英国、公共部門と重要インフラでランサムウェア支払い禁止を提案

政府が進める新たな対策

英国政府は、公共部門や重要インフラ事業者によるランサムウェア攻撃への身代金支払いを禁止する方針を打ち出した。

この 新提案 は、既存の政府機関への禁止規定を拡大し、保健サービス、地方議会、エネルギー供給業者などを対象に含めるもので、狙いは、サイバー犯罪の収益性を削ぎ、攻撃を抑止することである。ランサムウェアは、システムやネットワークを暗号化し、通常は暗号通貨で身代金を要求する悪質なソフトウェアで、安全保障大臣ダン・ジャービス（Dan Jarvis）氏は「サイバー犯罪のビジネスモデルを壊滅させ、社会を守る決意だ」と強調している。

報告義務と世論の動向

提案では、禁止対象外の組織にも報告義務を課すことが検討されており、攻撃から72時間以内に初期報告、28日以内に詳細報告を提出する案が含まれる。

支払いを検討する段階での当局報告や、基準値に基づく強制報告制度の導入も議論中だ。

違反時の罰則を刑事罰とするか民事罰とするかは決まっていない。内務省は「適切でバランスの取れた措置を検討している」と説明している。今回の提案は、1月から4月に実施されたパブリックコメントに基づき、273件の意見を受けてまとめられた。約75%が支払い禁止に賛成し、63%が報告義務強化を支持。一方、被害者への過度な制裁や、経済全体への禁止に関しては意見が分かれた。

脅威の現状と事例

Chainalysis （チェイナリシス）によると、2024年のランサムウェア攻撃は前年比で35%減少したが、 英国国家サイバーセキュリティセンター は依然として「差し迫った脅威」と警告している。

2024年6月には病理学研究所Synnovisが攻撃を受け医療サービスが停止。2023年10月には大英図書館が侵害され、レベッカ・ローレンス（Rebecca Lawrence）CEO（最高経営責任者）は「重要な知識コレクションが脅威にさらされた」と述べた。

国際的には、米国ではサイバー攻撃開示義務に関する予算削減の動きがあり、オーストラリアはランサムウェア報告義務法を施行している。内務省は、今回の提案を国家のサイバー耐性を高める重要な一歩と位置づけている。