金融機関のランサムウェア対応を提案
米国のPatrick McHenry下院議員(共和党)は10日、金融機関がランサムウェア攻撃を受けた際のルールを規定する法案を提出した。
この「Ransomware and Financial Stability Act(ランサムウェアと金融安定性に関する法案)」は、ランサムウェアによる攻撃を受けた金融機関に対して、行動方針を与え、関連する法的事項を明確にするものだ。
ランサムウェアとは
ハッキングを仕掛けたうえで、元の状態に戻すことを引き換えに金銭を要求するマルウェアのこと。「身代金要求型マルウェア」とも呼ばれる。感染すると、他人の重要文書や写真ファイルを勝手に暗号化したり、PCをロックして使用を制限した上で、金銭を要求してくる。
▶️仮想通貨用語集
法案起草の背景
McHenry議員は、法案の背景として「2020年以降、米国におけるランサムウェアに対する身代金支払いは、総額10億ドル(約1,140億円)を超えている」、と指摘した。
特に、5月に米国最大の石油パイプライン「コロニアル・パイプライン」がランサムウェア攻撃の影響で一時的に石油輸送を停止した件を挙げている。この事件では、身代金として暗号資産(仮想通貨)ビットコイン(BTC)が75枚(当時約5.5億円)支払われた。
関連:サイバー攻撃の身代金をビットコイン払いした米大手石油パイプライン企業、ガソリンスタンド経営者から訴訟される
ビットコインの大半は、FBIにより後に回収されたが、事件当時は、主にニューヨーク州など東海岸で燃料が不足する事態に発展していた。
McHenry議員は、もしも「アメリカの重要な金融インフラがオフラインになった場合」はさらに深刻な問題が起こりうるとして、今回の法案を起草。その意義について、次のように説明した。
この法案は、私達の経済活動をなりたたせている金融機関を脅かすハッキング攻撃を抑止し、ハッカーを追跡するのに役立つものだ。
ランサムウェアによるハッキングが急増している中、金融機関は議会が対応方針を定めてくれるよう期待している。この法案は、待望されている明確なルールを構築する。
多額の支払い禁止、機密性確保
法案は、金融市場に関わる機関、大規模な証券取引所、銀行の中核業務に必要な技術のプロバイダーなど、重要な金融インフラ機関を対象にするものだ。
こうした金融機関がランサムウェア攻撃を受けた場合の対応方針としては、まず、攻撃を受けた企業が身代金支払いを行う前に、米財務省に通知することを義務付ける。
さらに、10万ドル(約1,140万円)を超える多額の身代金支払いは、原則的に禁止。法執行機関が「ランサムウェア支払い許可書」を発行するか、大統領が国益に適うと判断した場合のみ、これを認めるという。
また、金融機関がランサムウェア攻撃について当局に通知する際、情報の機密性を保護するような規定も提案した。
ランサムウェアについての政策を巡る議論では、攻撃を受けた企業が、そのことを発表して世間の評判を下げるよりも、事業コストとして秘密裏に身代金を支払いたいと考える可能性があることが指摘されてきた。機密性を確保する条項は、この点も念頭に置いていると考えられる。
米財務省の金融犯罪取締ネットワーク(FinCEN)は10月、2021年上半期におけるランサムウェア攻撃についてのレポートを発表。これによると、2021年は、ランサムウェア関連と疑われる取引が、2020年を上回るペースで報告されている。
関連:2021年にランサムウェア攻撃が増加、身代金の仮想通貨払いも=米FinCEN
また、10月には民主党のElizabeth Warren議員も、仮想通貨の利用状況含め、ランサムウェア攻撃に関する情報提供を義務付ける法案を提出していた。
関連:米議員、ランサムウェア攻撃の情報提供を義務付ける法案を提出
