米国のランサムウェア報告法案:48時間以内に身代金支払い情報の提供を義務付ける

Ransom disclosure law would give firms 48 hours to disclose ransomware payments

2021/10/07 StateOfSecurity — ランサムウェアの攻撃を受けた組織にといっては、恐喝者への身代金支払いについて48時間以内に情報を開示する必要性が生じるかもしれない。それが、米国の Elizabeth Warren 上院議員と、Deborah Ross 下院議員が提案している、新しい法案 Ransom Disclosure Act の趣旨である。

現時点において、ランサムウェアの被害者は、攻撃や身代金の支払いを連邦当局に報告する必要がない。しかし、新法案では、すべてのランサムウェアの被害者 (個人を除く) に対して、身代金の支払い後の 48時間以内に、以下の情報を開示することを義務付けている。

・身代金を要求された日
・身代金が支払われた日
・要求された身代金の金額
・支払われた身代金の額
・身代金の支払いに使用された通貨(暗号通貨の種類を含む)
・身代金を支払った組織が連邦資金を受け取っているかどうか
・恐喝者の身元に関するあらゆる既知の情報

Elizabeth Warren によると、この法案はランサムウェア攻撃に関するデータの収集に寄与し、サイバー・ギャングが企業/政府機関/病院に対する攻撃で、どれだけの金額を稼いでいるかを特定するのに役立つとのことだ。同議員は、「ランサムウェアの攻撃は急増しているが、サイバー犯罪者を追及するための重要なデータが不足している。この、Deborah Ross と共同で提出した法案は、身代金が支払われた際の情報開示義務を定め、サイバー犯罪者が資金調達のために米国の企業から吸い上げている金額を知ることが可能となり、犯罪者の追及に役立つ」と述べている。

この法案では、ランサムウェア被害者となった企業は、身代金の支払いを国土安全保障省に報告することが義務付けられ、国土安全保障省は毎年、身代金支払いの総額を公式 Web サイトで公表することになる。なお、ランサムウェア・ギャングに対する、継続的な調査の妨げにならないように、恐喝者の身元に関する情報は公開されない。身代金開示法が法制化されるためには、米国の下院および上院での承認を経て、最終的にジョー・バイデン大統領の署名が必要となる。

ランサムウェア・ギャング (Ragnar Locker グループ) が被害者に対して、攻撃後の法執行機関への協力を止めるために、侵害したデータが直ちに公開すると警告した数週間後に、この身代金開示法のニュースが発表された。サイバー犯罪が、とりわけランサムウェア攻撃が、政治家や法律家にとって重要な問題になっていることが分かる。今週、米国司法省は、政府系企業がセキュリティ侵害の報告を怠ったり、サイバーセキュリティの要求基準を満たしていなかったりした場合、法定で追求される可能性があると発表している。

先日に、「米政府の新たなスタンス:インシデントを隠蔽する請負業者は責任を負うべき」をポストしましたが、これは政府に関連する請負企業に対する制約であり、現行法で対処する方針だと述べていました。しかし、この法案における対象範囲はぐっと広がり、ほとんどの民間企業が制約されるものとなりそうです。賛同できるところは、身代金の支払いに関する部分に制限されているので、被害者となった企業には、それほどの負荷がかからないと思える点です。日本も含めて、世界のトレンドになってほしいです。

%d bloggers like this: