ランサムウェア身代金の支払いを規制　英国政府が法令案に対する意見公募結果を公表

今回の法令案は、下表の3つの提案が含まれる。提案①は、公的機関等がランサムウェア攻撃の被害に遭った際に身代金支払いを禁止するものである。これは英国の公的機関等が身代金の要求に応じないことで、ランサムウェア攻撃者集団にとって英国の公的機関等からは攻撃の対価を得られず、魅力がない標的であると認識させることを狙いとする。提案①に意見公募への回答者の72%が賛成しており、回答者の多くが、公的機関等による身代金の支払いを禁止することは攻撃者への抑止力となり、攻撃意欲を低下させると考えている。

ランサムウェア対応法令案の提案内容

提案①　地方自治体を含むすべての公的機関と重要な国家インフラ事業者による身代金の支払いを禁止する。

提案②　ランサムウェアの被害者が身代金を支払う意思がある場合、政府に支払い意思を報告する。

提案③　ランサムウェアの被害者に対して、義務的な報告要件を課す。

出典：Gov.uk「Ransomware: proposals to increase incident reporting and reduce payments to criminals」をもとに当社が作成

提案②は、個人を含むランサムウェア攻撃の被害者が身代金を支払う意思がある場合、政府に支払い意思を報告することを義務付けるものである。政府は被害者からの報告を受けて、制裁対象の攻撃者集団に対する資金送金リスクの有無を通知することを想定しているが、意見公募への回答者の反応は賛否が分かれる結果となった。提案③はランサムウェア攻撃の被害者に対する義務的な報告要件を課すものであり、意見公募の回答者からは概ね好意的な反応を得ている。今後、これらの法令案は意見公募の結果を踏まえながら、産業界とも連携し、詳細が検討されることになる。英国に進出している日本企業や英国企業と取引のある日本企業は、本検討の影響を受ける可能性があるため、動向を注視する必要がある。

ランサムウェア攻撃については、多くの日本企業も標的となっている。特に昨今は、自社の委託先がランサムウェア攻撃の被害に遭うケースが増加しており、サイバーセキュリティリスク管理の状況に関して、委託先を含めた広範な目配りが重要となる。また、ランサムウェア攻撃の被害に遭った際に、身代金を支払うことは必ずしも事態を収束させるものではない。身代金の支払い是非については、法的リスクやレピュテーションリスク等を考慮の上、慎重な判断が求められる。そのため、ランサムウェア攻撃発生時の対応方針を整理し、経営層で予め合意しておくことが望ましい。

【参考情報】
Gov.uk「Ransomware: proposals to increase incident reporting and reduce payments to criminals」
https://www.gov.uk/government/consultations/ransomware-proposals-to-increase-incident-reporting-and-reduce-payments-to-criminals