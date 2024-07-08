FBI、CISANSAのいずれも、ランサムウェア攻撃の被害に遭った組織に対し、ランサムウェアへの支払いを行うことを控えるよう強く勧告しています。そうだとしたら、ランサムウェアが要求する支払いを禁止してみてはどうでしょうか？
この話題は、最近のオックスフォードのサイバーフォーラムで持ち上がりました。CISAのジェン・イースタリー（Jen Easterly）所長は、この問題について次のようにコメントしています。「米国のシステムでは、実際的な観点から見ると、そのようなことは実現するとは思えません。」すべてのサイバー専門家、特にCISAの責任者にとって、ランサムウェアの問題は最優先事項であるため、これが純粋に自発的な発言であった可能性は低いです。今のところ、ランサムウェアの支払いを処罰対象の犯罪とする動きは見られないようです。
さらに重要なのは、Easterly氏の回答が英国の国家サイバーセキュリティー・センター（National Cyber Security Center）の元所長であるCiaran Martin氏とのインタビュー中になされたということです。今年の初め、Martin氏は彼女がThe Times紙に執筆した記事の中で、すべてのランサムウェアでの支払いの禁止を求めていました。
では、ランサムウェアへの支払いは禁止されるべきでしょうか、または禁止されないべきでしょうか？
セキュリティーおよびテクノロジー研究所のランサムウェア・タスクフォースも、この話題に加わっています。タスクフォースは、現時点においてアメリカでランサムウェアへの支払いを禁止することは、被害者、社会、経済にとって状況を悪化させるだろうと述べました。中小企業は通常、長期にわたるビジネスの中断に耐えることができず、ランサムウェア攻撃後に廃業する可能性があります。
さらに、禁止が施行されると、ランサムウェアの脅威に対する広範な対応が妨げられる可能性があります。企業が支払いに対して刑罰を受けるのであれば、ランサムウェアの代金を秘密裏に支払おうとする誘惑に駆られるかもしれません。つまり、ランサムウェアの亜種や脅威インテリジェンスに関する正確なデータが損なわれることになります。
ランサムウェア決済禁止を阻むその他の障害としては、偽の「データ復旧」業者 などがあります。これらの詐欺師は、盗んだデータを回復したり、暗号化を解読したりできると主張します。しかし実際には、救済者とされる人物はランサムウェア集団と密かに交渉し、実質的に身代金を支払った後、被害者に手数料を請求しています。ランサムウェアへの支払いが禁止されれば、こうした怪しげな策略が増加する可能性があります。
ランサムウェア決済を全面的に禁止することは、 屈服と みなされる可能性があるという意見もあります。これは、セキュリティー・コミュニティにはランサムウェア攻撃を阻止する他の手段がないというメッセージです。その代わりに、連邦政府は最近の重要インフラのためのサイバー・インシデント報告法（CIRCIA）などにより、サイバー・インシデントの報告を義務付けています。ランサムウェアの報告率を向上させることで、セキュリティー・チームは攻撃者の運用方法について詳細を調査し、脅威インテリジェンスを共有できます。このようなデジタル連帯は、単独で脅威に立ち向かおうとするよりも効果的だと考えられています。
継続的なランサムウェアの脅威に対応するため、法執行機関の取り組みも支援、強化する必要があります。LockBit ランサムウェア・アズ・ア・サービスの一団は、侵入者を裁いた大きな勝利の一例です。
さらに、CISAのランサムウェア事前通知 イニシアティブのような取り組みもあります。これは、ランサムウェアの初期段階の活動について組織に警告することでリスクを軽減することを目的としています。この取り組みにより、2023年には1,200件以上のランサムウェア通知が事前に通知されました。
官公庁・自治体はまた、設計による安全（セキュア・バイ・デザイン）も支持しています。オックスフォード・サイバーでイースターリー氏は「私たちは変化をもたらしたと思いますが、Secure-by-Designキャンペーンの成功裏の実施なしには、ランサムウェアを驚くべき異常にすることはできないと思います」と述べました。「脆弱性の数を大幅に削減するテクノロジーが提供されない限り、大規模なセキュリティチームを持たない企業がそのインフラストラクチャを保護できるとは期待できません。」
米国政府がランサムウェア対策として最善だと考えていることは、周知の事実であり、その計画は明確に示されています。これには、インシデント報告基準の厳格化、法執行機関の取り組みの継続、情報の共有、共同の取り組み、セキュア・バイ・デザインが含まれます。今のところ、身代金の支払いに対する罰則は公式の計画の一部ではありません。
しかし、IBMを含む多くの組織は、ランサムウェアの支払いを一切推奨していません。その代わりに、ベスト・プラクティスに従い、IBMの「ランサムウェア決定版ガイド」を確認してください。