ランサムウェアの支払いの実行または促進を法的に禁止することが適切かどうかという議題が、主要なサイバーセキュリティ専門家で英国国家サイバーセキュリティの初代最高責任者であるキアラン・マーティン氏によって提起された後、再び議題となっている。センター (NCSC)、 タイムズ。
これは、悪名高いロックビット恐喝ギャングがクロノス作戦(国家犯罪庁(NCA)主導の多国籍法執行作戦)で壊滅させられてから二週間後、そしてロックビットの首謀者がその影響を無視し、新たな被害者を再建された組織に送り込んでから一週間後に起こった。リークサイトを攻撃し、警察を挑発し、犯罪を倍増させると脅した。
「ランサムウェアは、現在、ほとんどの企業にとって最も被害を与えるサイバー脅威です。 私たちは身代金の支払い禁止を機能させる方法を見つけなければなりません」とマーティン氏は書いている。彼はランサムウェアの脅威について率直に発言しており、以前はサイバー保険会社によるランサムウェアの支払いの補償の禁止を主張していた。
彼の作品では タイムズマーティンは、現状に挑戦することへの惰性と消極性が、今こそその時が来たアイデアを妨げていると主張した。
同氏はまた、そのような支払いの禁止に反対することが多い議論の一部を却下した。つまり、そうすることは、組織が攻撃されたときに報告や支援を求めないことを奨励し、被害者を犯罪者扱いすることで、問題を地下に追いやる危険があるというものだ。
マーティン氏は、会社の取締役がこの点で故意に法を犯すという考えは「ナンセンス」だと述べたが、禁止措置が実施される前に被害者を支援し支援するための枠組みを整備する必要があることは認めた。
彼の評価はマーティン氏だけではありません。業界の多くの人にとって、支払いを禁止するという考えはますます魅力的になっているのです。 この意見の変化を促進する要因の 1 つは、LockBit や ALPHV/BlackCat に対する活動で証明されているように、ランサムウェア ギャングが適応性と回復力が非常に高いことです。
「ランサムウェアは、現在、ほとんどの企業にとって最も被害を与えるサイバー脅威です。 私たちは身代金の支払い禁止を機能させる方法を見つけなければなりません。」
キアラン・マーティン、国家サイバーセキュリティセンター
さらに、メンバーが逃亡しており(通常はロシアにいるが、常にではない)、逮捕されたりコンピューターを奪われたりしていない限り、そのような挫折を比較的容易に受け流すことができる。
ソーシャルメディアサイトマストドンのマーティン氏の記事に反応して、セキュリティアナリストでコメンテーターのケビン・ボーモント氏は、ランサムウェアの支払い禁止に反対する議論は、現状維持、つまりサイバーセキュリティサービスの販売に利害関係を持つ組織を代表する人々によって行われていると述べた。そして実際の精査によって崩壊しました。
「部屋にいる象です。 そのせいで、私も含めて業界が上向きに失敗することになりました。 これを指摘することが物議を醸さなければよかったのに」と彼は書いた。
Emsisoft の最近のレポートは、米国の統計を基にしているが、世界的な観点から見ても同様に関連性があり、政府がランサムウェアの量を減らすことを期待できる「唯一の実行可能なメカニズム」は禁止であると述べています。
Emsisoft の脅威アナリスト、Brett Callow 氏はレポートの中で、「現在のランサムウェア対策戦略は、スピード バンプを構築し、もぐらをたたくことにすぎません」と述べています。
「現実には、私たちはこの状況から抜け出す方法を守るつもりはないし、この状況から抜け出す方法を取り締まるつもりもない。 ランサムウェアによる支払いが合法である限り、サイバー犯罪者はランサムウェアを回収するためにあらゆる手段を講じます。 唯一の解決策は、要求の支払いを完全に禁止することで攻撃を経済的に阻止することです。 現時点で効果がありそうなアプローチは禁止のみだ。」
「ランサムウェアによる支払いが合法である限り、サイバー犯罪者はランサムウェアを回収するためにあらゆる手段を講じます。 唯一の解決策は、要求の支払いを完全に禁止することで攻撃を経済的に阻止することです。」
ブレット・キャロウ、エムシソフト
同じく報告書に引用されているレコーデッド・フューチャーのアラン・リスカ氏は、全面的な禁止という考えには抵抗してきたが、今はこれを変える必要があると述べた。 「私たちがやっていることはまったく機能していません。 はい、法執行機関は改善されましたが、法執行機関は十分に迅速に行動することができず、協力を拒否するロシアのような反抗的な国家に対しては無力です。
「身代金の支払いの禁止は痛みを伴うものであり、歴史を参考にするならランサムウェア攻撃の短期的な増加につながる可能性が高いが、現時点で長期的な成功の可能性がある唯一の解決策であるようだ」 。 それは残念なことですが、それが私たちが直面している現実なのです。」
Proofpoint の EMEA サイバー セキュリティ ストラテジスト、カール レナード氏は次のように述べています。「レポートによると、2023 年には英国の組織の驚くべき 64% がランサムウェア攻撃に悩まされ、企業の 64% が攻撃者への支払いに同意したということです。」 これらの数字は、当面の課題の厳しい状況を浮き彫りにしています。 組織は身代金の要求を一貫して黙認することで、意図せずしてランサムウェア計画の収益性を高め、サイバー犯罪者が繰り返し標的となるよう仕向けています。
「身代金を支払っても、データの回収が保証されるわけではありません。 2023 年に、1 回の支払い後にデータへのアクセスを取り戻した英国の回答者の割合は 34% でした。
「これらの厳粛な統計を考慮すると、身代金の支払いを禁止する提案は長年にわたって待ち望まれていた対応とみなされるかもしれません。 このような措置は、サイバー恐喝を促進する経済的インセンティブを混乱させることになります。 また、経営幹部、特に CEO や CFO はサイバーセキュリティ防御の強化を優先する必要があるでしょう」とレナード氏は述べています。
「その後の身代金の支払いを拒否する組織が 6% から 15% に増加しているのは、身代金の支払いに伴うリスクに対する意識の高まりを反映しています。 しかし、この慣行が一般的になるまでは、データ回復への影響は減少し続け、サイバー犯罪者だけが利益を得る悪循環がさらに加速するでしょう」と彼は述べた。