ランサムウェアの身代金支払いに関する情報開示を企業に義務付ける米国の新法案

次の記事

GMは2030年までにサブスクをNetflix級のビジネスにしようとしている

米国で新たに提出された法律案は、ランサムウェアによる身代金の支払いを行った場合、取引から48時間以内に開示することを同国の企業に義務付けるものだ。

Elizabeth Warren(エリザベス・ウォーレン)上院議員とDeborah Ross(デボラ・ロス)下院議員が起草したこの「Ransom Disclosure Act(身代金開示法)」は、(個人ではなく)企業や組織を対象とするもので、要求された暗号資産の金額や種類、支払った金額など、ランサムウェアの支払いに関するデータを米国土安全保障省に提供することを義務付ける。

この法案は、サイバー犯罪者の活動に対する米国政府の理解を深め、ランサムウェアによる脅威の全体像を把握するために役立てることを目的としている。身代金の支払いは一般的にbitcoin(ビットコイン)で行われるが、セキュリティ専門家によると、脅威アクター(犯行者)はMonero(モネロ)などの「プライバシーコイン(匿名通貨)」を利用する傾向にあり、捜査当局が資金の流れを追跡することを困難にしている。

また、この身代金開示法では、国土安全保障省にも、組織や企業が身代金の支払いを自主的に報告するためのウェブサイト設置を求めるとともに、支払いを行った組織の識別情報を除き、前年中に開示された情報を共有することを要求する。セキュリティ研究者による同様の取り組みはすでに行われている

関連記事
ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」
ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

ウォーレン上院議員は、ランサムウェアによる攻撃が「急増」していることから、こうした対策が必要だと述べている。2020年、北米でのサイバー攻撃は158%増加しており、世界中の被害者が支払った身代金は3億5000万ドル(約390億円)近くにのぼり、2019年に比べて300%以上増加していることがデータによって示されている。

さらに、最近の調査によれば、身代金の支払い自体はランサムウェア攻撃によって受けた被害の総額のうちわずか20%に過ぎず、企業は生産性の低下や攻撃後の復旧作業によって、はるかに大きな損失を被っていることがわかった。

「サイバー犯罪者を追及するための重要なデータが不足しているのです」と、ウォーレン氏はいう。「私がロス議員と共同で提出した法案は、身代金が支払われる際の情報開示義務を定めるもので、これによってサイバー犯罪者がアメリカの団体からどれだけの資金を吸い上げて犯罪に利用しているかを知ることができ、犯罪者を追跡するために役立ちます」。

米国がランサムウェアを取り締まるために採用する戦術はこれだけではない。

例えば、財務省は2021年9月、暗号資産取引所のSuex(スエックス)に対し、その取引総額の40%以上が悪質な行為に関連していたことが判明したため、身代金の支払いを助長する役割を果たしたとして、初の制裁を科すと発表した。さらに財務省は先日、米国の制裁対象国に拠点を置く脅威アクターへの支払いは禁止されていると、米国企業に警告を出した。

関連記事:米財務省の新たな制裁措置はランサムウェアグループによる現金化の阻止が目的

画像クレジット:Donat Sorokin / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)