ランサムウェアの支払開示を義務付けるオーストラリアの新法案が提出、アメリカでは身代金支払い禁止条例が施行か

オーストラリアの国会議員は、オーストラリア企業がランサムウェアグループに身代金を支払う意思がある場合、オーストラリア・サイバーセキュリティセンター(ACSC)に通知することを義務付ける新法案を提出しました。

https://parlinfo.aph.gov.au/parlInfo/search/display/display.w3p;adv=yes;orderBy=customrank;page=0;query=ransomware%20payments%20bill;rec=4;resCount=Default

「Ransomware Payments Bill 2021」は、オーストラリアのサイバーセキュリティ担当影の副大臣であるティム・ワッツが提出したもので、複数の病院やオーストラリアのテレビ局Channel 9、飲料大手のLion、物流大手のToll Groupなどへの有名な攻撃をはじめ、この1年間でオーストラリア企業のランサムウェア攻撃が増加したことを受けたものです。

ワッツ氏のプレスリリースの中で「ランサムウェアがオーストラリア経済に与えるコストは10億ドル規模であり、オーストラリアの組織に対するランサムウェア攻撃の報告数が200%増加している」と述べています。

オーストラリアの政治家は、ランサムウェアの支払い通知制度を義務化することで、国内最高のサイバーセキュリティ機関であるACSCやその他の法執行機関に、より正確で実用的なデータを提供し、現象の評価と理解を深めたいと考えています。

被害者がランサムウェアの攻撃や支払いを地元の法執行機関に報告することを義務付ける制度は、2021年初めに非営利団体「ランサムウェア・タスクフォース」がバイデン政権に提言した中にも含まれており、米国政府にランサムウェアグループを取り締まるよう求める幅広いロビー活動の一環として行われていました。

今回提出されたオーストラリアの法案は、世界中の政府がランサムウェアグループとその攻撃による申告な影響への対処において、限界点に近づいていることを示すものです。

フランスでランサムウェア攻撃が発生した後、フランス政府は地元の保険会社であるAXA社に圧力をかけ、ランサムウェアの支払いを補償することを中止させました。

英国でも同様の動きがあり、ジョンソン政権は保険会社がランサムウェアの支払いを補償することを禁止することを検討していると言われています。

英国政府は、企業が保険料を支払うよりも実際のセキュリティ対策に投資するようになると考えているようです。

さらに米国では、4つの州の議員が、状況によってはランサムウェアへの支払いを禁止する法案を検討していると報告されています。

https://www.alstonprivacy.com/state-legislatures-consider-bans-on-ransomware-payments/

ニューヨーク州

NY S 6806は、ランサムウェア攻撃を受けた際、州内の政府機関に加えて、企業や医療機関が身代金を支払うことを広く禁止するものです。また、本法案では、政府機関に新たな通知義務を設け、同法で定義されているサイバーインシデントが発生した場合には、ニューヨーク州国土安全保障・緊急サービス部門にランサムウェア攻撃を報告することを義務付けています。”事業体 “とは、ニューヨーク州で事業を行うあらゆる法人を指し、”医療機関 “とは、ニューヨーク州保健局の規制を受けるあらゆる医療機関を指します。

ニューヨーク州で進行中の別の議案、NY S 6154は、人口100万人以下の都市を含むニューヨーク州内の地方自治体のサイバーセキュリティを向上させる目的で使用されるサイバーセキュリティ強化基金を設立するものです。また、この法案は、2024年1月1日以降、ランサムウェア攻撃に対する身代金の支払いに、地方や州の納税者の資金を使用することを禁止します。

ノースカロライナ州

NC H 813は、州政府機関および地方政府機関が、ランサムウェア事件に関与した団体に身代金の支払いやその他の方法で連絡を取ることを禁止するものである。また、地方政府機関は、身代金の要求を受けた場合、州情報技術局に相談することが義務付けられる。

ペンシルバニア州

PA S 726では、身代金の支払いに州や地方の納税者のお金やその他の公的資金を使用することを禁止する。ただし、ペンシルバニア州知事が災害緊急事態を宣言し、その緊急事態に関連して州機関に身代金支払いの権限を与えた場合は、この禁止の例外となります。特筆すべきは、州機関に対する新たな通知義務の創設に加えて、この法案では、州機関のITマネージドサービスプロバイダーに対して、ランサムウェアのインシデントを発見してから1時間以内に関連機関に通知することを義務付けています。

テキサス州

TX 3892は、州政府機関の広範なサイバーセキュリティおよび緊急時の対策を強化することに加え、地方政府機関または「政治的下位組織」がランサムウェア攻撃に関連する身代金の支払いを行うことを禁止します。また、この法律では、政治的下部組織がランサムウェア攻撃を司法長官と情報資源局の両方に報告することを義務付けています。

Leave a Reply

Your email address will not be published.