米財務省 「ランサムウェアの要求を支払うことは違法になる可能性がある」

Treasury Department: Paying ransomware demands could be illegal - SiliconANGLE

企業がランサムウェアに攻撃された際に、データを回収のために身代金を支払うことは、将来の攻撃を促すことになるため、常に物議を醸してきた。しかし現在では、このような行為も違法となる可能性がある。

米国財務省は本日、ランサムウェアの要求に応じることは違法である可能性があり、そのような行為を行った企業は起訴される可能性があると警告を発した。

この警告は、財務省の外国資産管理局と金融犯罪執行ネットワークからの勧告である。どちらも、ランサムウェアの支払いを行った企業、または支払いを容易にした第三者が、身代金を要求したハッカーが米国の制裁の対象となった場合、起訴される可能性があると警告している。

ただし、例外として、「政府の承認を得た場合にのみ、ランサムウェアの支払いが可能」とのこと。

ランサムウェアの交渉を請け負っている企業や、身代金を補償の対象としている保険会社には注意が必要だ。
「金融機関、サイバー保険会社、デジタルフォレンジックやインシデント対応に携わる企業など、被害者に代わってランサムウェアの交渉や支払いを行う企業は、将来のランサムウェアの支払い要求を助長するだけでなく、OFACの規制に違反する危険性がある」と、外国資産管理局は勧告の中で述べているためだ。

一方では、深刻なランサムウェア攻撃は企業を深刻な障害に陥れ、場合によっては何億ドルものビジネス損失とコストが発生する可能性があるため、ビジネスの中核となるファイルへのアクセスを得るために身代金を支払うことは、それだけの価値があることも。

セキュリティ・トレーニングのサービスを提供するKnowBe4 Inc.のジェームズ・マクウィガン氏は、ランサムウェアをイタリアのマフィアに例えている。
「何年も前、イタリアでは、富裕層や富裕層の組織犯罪グループによる誘拐事件が多発していた。誘拐事件は深刻化し、イタリア政府は組織犯罪グループに身代金を支払うことを禁止するようになった。政府は、誘拐された家族が支払うためのお金を得られないように、すべての金融資産を差し押さえることまで実施した。最初は、犯罪者グループは、支払えない家族の家族を殺害。しかし、しばらくすると、組織的な犯罪集団は金を払えないことに気付き、すぐに誘拐や身代金の支払いに終止符が打たれた。」

本日の勧告に戻り、組織が身代金の支払いを希望しても、米国財務省やFBIなどの政府機関と協力して資金を送金しなければならないとマククイガン氏は述べている。「米政府の払わないという勧告は、テロリストと交渉しない、誘拐に関与した場合は身代金を払わないという同様の考えに由来しており、ランサムウェアによる攻撃を減らすという期待される行動につながっていくだろう。」と同氏は述べている。