ランサムウェア攻撃を仕掛けたハッカーに身代金を支払うと政府から罰金が科される可能性がある

感染したコンピューターへのアクセスを制限し、制限を解除する代わりに金銭を要求するランサムウェアが、世界中で大きな問題となっています。アメリカ財務省は2020年10月1日、「ランサムウェアの攻撃を受けてハッカー身代金を支払った場合、政府から罰金が科される可能性がある」と警告しました。

U.S. Treasury warns cyber insurers payments to hackers may violate sanctions | Reuters
https://www.reuters.com/article/us-ransomware-insurance-idUSKBN26M7J3

Ransomware Victims That Pay Up Could Incur Steep Fines from Uncle Sam — Krebs on Security
https://krebsonsecurity.com/2020/10/ransomware-victims-that-pay-up-could-incur-steep-fines-from-uncle-sam/

新型コロナウイルス感染症(COVID-19)のパンデミックにより、世界中でリモートワーク需要が増加している中で、オンラインシステムを狙ったランサムウェア被害が増加しています。ランサムウェアの被害を受けた企業に身代金支払いの交渉や助言を行うCovewareの調査によると、2020年第1四半期から第2四半期にかけてハッカーが要求する身代金の額が平均60％も増加し、17万8254ドル(約1880万円)に達しているとのこと。

ランサムウェア攻撃が新型コロナウイルスワクチンの開発を支援する医療企業などに打撃を与えていることも指摘されており、2020年9月には病院に対するランサムウェア攻撃により、搬送中だった患者が死亡する事態が起きています。

病院がランサムウェア攻撃を受けた影響で患者が死亡した初の事例が報告される - GIGAZINE

そんなランサムウェア攻撃について、アメリカ財務省の外国資産管理局(OFAC)および金融犯罪捜査網(FinCEN)は、「ランサムウェア被害を受けてハッカーに身代金を支払った場合、OFACの制裁に違反したとして連邦政府から罰金を科される場合がある」と発表しました。

この罰金は、ランサムウェア攻撃を仕掛けた組織が北朝鮮・イラン・ロシアなどの、OFACにより経済制裁を科されている犯罪グループだった場合に発生します。OFACはこれらの犯罪グループに関連する資産を凍結するなどの制裁を科しているため、OFACの許可を受けずにランサムウェア被害の身代金をこれらの犯罪グループに支払った場合、「OFACの制裁に違反して資金を提供した」とみなされて、最大2000万ドル(約21億円)もの罰金が科される可能性があるとのこと。

攻撃者がOFACの制裁対象となっているのかどうかをランサムウェアの被害を受けた企業が知ることは困難ですが、ワシントンD.C.の法律事務所であるEversheds SutherlandのパートナーであるGinger Faulk氏は、被害者がハッカーの素性を知らなくても罰金を科される可能性があると指摘。OFACの規制の下では、たとえ「自分が制裁対象の相手と取引している」と自覚していなくても、民事責任を問われるそうです。

多くの法執行機関は「ハッカーに身代金を支払わないことがランサムウェア攻撃の抑止になる」と考えていますが、かなりの企業が通常通りのビジネスを再開するために身代金の支払いに応じています。また、身代金の条件交渉や助言を行う専門の企業も増えています。

しかし、コンピューターセキュリティ企業・EmsisoftのCTOを務めるFabian Wosar氏は、財務省の勧告は多くの身代金交渉を代行する企業に影響を与えないと指摘。すでに多くの代行企業はOFACによる制裁とその影響について熟知しており、OFACの担当者と連絡を取ってリスクの確認をしているそうで、「ハッカーがOFACの制裁対象の可能性が高い」と判断した場合は交渉代行を拒否することが多いとのこと。そのため、今回の勧告は実質的に、法執行機関や交渉代行企業と協力していない企業に対する警告だとWosar氏は述べました。