity Dive)
(注3)White House considers ban on ransom payments, with caveats(Cybersecurity Dive)
(注4)Caesars shakes off cyberattack with strong Q3 Las Vegas demand(Cybersecurity Dive)
(注5)MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack(Cybersecurity Dive)

© Industry Dive. All rights reserved.

注目のテーマ