ランサムウェア「Conti」「TrickBot」に米英政府が制裁、身代金支払い組織も規制対象に

[更新日]2023年10月10日

米英政府によるランサムウェア攻撃集団への制裁措置

2023年9月に米国財務省および英国の外部・英連邦・開発省が発動した制裁措置が、サイバーセキュリティ業界で大きな話題となっています。制裁は、世界規模でサイバー攻撃を行ってきたランサムウェア攻撃「TrickBot（トリックボット）」「Conti（コンティ）」の背後にいたロシアの犯罪組織メンバーを対象にしています^※。本記事では、制裁の概要、組織への影響について解説します。
※US and UK sanction 11 TrickBot and Conti cybercrime gang members（2023/9/7）
※Cyber-related Designations (2023/9/7 The Office of Foreign Assets Control)

制裁の概要は以下の通りです。

・制裁対象となるメンバーの特定：米国と英国の政府機関は、TrickBotの攻撃組織に関与する11名に対して制裁を科しています。これにより、当該メンバーとの金融取引が禁じられ、両国の企業、組織、団体は、これらのメンバーとの取引が制限されます。

・資産凍結と報告：制裁対象のメンバーの米国および英国内で所有する資産が凍結されます。これにより彼らの不正な活動を阻止することが可能となります。

・OFACの指示：米国財務省の外国資産管理局（OFAC：The Office of Foreign Assets Control）は、米国内の企業、組織、団体、個人が、制裁対象のメンバー個人の資産や取引に関与することを禁じています。この場合、短期的な取引であっても禁止対象となります。

・罰則施行の可能性：制裁対象のメンバーとの取引を行う企業、組織、団体、個人も、さらなる制裁の対象となる可能性があります。また、これらのメンバーを故意に支援する海外の金融機関も、米国において厳罰の対象となる可能性があります。

規制は非米国企業にも適用、日本企業も注意を

米国財務省の外国資産管理局OFACは、安全保障上の目的から、米国が指定した国や地域や特定の個人、活動などについて、取引禁止や資産凍結などの措置を行います。OFACの規制では、米国人、米国法人が制裁対象の人物や組織と取引を行うことを禁止しています。加えて非米国人、非米国法人であっても、制裁対象と米ドル建てや米国資金での取引を行った場合、規制違反として制裁を適用する可能性があります。

OFACの制裁対象には、特定の国や地域のほか、麻薬や核拡散、テロ行為などが指定されてきました。サイバー犯罪に関しては、2020年に、米国の経済制裁対象の国や地域に拠点を置くランサムウェア攻撃集団に身代金を支払った場合、OFCA規制違反に問われる可能性があるとした勧告が発表されています。国際的な規制において、ランサムウェアをはじめとするサイバー犯罪へ対象が広がっている点はおさえておくことが重要です。また、様々なOFCAの制裁は、日本企業にとって無関係ではありません。過去には、規制違反として、OFACにより罰金の支払いなどが科された日本企業の事例が数多く存在します。

こうしたことから、今回の制裁対象となったランサムウェアの犯罪組織メンバーに、身代金を支払うことは、すべての組織にとって重大なリスクになることを認識する必要があります。リスクには、以下のような法的、財務的、評判、業務上の影響が含まれます。

1. 法的制裁：制裁対象に身代金を支払った場合、規制違反として、法的措置、罰金、または罰則が科される可能性があります。
2. 財務上の損失 : 制裁違反の罰金は、ときにサイバー犯罪者へ支払う身代金よりも高額な金額が科せられる可能性があります。
3. 評判損失・風評被害 : 規制に違反する取引への関与は、組織のブランドや評判は損なわれる可能性があります。たとえ意図がなかったとしても、サイバー犯罪組織など、悪意のある活動を間接的に支援しているとみなされる可能性さえあります。
4. 事業活動への影響 : 制裁の違反が判明した場合、特にこれらの制裁を実施している国では、事業活動の制限または禁止に追い込まれる可能性があります。事業活動においてきな損失につながる可能性があります。
5. 取引への影響: 特に制裁を実施している国に拠点を置く組織は、違反が判明した組織との取引に慎重になる可能性があります。取引やサプライチェーンに影響がでる可能性があります。
6. 国際的な金融システムへのアクセスへの影響: 制裁に違反した場合、国際的な銀行および金融システムへのアクセスが制限またはブロックされ、国際市場における取引の継続が困難になる可能性があります。
7. 株価への影響: 法的トラブル、罰金、風評被害により、株価低下につながる可能性を含んでいます。
8. 監視の強化 : 制裁違反に関与したとされると、今後の事業活動において監視の強化に直面する可能性があります。
9. データとセキュリティのリスク : ランサムウェアでは、規制を違反し、身代金を支払ったとして、問題が解決されるとは限りません。データの復号化や、攻撃の停止は保証されません。また、身代金の支払いは危険な前例を作る可能性があり、支払う意思が組織であることを悪意のある攻撃者に示し、将来の攻撃につながる可能性があります。

セキュリティ責任者の役割

制裁措置は、組織にとって利点もあります。米英政府による取り組みは、サイバー犯罪に対する国際的な団結を示しました。脅威情報の共有、サイバー攻撃への防御の更なる強化に向けた一歩となることが期待されます。また、組織のセキュリティチームにとっては、セキュリティ投資を求める好条件が整ったとも言えます。ランサムウェア攻撃集団との取引に規制が入ることで、事前の防御や攻撃に備えた対策が不可欠になったためです。

一方、組織にとっての懸念材料もあります。まずは攻撃の増加です。今回の制裁措置により、米英政府から標的にされていると考えた犯罪組織が、報復措置として、高度な攻撃を大量に展開する可能性があります。またビジネスにおいては、先述の通り、制裁対象との取引により、自組織がOFCAの規制対象となる恐れがあります。こうした事態を避けるために、取引先が制裁対象でないことを確認することが重要になります。サードパーティーとの契約や取引において審査の強化が必要となるため、これに関するコストが増加するケースも考えられます。さらに、ランサムウェア攻撃被害に遭った場合の身代金の支払いの是非も課題となります。

サイバー犯罪に関連する規制の強化が今後も増えていくことで、組織はこれまで以上に法的、財務的、倫理的なジレンマに直面する可能性があります。こうした状況に対して、セキュリティ責任者や組織は、どのように対処すべきでしょうか。

全米取締役協会（NACD：National Association of Corporate Directors）^※1は、セキュリティにおける取締役会の重要性を示し、規制の動向を理解し、コンプライアンス要件に対応していくため、セキュリティに積極的に関与すべきだと強調しています^※2。NACDガイドラインを参考に、セキュリティ責任者と取締役会の役割を考えます。
※1 取締役会の育成を目的にアメリカで設立された非営利団体
※2 2023 DIRECTOR’S HANDBOOK ON CYBER-RISK OVERSIGHT

セキュリティ責任者は以下の3つを柱に、自組織のセキュリティを最適化することをおすすめします。

・国際的な規制の動向に関する最新情報の入手：変わりゆくセキュリティに対しての制裁や規制について把握しておく必要があります。NACDは、新規のセキュリティ規制を監視して解釈する体系的な方法の確立を推奨し、継続的なコンプライアンスへの順守を促しています。

・法務部門との緊密な連携：セキュリティへの制裁の複雑さを理解するためには、法務部門との緊密な連携が必須です。特に制裁措置が組織のセキュリティ対策に及ぼす法的影響を正確に把握する上でも、この連携は重要となります。

・インシデント対応計画の見直しと更新：増大し続ける規制や脅威を考慮すると、組織のインシデント対応計画の更新は不可欠です。NACDは、対応計画の有効性と規制要件の整合性を確認するため、机上演習やシミュレーションの実施の重要性を強調しています。

取締役会の役割も重要です。取締役会においても、規制状況や組織のセキュリティに与える影響を把握しておくことが必要です。そのためには、取締役会やセキュリティ責任者、法務部門の関係者が継続的にコミュニケーションできる枠組みが重要です。セキュリティにおける課題や制裁措置の影響に関する最新情報を随時把握し、コンプライアンス要件の確保に努めることで、セキュリティの制裁措置に伴う複雑な状況へ適切に対処できるようになります。

制裁措置はサイバー犯罪に対する国際的な姿勢を明確にした一方、同時に組織に様々な課題をもたらしています。サイバー犯罪の動向やそれに対する規制も常に変化します。警戒を怠らず、最新の情報をもとに、組織として対処していくことが求められています。

本記事は、2023年9月8日にUSで公開された記事の抄訳です。

Ed Cabrera（エド・カブレラー）

トレンドマイクロ株式会社
Chief Cybersecurity Officer

ジョージW.ブッシュ大統領の大統領保護部門で勤務し、その後NCCICのシークレットサービス戦略アドバイザーを務める。CISOも含め米国シークレットサービスでの経験は20年以上に渡り、情報セキュリティ、サイバー調査および保護を主導した。現在は、トレンドマイクロでChief Cybersecurity Officerを務める傍ら、フロリダ国際大学シニアサイバーセキュリティフェロー兼非常勤教授、ニューヨーク工科大学のゲスト講師を務めるサイバーセキュリティの専門家。