米国議会でランサム被害報告義務法案、背景に被害拡大の傾向



ランサムウェアの猛威を受け、世界で被害企業に対する情報公開の流れが生じています。

米国のエリザベス・ウォーレン上院議員とデボラ・ロス下院議員は2021年10月、ランサムに感染した企業に対する情報公開を義務付ける制度を盛り込んだ法案「Ransom Disclosure Act」を起草し、米国議会に提出しました。

両議員が提出した法案は、米国企業や組織がランサムウェアに感染し身代金の要求を受けた際、要求された通貨の種別(米ドル・仮想通貨など)や要求金額、支払いの意思や金額などの情報提供を義務付けるというものです。

ランサムウェアを駆使するハッカー集団はこれまで、身代金をビットコインなどの仮想通貨で要求していましたが、近年はmoneroなどより匿名性の高い通貨を要求する傾向にあり捜査当局の追及が困難になっているため、企業に報告を義務付けることでハッカー集団の活動や被害状況を把握しやすくする狙いがあるとされています。

背景の被害拡大傾向、ランサムは前年度比1,000%超の増加報告も

米国議会でこのような法案が提出されるに至った背景には、サイバー攻撃およびランサムウェアの猛威が急拡大している現状があります。

情報によると、2020年に米国で確認されたサイバー攻撃は前年度比158パーセントも増加しています。特にランサムウェアに関する被害は深刻で、被害者が支払った金額は前年度比300パーセント以上も増加している事実が判明。さらにランサムウェアは社内システムの壊滅や取引先からの信用失墜にもつながることから、被害企業は身代金以上のリスクを負っているという見方も有力です。

なお、ランサムウェアに関しては、米国ネットワークセキュリティ企業のFortinet社のリサーチ部門が、公表したレポートにて2020年7月~2021年6月までの間に1,070%の攻撃増加を確認したと報告しています。

インシデントレスポンス計画に「サイバー保険」

ランサムウェアの猛威は、既に多くのマネジメント層が把握している事実です。

米国Fortinet社が世界のビジネスリーダーやセキュリティ専門家ら455名に調査を実施したところ、94%が「脅威を実感している」と回答しています。さらに85%がランサムウェアによる被害が他のサイバー攻撃よりも甚大である事実を認め、67%が過去実際にランサムウェアの標的になったことがあると回答しました。

もちろん、ビジネスリーダーたちも、ランサムウェアの猛威やハッカーたちの悪行を座視しているわけではありません。被害を受けた企業は再発を防止するため何らかの対応を求められますが、84%の企業は被害への対応策をまとめた「インシデントレスポンス計画」を策定していると回答しています。

計画内容において最も多く盛り込まれているのは、人的リスクや被害拡大を最小限に食い止めるために有効とされる「社員のサイバートレーニング(61%)」です。これに「リスク評価計画(60%)」や「オフラインのバックアップ(58%)」が続きますが、注目したいのは「サイバーセキュリティ/ランサムウェア保険(57%)」でしょう。

サイバー保険とは、サイバー被害発生後の金銭的な被害損失をカバーするもので、世界各国で急拡大の動きを見せています。ランサムウェアは他の攻撃と比べ被害が甚大であることから、選択肢に加わったものと見られます。
※日本のサイバー保険では身代金に保険金は使用できないため注意が必要

参照A new US bill would force companies to disclose ransomware payments/TECH Crunch+
参照2021年ランサムウェア調査レポート/FORTINET