米連邦公正取引委員会 FTC はランサムウェアと戦うために権限を強化する?

New legislation would boost the FTC’s role in fighting ransomware

2021/07/21 CyberScoop — 米連邦公正取引委員会 (FTC : Federal Trade Commission) における国際的な取り組みを、ランサムウェア対策へと向けるための、新しい法案が提出された。火曜日に、House Energy and Commerce 消費者保護小委員会の代表を務める共和党議員 Gus Bilirakis は、FCT が受け取ったランサムウェアとサイバー攻撃に関する苦情の件数と、他組織との協力により対応した内容について報告を要求する法律を提出した。なお、これらの問題に対応するための、国際法執行機関との協力も要求している。

この法案は、2006年に制定された法律を更新するものであり、消費者保護の問題において、FBI が海外の法執行機関と協力することを可能にするものだ。改正法により FTC は、ランサムウェアを軽減/防御するための法律やベスト・プラクティスについても、提言を行うことになっている。これまで、FTC が常に担ってきたのは、プライバシー・ポリシーの施行や基本的なセキュリティ対策を怠った Equifax のような企業の追及し、データ漏洩やオンライン詐欺を防いでいくという役割である。

また、過去には、ランサムウェアの攻撃を防ぐためのリソースを、中小企業に提供したこともある。しかし、司法省や FBI とは異なり、FTC が重点を置くのは刑事事件ではなく民事事件である。これまでの FTC の国際協力は、主に電話詐欺やオンライン詐欺に対する消費者保護の取り組みが中心だった。しかし、今回の法案では、そこに費やされるリソースを、ランサムウェアに集中させていく可能性もある。

今回の提案は、米国の企業/学校/自治体/病院などを狙うランサムウェア攻撃の増加に対応するために、行政機関のリソースを強化しようとする、同議員が推進してきた活動の一環でもある。この5月以降において、米国政府が直面してきたのは、燃料供給会社である Colonial Pipeline や、食肉供給会社の JBSフロリダの IT 企業 Kaseya に対する、重大なランサムウェア攻撃である。その他にも、連邦政府のランサムウェア対策を強化する法案として、水曜日に Mark Warner 上院議員が提出したものもある。

こちら法案は、重要インフラの所有者や、連邦政府の請負業者、サイバー・レスポンス企業に対して、国土安全保障省 (Department of Homeland Security) のサイバー・セキュリティ機関への通知を、サイバー事件の発生後 24時間以内に行うよう、義務付けるものだ。また、燃料パイプラインや天然ガスに対する、サイバー侵害への対応を調整する権限を、エネルギー省 (Department of Energy) に与えるという法案も提出されている。また、ホワイトハウスが招集した、省庁間タスクフォースでは、サイバー犯罪者が身代金のために用いるデジタル通貨の規制強化など、さまざまな政策措置を進めている。ホワイトハウスの高官によると、各省庁は既存の規制の範囲内で可能な対応を模索しているが、権限の追加が問題外というわけではないと述べている。

米政府は、総力をあげてランサム対策という感じですね。裏を返せば、それだけ切羽詰まっているのでしょう。カテゴリ Government を開くだけで、これでもかという感じで、インフラ破壊のトピックが出てきます。この2ヶ月ほどで、石油パイプラインは止まり、食肉最大手はビジネスを停止するという具合に、オンラインであろうとオフラインであろうと、日常が成り立たない状況に直面すれば、無理もないかもしれません。

%d bloggers like this: