2025 年 9 月 23 日 Oli Venn 著

これまでランサムウェア攻撃集団は、企業を人質に取って「身代金を払うか、システム崩壊を許すか」という恐ろしい選択を強いてきました。しかしそのような時代も終わりを迎えつつあります。NHS（英国国民保健サービス）や高級百貨店 Harrods を含む多方面でのサイバー混乱を受け、英国政府は明確なラインを引きました。それは「秘密裏に支払うことは許さない」「重大な攻撃を隠蔽させない」という宣言です。

新ルールが示すもの

• 身代金の支払い禁止：NHS、自治体、学校などの重要インフラは、身代金の支払いが禁止されます。
• 報告の義務：それ以外の組織に対しても、侵害を受けた際には報告の義務が課せられます。

この政策は、犯罪者に支払いをして済ませるという「最後の手段」を主要経済国としては初めて封じるもので、非常に思い切った反ランサムウェア政策です。

なぜ今なのか？ 原因はこの夏の連続被害

今夏、英国では次のような被害が相次いで報じられました。

• 大手百貨店 Marks & Spencer が攻撃され、多くの顧客が混乱。
• スコットランドの NHS では予約遅延の発生、また患者記録がリスクのある状態に置かれる。
• 政府の法的支援機関が、機密ファイル盗難の被害を認めざるを得ない状況に。

一連の事件が示すメッセージは明白です。どのような業界も安全ではないという点、そして被害は身代金だけにとどまらない、という点です。

英国以外の動き

英国だけが動いているわけではありません。ランサムウェア対策を掲げる国際連合体「カウンターランサムウェア・イニシアティブ」には既に 50 か国近くが加盟し、サイバー犯罪集団に対する包囲網を強めています。最新の会合では各国が情報を共有し合い、AI を活用して攻撃を予測・阻止する動きについても話し合われました。

ユーザはどう動くか？

政府が「身代金を支払う」逃げ道を閉ざす中、残された選択肢はひとつです。それは「防御を強化する」ことです。高度な攻撃を使わずとも、パスワードがひとつ盗まれるだけで、ネットワークは突破されえます。

具体的な対策

• 多要素認証（MFA）をすべての場所で有効に。
• 書き換え不能なバックアップを用意しておく。
• フィッシングメールに対する従業員教育を徹底。
• インシデント対応計画を、火災訓練のように定期的に演習。

今や選択肢として存在するのは「支払うか支払わないか」ではありません。状況は刻々と移り変わり、時代は「堅牢か脆弱か」という選択肢を迫っています。