英国政府は、本日概要を発表した新たな措置に基づき、公共部門の組織と重要な国家インフラに対し、ランサムウェア攻撃の背後にいる犯罪者への支払いを「禁止」することを提案している。
これは、近年様々な悪党の標的となってきたNHS、地方議会、そして学校が、システムを封鎖し、金銭をゆすり取ろうとする悪党たちと交渉できなくなることを意味します。政府の協議に回答した人のほぼ4分の3が、この方針を支持したと伝えられています。
英国、新たなサイバー法案で1日10万ポンドの罰金を警告
続きを読む
この構想は、公共部門とCNI(最近では公益事業やデータセンターも含む)を、金銭目的の攻撃者にとって魅力的な標的から遠ざけることを目的としています。提案の具体的な実施時期は本日発表されていません。
「ランサムウェアは、一般市民を危険にさらし、生活を破壊し、私たちが頼りにしているサービスを脅かす、略奪的な犯罪です」と、ダン・ジャービス安全保障大臣は声明で述べた。「だからこそ、私たちは『変革のための計画』を実行する中で、サイバー犯罪のビジネスモデルを壊滅させ、私たち全員が頼りにしているサービスを守る決意です。」
これは、英国政府によるサイバー犯罪対策の最新施策の一環です。NIS 2018規制を強化することを目的としたサイバーレジリエンス法案が、今年中に議会に提出される予定です。この法案は、規制当局により広範な執行権限を与え、行政機関が新たな脅威に迅速に対応できるよう支援するとともに、データセンターやMSPなど、法規制の対象となる組織の種類を拡大します。
この法律により、政府は規制対象事業体に対し、特定のセキュリティ対策を実施するよう命令する権限を有する。広く悪用されている脆弱性に対処するためのパッチをダウンロードしなかった場合、デジタル侵入が発生した場合、1日あたり10万ポンドまたは売上高の10%の罰金が科せられる可能性がある。
「これらの新たな措置は、我が国の経済全体に害を及ぼしている犯罪の生態系を弱体化させることに役立つ」とNCSCの国家レジリエンス担当ディレクター、ジョナサン・エリソン氏は述べた。
ランサムウェア犯罪者は過去数年間、数多くの地方議会を混乱させ、何日も何週間もサービスを麻痺させてきたほか、学校でも大混乱を引き起こし、NHS(国民保健サービス)で死亡事故を引き起こし、数え切れないほどの医療処置のスケジュールをひっくり返した。
「プラン・フォー・チェンジ」の提案は、ランサムウェアへの支払い禁止の対象外となる営利企業であっても、身代金を支払う意思がある場合は政府に通知する必要があることを意味します。政府は声明で、これらの企業に対し、「制裁対象のサイバー犯罪グループ(その多くはロシアに拠点を置いている)」に資金を送ることは法律違反となるリスクがあると通告すると述べています。
- フランス警察、ランサムウェアの疑いでロシアのプロバスケットボール選手を手錠で拘束
- サイバー犯罪の温床であるロシア、倫理的ハッキング法案に反対
- イングラム・マイクロ、数日間の障害の原因はランサムウェアであると確認
- オックスフォード市議会への攻撃で21年分の選挙スタッフのデータが暴露される
義務的な報告制度も策定中のもうひとつの側面であり、犯罪活動を企てる犯罪者を捕まえるための情報を執行機関に提供することを目的としています。
2025年に民間部門でサイバー攻撃の被害者となった著名な企業には、保険大手、航空会社、マークス&スペンサー、ハロッズ、コープなどの英国の有名小売ブランドが含まれていた。
政府のアドバイスは、最悪の事態が現実になった場合に備えて、オフライン バックアップを維持し、IT なしで「長期間」作業するための試行済み計画を作成し、「バックアップからシステムを復元するための十分に練習された戦略」を作成することです。
イマーシブ・ラボのサイバー脅威情報担当シニアディレクター、ケブ・ブリーン氏は、政府の本日の措置について次のように述べた。「支払いによって速やかに回復する選択肢と、支払いを禁止されているために回復できないという選択肢がある場合、支払いをして報告しないという誘惑にかられるかもしれない。」
「ここには多くの道徳的考慮点があります。『決して支払わない』と言うのは簡単ですが、現実ははるかに曖昧です。一部の組織は、インフラの復旧ではなく、大量の個人情報(PII)の公開を防ぐため、身代金要求に応えて支払いました。個人への損害は、サービスがオフラインになることよりもはるかに大きくなる可能性があります。」®
