オーストラリアで討議中のランサムに関する法案は、近い将来日本企業にも影響を与える可能性があるかも知れません。
therecord.media
オーストラリアの議員は月曜日に、地元企業がオーストラリアのサイバーセキュリティセンター(ACSC)にランサムウェアギャングに支払う意向を通知することを義務付ける新しい法案を提出しました。
(中略)
「オーストラリア経済に対するランサムウェアのコストは10億ドルのオーダーであり、最近の数字は、オーストラリアの組織に対するランサムウェア攻撃の報告が200%増加したことを示しています」とWatts氏の広報担当者はプレスリリースで述べています。
オーストラリアの政治家は、強制的なランサムウェア支払い通知スキームを実施することにより、ACSC、国内トップのサイバーセキュリティ機関、およびその他の法執行機関に、現象を評価してよりよく理解するために、より正確で実用的なデータを提供したいと考えています。
被害者がランサムウェアの攻撃と支払いを地元の法執行機関に報告することを義務付けられているスキームも 、今年初めに非営利団体であるランサムウェアタスクフォースからバイデン政権に送られた幅広い勧告の1つでした。 米国当局にランサムウェアギャングを取り締まるよう働きかけるロビー活動。
(The Record.記事より引用)※機械翻訳
キタきつねの所感
オーストラリアでは、日本とは比べ物にならない位と言うと語弊があるかも知れませんが、飲料メーカーのライオン、物流のトールグループ、TV局のチャンネル9、食肉加工のJBS等、大手企業を含む多くの企業がランサム被害を報告しています。
不正アクセス被害と報じられた企業や組織の被害には、蓋を開けてみればランサム攻撃だったものも多いと言われていますので、「オーストラリア経済に対するランサム被害が10億ドル(約1,150億円)」と算出された事は、復旧コストまで考えれば、それほど驚きではありません。
こうした中、オーストラリアで企業の「ランサム支払い」に開示義務を課す法案というのは、討議が始まったばかりとは言え、成立する可能性は十分あると思います。
米国でコロニアル・パイプラインや、食肉加工のJBS等、社会的インフラ企業のランサム被害が、一般社会にも影響を与えた事は記憶に新しい所ですが、両社共にランサム(身代金)を支払ったと言われています。
参考:
食肉大手JBS、サイバー攻撃に身代金12億円支払い: 日本経済新聞
※コロニアル・パイプラインが440万ドル(約4.8億円)、JBSが1100万ドル(約12億円)
多くのランサムオペレータ(攻撃者)は、交渉期限を設ける事や、交渉期限を超えるとデータ開示や身代金額を倍にするなど、被害企業・組織に短期での判断を突きつけ、冷静な判断力を奪う様な身代金恐喝手法を採用している事もあり、ランサムオペレータや、調査データによってばらつきはありますが、3割~5割程度の被害組織・企業が身代金交渉に応じている様です。
参考:
【セキュリティ ニュース】ランサム攻撃受けた国内企業の約3割が身代金払う - 平均1.23億円(1ページ目 / 全2ページ):Security NEXT
こうしたランサム被害への対応は、企業が個別対応している事も多く、特にマスコミ等に報じられていない(リークサイトに掲載されていない)場合、企業が内々に処理しているケースも多い様に思います。
※公表されるランサムインシデント発表と統計数字にかなり乖離があり、例えば”リークサイトに掲載された”、全世界のランサム被害件数はDarkTracerの公表数字では約2,500件(※内、日本企業/組織に関連したものが25-30件程度)ですが、トレンドマイクロが過去1年に報告を受けたランサムウェア感染は93件だったと公表している事からも分かる通り、その多くが発表されていない事を示唆しています。
参考:ランサムウェア被害、昨年23件 警察庁「手口巧妙に」:朝日新聞デジタル
企業個社の対応が間違っているとは言えませんが、こうしたランサム被害が日常化し、社会生活を支えるインフラ企業・組織のランサム被害も出てきている現状は、個社のサイバーセキュリティ体制の不備・・・と言った、悠長な事を言っている時期を超えている気がします。
今後、ランサム被害(支払い)情報を、国やサイバーセキュリティ機関、法執行機関などが把握すべき、という議論は、オーストラリアだけでなく各国で強く叫ばれる様になっていくと思われます。
記事では、米国やフランス、英国などの国としてのランサム対策強化の動きを書いており、特にランサム被害が大きな国の動きが活発になっている事を示唆しています。
被害者がランサムウェアの攻撃と支払いを地元の法執行機関に報告することを義務付けられているスキームも 、今年初めに非営利団体であるランサムウェアタスクフォースからバイデン政権に送られた幅広い勧告の1つでした。 米国当局にランサムウェアギャングを取り締まるよう働きかけるロビー活動。
本日提出されたオーストラリアの法案は、ランサムウェアギャングとその攻撃の破壊的なフォールアウトへの対処に関して、世界中の政府が限界点に近づいていることを示すもう1つの兆候です。
フランスでの一連の攻撃の後、フランス政府は地元の保険会社Axxaに 、フランスの顧客に代わってランサムウェアの支払いをカバーすることをやめるよう圧力をかけました 。
まだ公式ではありませんが、ジョンソン政権がランサムウェアの支払いをカバー/返済する保険会社の禁止を検討しているとされる英国でも同様の取り組みが進行中です。保険。
さらに、米国では、4つの州の議員が、ある状況で組織がランサムウェアの要求を支払うことを禁止する法案を検討しているという動きもあります。この取り組みは、先週、法律事務所Alston&Birdによって発見されました 。
(The Record.記事より引用)※機械翻訳
日本では、世界平均と比べるとランサム被害はそう多くは無いのですが、既に大手企業も海外支社や子会社などで(を経由して)ランサム被害が多数発表されている事を考えると、日本政府や業界団体がランサム対策強化に乗り出す前に、ランサム対策、あるいはランサムを支払う場合のポリシー策定(サイバー保険条件の見直し、関係機関への報告(義務))等を見直す事が重要かと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
