ランサムウェアのジレンマ：規制と報告、そして今後の道筋

なぜランサムウェア規制は不十分なのかーより賢明で柔軟なアプローチが必要な理由

ランサムウェア：古典的な犯罪の変貌

恐喝は古くから存在する犯罪のひとつです。脅しをかけ、金銭を要求し、それを繰り返す。デジタル化が進んだ現代では、ウェブカメラを使った脅迫からDDoSによる恐喝まで、犯罪の手口が巧妙化しています。しかし、企業にとって最も深刻な問題はランサムウェアであり、その影響は予測できるものから予測しないものまで、さまざまな形で企業に大きな打撃を与えています。

ランサムウェア攻撃に対する対応方針は組織ごとに異なります。公的機関が能動的サイバー防御（ACD）を重視する一方で、民間企業は英国のCyber Essentials制度に依存しています。それでも、依然として攻撃を防ぎきれずにいます。法執行機関は犯罪者に対して一定の抑止力を発揮するものの、彼らの攻撃の手が弱まることはありません。制裁をかけても、犯罪者はそのほとんどを軽々と回避してしまいます。

次々と規制が強化され、既に厳しい状況にある各組織に金銭的な罰則がのしかかります。その中で、英国政府は重要インフラ企業に対して、ランサムウェア攻撃を受けた際の報告義務化や身代金支払いの禁止を検討しています。この議論は何年にもわたり繰り広げられていますが、問題の根本的な解決がない限り、どちらの規制も効果を上げることは難しいでしょう。

ランサムウェア報告義務化と身代金支払い禁止に潜む問題

サイバー攻撃の報告義務化には、実効性のあるシステムが必要です。英国のAction Fraudに対する批判的な意見も多く、改善には相当なコストがかかるでしょう。単に統計を集めるだけでは問題は解決しません。被害者が求めているのは実際に役立つ支援です。緊急サービスに通報すれば、即座に助けが来ることが期待されますが、現状のシステムはその期待に応えられていません。報告義務の強制は、「被害者を罰するのではなく、公共の協力を基盤とする」というピール原則に反することになります。ですが、法的な問題については、また別の機会に議論することにしましょう。

「金銭要求に応えることが唯一の選択肢となることもある」

さて、身代金支払いの禁止（実質的には犯罪化）について考えましょう。公的資金を身代金に充てることは許されません。これは理解できるところです。政府にはバックアッププランがありますが、民間企業にはそのような余裕はありません。恐喝を受けた企業の最優先事項は、生き残り、被害を最小限に抑え、事業を再開することです。そして、時には金銭を支払うことが唯一の現実的な選択肢となることもあります。最も避けるべき手段ではありますが、万策尽きたときには、最後の手段となることもあります。確かに犯罪者は信頼できませんし、うまくいかない可能性もあるでしょう。しかし、適切な情報とサポートがあれば、成功することもあります。身代金の流れを追い、情報を共有して犯人を追い詰める。うまくいけば、いつかは捕まえることができるでしょう。しかし、それまでの間はあらゆる選択肢を残しておくことが必要不可欠でなのです。

生き残るために、回復するために…そしてもう一度戦うために

この記事を書き始めた時、機関の取り組みを批判的に取り上げました。意図的にです。しかし、非効率性を指摘するためではなく、これらの取り組みが連携することでこそ成果を上げ、リスクの軽減や意識の向上、組織の保護につながることを強調するためでした。もちろん、さらなる取り組みが必要ですが、重要なのは適切な取り組みです。ランサムウェアや次なるサイバー脅威に立ち向かうために、我々一人ひとりが果たすべき役割があるのです。

英国政府の公聴会は、その有効性を試す良い機会となるでしょう。結果にかかわらず、日本サイバーディフェンスは、セキュリティ対策からインシデント対応、サイバーレジリエンス計画に至るまで、ビジネスを守るためのインテリジェンスと専門知識を提供し、組織の準備と回復を支援し続けます。脅威が収まることはありませんが、適切な戦略さえあれば、我々も決して立ち止まる必要はないのです。