この事件については、Coionial Pipeline社が、500万ドル(約5億5000万円)を支払ったとの報道がなされています(Bloomberg報道、それを報じる日本語は、こちら)。ただし、同社は、金銭を支払う予定はないと答えているという報道もあります。
さらに、犯人たちのダークサイドのサイトも消えてしまっており(intel417の記事、ワシントンポストの記事)、また、ビットコインウォレットも侵入されたという報道がなされています。
ダークサイドが、アフィリエイトに対して送った手紙というのは、
です。intel417の翻訳を参考にすると
バージョン1の時点から、私たちは問題があれば、正直に、そしてオープンに話すことを約束してきました。数時間前、私たちのインフラの公開部分へのアクセスが失われ、特に
ブログ
支払いサーバー
CDNサーバー
現在、これらのサーバーにはSSHでアクセスできず、ホスティングパネルもブロックされています。
ホスティングサポートサービスでは、”法執行機関の要請があった場合 “を除き、一切の情報を提供していません。また、押収から数時間後に、決済サーバ(当社および顧客のもの)から未知の口座に資金が引き出されました。
現在の問題を解決するために、「まだ支払っていないすべての会社の復号化ツールが渡されます。」ことで対応します。
その後は、あなたは、どこでも好きな場所で好きな方法で自由にコミュニケートできるようになります。サポートサービスに連絡ください。影響をうけたユーザーの皆様との問題解決のために、預託金を引き出します。
補償の目安は5月23日です(XSSで10日間預託金を保留することになっているため)。
以上のことから、また米国からの圧力もあり、アフィリエイトプログラムは終了します。安全に、そして幸運にお過ごしください。
なお、ランディングページやサーバーなどは48時間以内に停止されます。
ということです。この手紙から、サーバが押収されたこと、資金の引き出しがなされたことが伺われます。
前のブログでは、Colonial Pipeline事件に関して、国際法の側面から、ロシアの国家責任・デューディリジェンスの問題についてみました。
上でみたように、いまひとつの大きな論点としては、身代金の支払いがどのような法的な意味をもつのか、ということになります。この問題は、「支払うべきか、支払わざるべきか問題(Pay or Not to Pay,that is the question」ということになります。
ちなみにハムレットについては、「『ハムレット』の名台詞、どう訳す?それが問題だ!」ということだそうです。
日本の状況
日本の状況を語るときに、このごろ、いわれるのが、
国内企業の半数超がランサムウェアの攻撃を直近1年間に受けており、32%が身代金を支払ったとする調査結果
だったりします(その記事)。
日本の状況から、経済産業省は、「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」を公表しています(2020年12月18日)。この「注意喚起」は、1 趣旨、2サイバー攻撃の事例、3 対応、4 セキュリティ対策やインシデント対応等に関する相談窓口からなりたっています。この注意喚起においては
金銭の支払いに関する問題である。データ公開の圧力から、攻撃者からの支払い要求に屈しているケースは少なくないとの報告は存在するが、こうした金銭の支払いは犯罪組織に対して支援を行っていることと同義であり、また、金銭を支払うことでデータ公開が止められたり、暗号化されたデータが復号されたりすることが保証されるわけではない。さらに、国によっては、こうした金銭の支払い行為がテロ等の犯罪組織への資金提供であるとみなされ、金銭の支払いを行った企業に対して制裁が課される可能性もある。こうしたランサムウェア攻撃を助長しないようにするためにも、金銭の支払いは厳に慎むべきものである。
とされています(7ページ)。なお、指示7においては、
犯行グループへの対峙。
レ 一般論としては、ランサムウェア攻撃を助長しないようにするためにも、金銭の支払いは厳に慎むべきものである。
とされていて、「一般論としては」というところで、特段の事情による例外を許容するということもありうるところで、上の「厳に」というところとは、温度差を感じたりします。
日本法のもとだと「反社会勢力」への支払いについてどう考えるか、という問題も起きます。この点をも含めて、具体的な問題について
弁護士の意見書
をもとめられるのをおすすめします。(具体的な事案によっては、「厳に慎むべきもの」とまでは、いわないという弁護士も一定数いると感じています-難問ですが)
それ以外に日本語の資料としては、
「ランサムウェア対応のジレンマ:身代金は支払うべきか、支払わざるべきか」
とかがあります。
ちなみに、基本的な対応策については、こちらの記事をどうぞ。
基本的には、外国「では」の「ではの守」だったりしますので、海外の動向ということでアメリカをみていきます。
なお、これは、2020年度にJNSAさんからの委託を受けて調査しているところでもあります。JNSAさんありがとうございます。
アメリカの場合
アメリカは、身代金の支払いを認めているというような人もいるのですが、かならずしもそのような単純なものではありません。
日本経済新聞の5月14日付け「サイバー攻撃 身代金『5億円』」においては、
米メディア報道 専門家間でも賛否
として、議論があることが紹介されています
興味深いのは、ピンクのFTの記事です。「米国は、パイプラインハックのあとでサイバーランサム支払いの議論を開始した(US opens debate over cyber ransom payments after pipeline hack)」です。(日経の翻訳の記事があったらごめんなさい)
記事としては、FBIは、支払いに反対していたよ、バイデン政権は、ランサム攻撃者へのアプローチを総合的にみているということなのですが、だからといって支払いを許容したというものでもなさそうです。ということできちんと現状をみるのが第一です。
サイバーセキュリティ及びインフフラストラクチュアセキュリティ庁(CISA)
米国のサイバーセキュリティ及びインフフラストラクチュアセキュリティ庁(CISA)は、総合的なランサムウェア対応についての情報を整備しています。
そこでは、ランサムウェア対応の会議のビデオ(ウェビナー)、「CISA、MS-ISAC、NGA及びNASCIOによるランサムウェア攻撃からの保護のための即時行動の推奨事項」、CISAの分析などが紹介されています。
そこで注目すべきものが、CISAとMS-ISACによる 2020年9月の「共同ランサムウェアガイド」になります。
このガイドは、パート1 ベストプラクティスとパート2 対応チョックリストからなっています。
パート1においては、準備すること、感染のベクターとして、脆弱性・誤った設定、フィッシング、感染の前兆、サードパーティやマネージドサービス提供者があげられています。パート2においては、探知の分析、封じ込みと消去、リカバリと事件後の活動、コンタクトリストがあげられています。
このガイドでは、ランサムウェアに対して支払う行為に対して
身代金を支払っても、データが復号化され、又はシステムやデータが危険にさらされることがなくなるわけではありません。CISA、MS-ISAC、及び連邦法執行機関は身代金の支払いを推奨していません。
というコメントがなされています。
FBI
米国連邦捜査局(FBI)は、ランサムウェアについての情報をまとめています。
そこでは、ランサムウェアとはどういうものか、また、ランサムウェアの被害にあわないための助言、また、IC3の資料へのリンクが紹介されています。
また、2016年4月に既に、ランサムウェアの被害が増加傾向にあるとして、ニュースリリースで
FBIは、ランサムウェア攻撃に対して身代金を支払うことを支持していません。身代金を支払っても、組織がデータを取り戻せるという保証はありません。身代金を支払った後、組織が復号鍵を手に入れられなかったというケースを見たことがあります。身代金を支払うことは、現在のサイバー犯罪者がより多くの組織を標的にすることを助長するだけでなく、他の犯罪者がこの種の違法行為に関与する動機付けにもなります。そして最後に、身代金を支払うことで、組織は、犯罪者に関連した他の違法活動に不用意に資金を提供している可能性があります。
と伝えています。
IC3
IC3は、インターネット犯罪申立センター(Internet Crime Complaint Center)です。
IC3のサイトでは、ランサムウェアについて、
- 「ランサムウェアの被害者は、感染を連邦法執行機関に届けること」(2016年9月)
- 「米国企業及び組織を脅かすインパクトの高いランサムウェア攻撃」(2019年10月)
- 「ランサムウェア その実態と対応(What it is & What to Do About It)」(2021年1月)
が公表されています。もっとも、これらのほとんどは、ランサムウェアとは何か、そのための防御のためのベストプラクティスを叙述するものであり、法的な関係についての分析はなされていません。
財務省による制裁
まずは、米国におけるマネーロンダリングへの対応の基礎的な知識としては、岡崎正江「米国内国歳入庁におけるマネーロンダリングへの取組」(税大ジャーナル 5 2007年6月) があります。
米国財務省外国資産管理室(OFAC:Office of Foreign Assets Control)は、「ランサムウェアに対する支払いを促進することに対する制裁の可能性についての助言」(Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)を公表しています。これを紹介する記事としてAlex Scroxton「ランサムウェアの身代金支払いを支援すると罰金&制裁対象に」(コンピュータウイーク2020年11月18日号)があります。
この助言においては、悪意あるサイバー攻撃者に対して種々の制裁プログラムを有しており、そのなかにランサムウェアの攻撃者とそれを促進したものに対しての制裁も含まれていることが明らかにされています。具体例として、
- 2016年にクリプトロッカーの被害に対してその開発者であるエフゲニー・ミカイロビッチを指名手配したこと。
- 2018年にSamSamランサムウェアに関連して、そのサイバー攻撃に対して重要な支援をなしたとして2名のイラン人を指名手配し、ランサムウェアの資金を送り込んだ仮想通貨のアドレスを特定したこと。
- また、ラザルスグループ(WannaCry2.0)、イービルコープ(Dridex)への指名手配したこと
も紹介されています。そこでは、
“制裁で指定されている犯罪者・敵(adversaries)” (クォーテーションは、高橋)に対して、ランサムウェアの支払いを促進(Facilitating)することは、彼らの違法な目的を利得させ、進めることになる。それは、国家安全保障を脅かし、対外ポリシーに反する行為
とされています。
国際緊急経済権限法(IEEPA)又は敵国との取引法(TWEA)(50 U.S.C. §§ 4301–41; 50 U.S.C. §§ 1701–06 )のもと、 米国人は、OFAC の特別指定国民・凍結者リスト(SDN リスト)、その他の凍結者、及び包括的な国や地域の禁輸措置の対象となっている者(キューバ、ウクライナのクリミア地域、イラン、北朝鮮、シリアなど)の個人又は事業体(以下「者」)との間で、直接又は間接的に取引に関与することが一般的に禁止されています。また、IEEPAに基づく違反を引き起こすあらゆる取引も禁止されています。
OFAC は、厳格責任に基づいて制裁違反に対して民事罰を課すことがありえます。
これらの制裁について考慮されるべき事項については、執行ガイドライン(31 CFR Appendix A to Part 501 – Economic Sanctions Enforcement Guidelines.)があります。
また、コンプライアンス・プログラムについては、OFACがその枠組みについて公表しています(「OFACコンプライアンス・コミットメントの枠組み」参照(A Framework for OFAC Compliance Commitments)。
これらの規定は、サイバー保険、デジタルフォレンジックス、インシデントレスポンスや金融サービスにかかわる者に適用されるのであり、その制裁規定に違反しないようにしなければなりません。また、次にみるFinCEN規則にも準拠しなければなりません。これらの違反については、事案ごとのアプローチにより、免許付与において考慮されることがありうる。また、ランサムウェアの被害者については、制裁関連者(sanctions nexus)を含みうると考えた場合には、直ちにOFACに連絡することが推奨されています。また、攻撃が金融機関をも含む者である場合には、財務省サイバーセキュリティ重要インフラ防護局に連絡することが推奨されています。
FinCENアドバイザリ
財務省の金融犯罪取締ネットワーク(Financial Crimes Enforcement Network、FinCEN)も、「ランサムウェア及び支払いを促進するための金融機関の利用についての助言」(Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments)を2020年10月に公表しています。
この助言は、 (1)ランサムウェアの支払い処理における金融仲介機関の役割、(2)ランサムウェアと関連する支払いの傾向と類型、(3)ランサムウェア関連の金融レッドフラッグ指標、(4)ランサムウェア攻撃に関連する情報の報告と共有について論じています。
このようなスキームに対して、デジタルフォレッジックス・インシデントレスポンス(DFIR)会社とサイバー保険会社(cyber insurance companies (CICs))が、ランサムウェアの被害者に対して防護と緩和のサービスを提供しています。それらの会社は、ときによっては、被害者からの資金を受領してランサムウェアの支払いを促進することもある。この場合、資金移動となり、マネー・サービス・ビジネス(Money Service Businesses、MSB)と解されます。MSBは、銀行秘密法(Bank Secrecy Act)における疑わしい取引報告の義務(suspicious activity reports、SARs)の義務が課されることになります。
ランサムウェアと関連する支払いの傾向と類型においては、烈度と狡猾さが増していることが論じられています。
特に狡猾さについては、
- 「ビッグゲーム・ハンティングスキーム」
- 「犯罪者集団のパートナーシップ・リソース共有」
- 「二重恐喝スキーム」
- 「匿名性強化暗号通貨(Anonymity-Enhanced Cryptocurrencies (AECs))」
- 「ファイルなしのランサムウェア」
について説明がなされています。
ランサムウェア関連の金融レッドフラッグ指標において、FinCENは、金融機関がランサムウェア攻撃に関連した不審な取引を検出、防止、報告する際に役立つよう、ランサムウェア関連の不正行為を示す金融レッドフラッグ指標を特定していることを論じています。
具体的には、
- サイバー指標、口座開設の際などに、支払いがランサム事件に関することを明らかにすること、
- 顧客の兌換可能な仮想通貨口座がランサムの支払いと結びつくという分析と一致すること、
- ランサムウェアの標的になるハイリスクの企業とランサムウェアの支払いを促進する企業(例えばフォレンジックス企業)との間の取引であること、
- フォレンジックス企業等が顧客企業から、資金を受領し、受領後、同額を兌換可能な仮想通貨で送金していること、
などがあげられています。
ランサムウェア攻撃に関連する情報の報告と共有については、上記の場合において、疑わしい取引(SAR)として報告義務があること、また、法の定めによりその情報共有によって民事損害賠償を問われることがないことが述べられています。
保険支払いの論点
この「支払うべきか、支払わざるべきか」の論点については、保険金でのこの身代金のカバーを認めるべきか、という論点があります。
この点については、「保険大手アクサが仏でランサムウェア身代金支払いの補償契約を停止との報道–専門家はどう見る」という記事があります。このような状況になったのは、
身代金の支払いまでを含めて補償するサイバー保険契約の登場によって、ランサムウェア攻撃の大流行に火がつけられており、実際に攻撃に拍車がかかっている
ということだそうです。
我が国では、
ランサムウェアの被害によって支払った身代金はサイバー保険の補償対象になりません。
とされています(サイバー保険に関するQ&A)。
資料としては、損保総研レポート「ドイツ連邦金融監督庁(BaFin)がサイバー保険への身代金補償の組込みの認可を決定」(同レポートの24ページ)というのもあります。
これを認めてしまうと
「誘拐リスクを助長する可能性があり公序良俗に反する」
となります。
同様の論点として「誘拐保険」というのがあって、我が国では、誘拐保険の取扱はありませんとなっています。(「保険の玉手箱」」
個人的な感想としては、保険は、何だかんだいっても、二次的なもので、一次的には、犯罪者に対する対応(法執行等)が重要なことはいうまでもありません。なので、法執行等を確実、かつ効果的に行うべきで、保険の種類の限定というのが、どれだけ、誘拐リスクを助長するのか、というのは、はっきりしないなあと思っています。
「保険大手アクサが仏でランサムウェア身代金支払いの補償契約を停止との報道–専門家はどう見る」の記事ではっきりしているように、
AXAをはじめとするサイバー保険のプロバイダーの多くが、自ら契約したり、引き受けを検討しているリスクの高い契約の影響をできる限り低減しようとするため、契約の締結や更改が難しくなっていく
とか
(略)一部の保険会社は今後、契約者に対して統制の適切さを証明するような証拠や妥当性を要求するようになるだろうという
という方向のもと、保険料が、企業のサイバー対応に応じて、変わっていくということでうまくいくといいのかなと思ったりもしています。
とかいっていたら、犯罪者のサイトについてテイクダウンされたという報道がありましたので、次のエントリでは、犯罪者についての被害者や法執行の対応についてみたいなあと考えていたりします。