Interviews Brawte nfaq 0 Comments

ランサムウェアビジネスモデルをどう撲滅するか? 元GCHQ長官は、保険金支払いを禁止すべきだと提言

Table of Contents

ランサムウェアビジネスモデルをどう撲滅するか? 元GCHQ長官は、保険金支払いを禁止すべきだと提言

元GCHQ幹部の間では、企業がサイバー保険を使ってランサムウェア攻撃者を買収することを禁止する法律の制定を求める声が高まっている。買収された金は犯罪者のビジネスモデルを永続させるだけだからだ。

しかし、朝起きたら企業ネットワーク全体が妨害され、ユーザーのエンドポイントには身代金要求のメッセージしか表示されないという状況に業界が慣れてきている一方で、元政府系ハッカー(およびサイバーセキュリティ関係者)は、犯罪者の要求に素直に応じ、先へ進む傾向について声を上げています。

英国国家サイバーセキュリティセンターの元所長キアラン・マーティン氏は今年初め、保険会社が顧客に代わって身代金を支払うことで「組織犯罪に資金を提供している」と議会で証言し、話題を呼んだ。

「この国では、犯罪者への支払い費用を補填するために支払いをすることは、ますます日常的な慣行になっています」とマーティン氏は科学技術委員会で述べた。「ですから、もしあなたがビットコインで犯罪者に支払った場合、保険金を請求できるのです。」

マーティン氏の鋭い見解は、この種の事柄について数年の経験を持つ、少なくとも彼と同輩の元政府安全保障担当幹部の一部によって共有されているようだ。

ランサムウェア犯罪者の買収を禁止

国際戦略研究所の上級サイバー顧問で、元GCHQサイバー部長(NCSC就任前)のマーカス・ウィレット氏は3月末、世界には「サイバー犯罪者に身代金を支払うことへの抑止力となる新たな法律」が必要だと書いた。

ウィレット氏は、ソーラーウィンズへのハッキングが国際的な政策に及ぼす影響を分析しながら、「企業にとって、ランサムウェア攻撃による混乱を回避するために保険金を支払うのは現状ではあまりにも都合が良すぎる」と指摘した。彼は、そうすることは、基本的なサイバー衛生に関する意識を高めるための取り組みを軽視する行為だと主張した。

NCSCの元副所長は、彼の意見に部分的に同意し、全面禁止は現実的ではないかもしれないと意見を述べた。コンピューターと法律協会のウェブサイトに寄稿したピーター・ヤップ氏は、これまでの無報酬政策は失敗に終わったと述べた。

現実世界では、人々はただ自分のデータを回復したいだけなのです

「誘拐、身代金、恐喝といった分野での危機管理業務を通じて、データではなく人間が関与している場合、(全面禁止は)実際には効果がないことを知っています」と、現在法律事務所シリングスのサイバーパートナーを務めるヤップ氏は述べている。「全面禁止や非譲歩政策は過去に効果がなく、各国の賛同も得られませんでした。」

この件で、元GCHQ/NCSCの関係者は、サイバー保険の加入促進を狙った2014年の政府政策が失敗した可能性があることを認めているようだ。当時我々が述べたように、サイバー衛生の向上を意図してサイバー保険を増額することは、交通事故を減らすための手段として自動車保険を奨励するようなものだった。

サイバー保険に対する政府の姿勢は様々だ。2019年、米国連邦捜査局(FBI)は、犯罪者への賄賂に対するこれまでの強硬姿勢を緩和すると発表し、2020年にはNCSC(全米安全保障委員会)もこれに呼応した。NCSCの新長官リンディ・キャメロン氏は3月、保険は「より高度な基本的なサイバーセキュリティの代わりにはならない」と述べており、これは「身代金を支払うべきではないが、支払っても我々は気にしない」という現在の政府の考え方を反映しているようだ。

オフィス戦争の写真(Shutterstockより)

サイバー保険ショック:チューリッヒはNotPetyaランサムウェアのクリーンアップ費用の負担を拒否、これは「戦争行為」だと主張する

続きを読む

昨年、サイバー保険の専門家が集まった結果、保険会社は、ノットペティアランサムウェア感染をきっかけにチューリッヒでモンデリーズ社に対して起こされた悪名高い訴訟の影響で、サイバーインシデントを補償すると主張する保険契約に対して顧客がますます疑念を抱くようになっていることに気づき、歯ぎしりする結果となった。

昨年、あらゆるところで独占的に報道されているように、ランサムウェア攻撃が増加しています。犯罪者がこれを一攫千金の手段として利用するビジネスモデルはシンプルです。被害者のネットワークにマルウェアを仕掛け、デジタルミットでアクセス可能なすべてのファイルを暗号化します。そして、復号ツールと引き換えに多額の身代金を要求するメールを被害者に送りつけます。

ますます普及している二重恐喝モデルでは、犯罪者は機密データ(または恥ずかしいデータ)も抽出し、それを被害者に別途身代金として要求します。身代金を要求しない場合は、誰でもダウンロードできるように公開されます。

しかし、保険会社や犯罪者にとって必ずしも有利な結果になるわけではない。昨年1月に高等裁判所で異例の判決が下された。匿名のカナダの保険会社が、再保険会社が代理で支払った109ビットコインの身代金の回収を求めて訴訟を起こしたのだ。®

Interviews

Smart Recommendations

Discover More