「サイバー攻撃、実行容易に」の記事が出ています(21021年5月18日 日経新聞)。

サイバー攻撃用のソフトウエアをサブスクリプション（定額課金）などで簡易に提供する闇ビジネスが広がり始めた。

として、ランサムウエア・アズ・ア・サービスを紹介しています。また、

各国政府は国家やテロ組織の関与を念頭に封じ込めを急いでいる。

として、

• 米財務省の外国資産管理局（OFAC）は複数のランサムウエアグループを挙げ、これら組織への身代金支払いは「規制に違反するリスクがある」として制裁対象になりうるとの勧告を出したこと
• ウーバーテクノロジーズの元最高セキュリティー責任者（CSO）を、不正アクセスの犯人側に金銭を支払い情報漏洩の隠蔽を依頼したとして司法妨害の罪で訴追したこと

が紹介されています。

TMI総合法律事務所の大井哲也弁護士のコメント付きです。

身代金支払いの法的な問題については、「パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件」でふれた所です。

ウーバーの案件についての記事は、こちらです。くわしいのは、こちら。

事案としては

米国司法省は、UberのCSOであったサリバンが、サリバンの在任以前の2014年の侵害を巡ってライドシェア企業を調査していた連邦取引委員会（FTC）の調査官に対し、進行中のセキュリティインシデントに関する情報を隠していたと刑事訴状で主張しています。

サリバンが2014年の侵害についてFTCに宣誓証言を行った10日後の2016年11月、攻撃者がUberに連絡を取り、セキュリティが不十分なS3バケットからUberのドライバーと乗客の記録5700万件を盗み出し、10万米ドルを要求しました。サリバンの指示のもと、Uberはバグバウンティプログラムを利用して攻撃者に報酬を支払い、NDAに署名してUberのデータを盗んだことはないと宣言するよう要求しました。司法省は、サリバンがこれが虚偽であることを知っていたと主張しています。

ということだそうです。脆弱性発見報奨制度(バグバウンティ)プログラムを利用しているようにみせかけて報酬を支払ったという事件ですね。

分析の記事とかもでています。“What In-House Counsel Can Learn from Criminal Prosecution of Uber’s Former Chief Security Officer” です。興味深い事件です。