身代金の支払い禁止は“おとぎ話”か？ 完全禁止派 vs. 禁止措置緩和派の論争：Cybersecurity Dive

安全保障技術研究所はランサムウェアによる身代金の支払い禁止について非現実的だとして批判している。主張の背景には何があるのか。

[Matt Kapko，Cybersecurity Dive]

　安全保障技術研究所のランサムウェアタスクフォース（RTF）は、2024年4月10日（現地時間）に発表した報告書の中で（注1）、ランサムウェアに関連する身代金の支払い禁止の実現に冷や水を浴びせた

身代金の支払い禁止はなぜ“おとぎ話”なのか？　禁止措置緩和派の主張

　安全保障技術研究所は以下のような複数の理由から、ランサムウェアに関連する身代金の支払いを禁止することの実現可能性を否定している。

• 禁止措置が被害者による身代金支払いの報告に与える影響についての懸念
• より多くの支払いが隠れて行われる可能性
• （電力やガス、鉄道、空港などの）重要インフラの適用除外規定の予期せぬ結果と実務上の問題

　RTFの共同議長は、電子メールで「禁止措置は、準備態勢を推進するための活動よりは政策的に簡単かもしれないが、ほぼ間違いなく誤った影響をもたらすだろう。身代金を支払う組織の数は減少しており、これは私たちが正しい道を歩んでいることを示唆している」と述べた。

　RTFは禁止措置の代わりに、「支払いを削減するための最も合理的かつ効果的なアプローチ」として16のマイルストーンを提言している。そしてその多くは、すでに実施されているか、開発中であるか、少なくとも部分的には進行中である。1つを除く全ての提言は、2021年9月に同グループが発表した報告書で共有されたものである（注2）。

　同議長は、電子メールで次のようにも述べている。

　「残念なことに、ほとんどの組織は十分なサイバー耐性を持っておらず、ランサムウェアへの備えが極めて不十分である。身代金の支払い禁止を実施しても、この状況は変わらないし、攻撃者のスイッチを即座に切ることも困難だ。攻撃者は、組織が十分な防御策や緩和策を持たないことを知った上で、攻撃を仕掛け続けるだろう」

　RTFが求めている主要な取り組みのうち2つは、ここ数年で完了または進展した。上場企業は現在、重要なサイバーインシデントを報告し（注3）、サイバーガバナンスとリスク管理戦略を米国証券取引委員会（SEC）に開示しなければならない（注4）。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が提案した、2022年の重要インフライベント報告法に関する規則は（注5）、31万6000以上の米国の重要インフラの所有者や運営者、サプライヤーに、サイバー攻撃と身代金の支払いに関する迅速な開示を強制する。その規則は18カ月以内に施行される。

　組織はすでに、米財務省外国資産管理局から制裁を受けている個人や団体への身代金の支払いを禁じられている（注6）。

身代金支払い完全禁止派 vs. 禁止措置緩和派　論争は継続中

　過去18カ月間で、ランサムウェア活動を抑制するための論争と政策議論は変化してきた（注7）。現在のランサムウェアを阻止する取り組みがうまくいっていないという十分な証拠が出てきているためだ。

　2023年11月に政府高官が発表したところによると、米国のランサムウェア被害者は、2022年5月から2023年6月までの間に身代金として15億ドルを支払っている。Rapid7の調査によると、2023年には約5200の組織がランサムウェア攻撃を受けている（注8）。

　バイデン政権は2022年9月、身代金の支払いを全面的に禁止することを断念したが（注9）、ホワイトハウス（米連邦政府）の高官は2023年半ばに、国際ランサムウェア対策イニシアチブを通じて、政策変更の可能性を復活させた（注10）。

　最善の道を巡る論争は続いている。

　サイバーセキュリティ事業を営むEmsisoftのブレット・カロウ氏（脅威アナリスト）は、2024年の初めに、身代金の支払いの完全禁止を求めて立ち上がった人物であり（注11）、現在もこの施策の強力な支持者である。

　RTFは、フロリダ州やノースカロライナ州など、以前にこのような禁止措置を導入した州ではランサムウェア攻撃が減少していないと主張しているが、カロウ氏は範囲が限定されているため、この意見に同意していない。

　「州レベルの禁止措置が必ずしも攻撃の数を減らすとは限らない。ロシアを拠点とするサイバー犯罪者は、州による禁止を知らないかもしれないし、ある組織がその州にあることさえ知らないかもしれない。しかし、これは禁止措置が無意味であることを意味するわけではない」（カロウ氏）

　カロウ氏は「攻撃者は州レベルの禁止を認識しておらず、攻撃を停止しないかもしれないが、全国に適用される連邦レベルの禁止令は絶対に認識するだろう」と述べた。

　RTFはランサムウェア攻撃を受けた組織に対する厳格な支払い禁止を導入する代わりに、既に進行中の取り組みを強化することを約束している。このグループは8人の共同議長によって運営されており、その中には、2023年に国家サイバー長官代理を務め、現在はPaladin Global Instituteの社長を務めるケンバ・ウォルデン氏なども含まれている（注12）。

（注1）ROADMAP TO POTENTIAL PROHIBITION OF RANSOMWARE PAYMENTS（RANSOMWARE TASK FORCE）
（注2）Combating Ransomware（RANSOMWARE TASK FORCE）
（注3）What’s material to the SEC, 3 months into cyber disclosure rules?（Cybersecurity Dive）
（注4）SEC cyber disclosure rules are taking effect: Here’s what to expect（Cybersecurity Dive）
（注5）What CISA wants to see in CIRCIA reports（Cybersecurity Dive）
（注6）Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments1（DEPARTMENT OF THE TREASURY）
（注7）Will the movement to ban ransom payments gain steam in 2024?（Cybersecurity Dive）
（注8）Elevated ransomware activity hit nearly 5,200 organizations in 2023（Cybersecurity Dive）
（注9）US government rejects ransom payment ban to spur disclosure（Cybersecurity Dive）
（注10）White House considers ban on ransom payments, with caveats（Cybersecurity Dive）
（注11）The State of Ransomware in the U.S.: Report and Statistics 2023（EMSISOFT）
（注12）Why Walden thinks this national cybersecurity strategy will work（Cybersecurity Dive）

原文へのリンク