ランサムウェア支払いに関するOFAC勧告の改訂と仮想通貨取引所に対する前代未聞の制裁

米国財務省外国資産管理局（Treasury’s Office of Foreign Assets Control; OFAC）は、2020年１０月１日付のランサムウェア支払いに関する制裁リスクについての勧告を2021年9月21日付で改訂した。この改訂で、OFAC制裁の発動に関連してリスク軽減材料となる行動規範が明確化された。また米国政府が私企業や個人が身代金支払い等要求に応じることに強く反対する立場が表明された。この勧告は、US personではない日本企業であっても、違反行為の促進を要件に制裁適応を認めるものである

ランサムウェア勧告の改訂

ランサムウェア( ransomware )とは、悪意のあるソフトウェア（マルウェア）の一種で、コンピューター上のデータを暗号化することで使用不能にするものをいう。悪質なサイバー行為者は、身代金（ransom）を支払うまでデータを人質にし、身代金が支払われなければ、被害者のデータは利用できないままとなる。もっとも支払えばデータが解放される保証はない。また、サイバー行為者は、被害者のデータを破壊したり、秘匿性の高いデータを一般に公開したりすると脅して、身代金の支払いを迫ることもある。ランサムウェアによる攻撃はテクノロジーの向上とともに急激に増加しており、2020年のランサムウェアによる被害額は2,910万米ドルに達し、2019年の約3.3倍の水準となっている。

改訂版の発表と同日、ロシアを拠点とする仮想通貨取引所 SUEX OCT, S.R.O. ( SUEX ）への制裁を発表したプレスリリースの中で、イエレン財務長官は、「サイバー行為者がますます洗練された手法と技術を使用するようになっている。サイバー行為者の手法や技術が洗練されていく中で、我々はランサムウェアによる攻撃を阻止し、抑止し、防止するために、制裁措置や規制手段を含むあらゆる手段を用いていく」と述べた。

ランサムウェアに関しては、2020年9月にサイバーセキュリティ・インフラセキュリティ安全庁 ( Cybersecurity and Infrastructure Security Agency; CISA ）と多州間情報共有・分析センター( Multi-State Information Sharing and Analysis Center; MS-ISAC ) が共同で「Ransomware Guide ( Sept. 2020 )」を発表しており^[i]、OFACも2020年10月1日に「ランサムウェアの支払いを助長することに関する潜在的制裁リスクについての勧告」の原典版を発表していた^[ii]。

OFACは、今般のSUEXに対する制裁措置と同日、前記勧告の改訂版（以下、「新勧告」）を発表した^[iii]。新勧告では、まず、OFAC規制の発動に関連してリスク軽減材料となる行動規範の提供が勧告の目的として追記されたほか、米国政府が全ての私企業や個人が身代金支払いその他の要求に応じることに強く反対するとともに、ランサムウェアへの対策を講じることを推奨する旨が記載されている。そのうえで、後述のSUEXの事例も具体例として紹介され、OFACが今後も仮想通貨取引参加者を対象に制裁を加える可能性が示唆されている。

OFAC が身代金支払い等に反対する理由は、以下の点である。①支払い行為が悪意のある行為者を奨励し利得させる、②サイバー攻撃行為を永続させ新たな犯行に及ぶ動機付けになる、及び③支払いによってデータへのアクセスが可能になる保証やサーバー攻撃から解放される保証がない。

更に、新勧告では、企業がランサムウェア攻撃のリスクを軽減するために、サイバーセキュリティ行動計画を実施する重要性を強調している。具体的には、データのオフラインバックアップの維持、サイバーセキュリティ インシデント対応計画の策定、サイバーセキュリティに関するトレーニングの実施、ウイルス対策およびマルウェア対策ソフトウェアの定期的な更新、認証プロトコルの採用などを挙げる。

加えて、新勧告では、OFAC はランサムウェア攻撃の被害者および対処に携わるすべての者に対して、可能な限り早期に事件を報告し、技術的な詳細や、身代金の支払い要求の内容や方法といった、関連するすべての情報を提供することが勧告されている。この点は制裁回避との関係でとりわけ重要である。

そのうえで、新勧告では、個別具体的な事情に依存する部分もあるとしながらも、ランサムウェア被害者が以上のような措置を講じた場合、特にランサムウェア攻撃を可能な限り早く法執行機関に報告する必要があり、継続的に協力した場合には、制裁回避 ( No Action LetterまたはCaution Letter )を行うとの方針が示された。

以上を踏まえ、新勧告は、全てのランサムウェア被害者を含む関係者に対して、事件をCISA、又はFBIの最寄りの支局、又はFBIインターネット犯罪苦情センター（Internet Crime Complaint Center; IC3）、に対する可能な限り早期の通報を奨励している。これにより、報告せずにサイバー行為者と取引をすることはほぼオプションとして消滅したといえる。それをすれば、それが明るみに出た場合、天文学的な制裁が課されるからである。それでもリスクを冒すのは特に公開企業ではありえまい。

なお、OFACの勧告では、改訂以前から、サイバー攻撃保険の一部としてランサムウェアの支払いを付保する保険会社を含め、仲介業者によるサイバー攻撃被害者に代わってサイバー行為者と交渉する行為について、かかる支払いが指定された団体への資金移動を「促進」( facilitate )したと評価された場合、そのような支払いは制裁違反となると警告している。

前代未聞の制裁発動

新勧告発効の同日である2021年9月21日、前例のない措置として、財務省はSUEXをブラックリスト( SDN list ) に掲載した^[iv]。同社はランサムウェアの実行者やその他のサイバー行為者に代わって取引を促進したとされる。

具体的には、少なくとも8つのランサムウェアの亜種からの不正な収益に関わる取引を促進したこと、及び、SUEX の既知の取引履歴の 40% 以上が不正行為者と関連していたことが判明したという。

そして、OFACは、SUEXを「悪意あるサイバー行為者（”malicious cyber actor”）」としてSDNリストに追加した。SDNリストとは、米国の利益に反する所定の国、テロ組織等が所有又は支配している、ないしそれらのために行動しているとされる個人や企業のリストである。この掲載によって、米国企業や団体は一般にSUEXと取引することが禁止され、米国内にある、又は将来米国内に入ってくるSUEXの財産や利益の譲渡は認められないこととなった。掲載を受け、他の仮想通貨取引所もSUEXと取引していた口座との取引を禁止している。

今般の掲載は、米国政府がサイバー犯罪に関与したとされる仮想通貨取引所に制裁を科した例としては初めてで、近時増加する仮想通貨取引行為者を精査し制裁を加える可能性に焦点を当てたことを示している。

SUEXに対する制裁は、ランサムウェアの被害者や第三者の仲介者（保険会社など）が、状況によっては責任を問われることがあるかどうかなど、サイバー攻撃を受けた後の民間企業の責任についても問題提起する。

結論

SUEX のブラックリスト化とそれに関連する財務省の指針は、サイバー犯罪行為に対抗するために民間企業を巻き込むことを厭わないという米国政府の戦略を示すものである。SUEXの「悪意のあるサイバー行為者」指定は、今後、他の仮想通貨取引所などが、サイバー行為者への支払いを助長したり、そのような行為を抑止したり特定したりするための適切なコンプライアンス措置を取らずに行動したりした場合にの制裁につながる。民間企業や第三者の仲介業者も注意が必要である。

ランサムウェアによる攻撃は 企業とそのデータを脅かすランサムウェアの攻撃がますます一般化している。企業は 定期的にサイバーポリシーと手順を評価・テストし、強固で効果的な管理が行われていることを確認する必要がある。また、企業は、ランサムウェアの脅威や（身代金の支払いを含む）予防措置を迅速に開示する準備をして、攻撃後の制裁のリスクを軽減する準備をしておく必要がある。当局への報告は不可避である。

以上