2025年7月22日、英国政府は、ランサムウェア攻撃による被害から病院、企業、地方自治体などの重要サービスを守るため、
官民連携による抜本的なサイバーセキュリティ対策を導入する方針を発表しました。
これは、数ヶ月にわたり実施された公開協議の結果を踏まえて決定されたもので、犯罪組織の資金源を断ち、国家としての防衛力を強化する狙いがあります。
公共部門と重要インフラに対し「身代金支払い」を禁止
発表の中心となる施策は、国民保健サービス(NHS)や地方自治体、教育機関などの公共機関に対して、ランサムウェア攻撃を受けても身代金を支払うことを禁止するという内容です。これにより、犯罪組織に対する経済的インセンティブを排除し、英国の重要インフラを標的とするリスクを下げることが目的です。
約75%の協議参加者がこの方針に賛成しており、国民の間でも強い支持が確認されました。
被害の実態:NHSで患者死亡の要因にも
政府はまた、ロンドンのNHS病院において、ランサムウェア攻撃が患者の死亡に影響を及ぼした事例があったことにも言及しており、こうした深刻な結果を受け、より断固とした対策の必要性が明確になったとしています。
一般企業には「身代金支払いの政府通知」を義務化
公共機関以外の企業には、ランサムウェア攻撃に直面した際に「政府への通知義務」が課される方針です。政府は企業に対し、攻撃元が制裁対象のロシア系犯罪グループ等でないかを精査し、法的リスクについて助言を提供します。
さらに、支払いの有無にかかわらず、攻撃の詳細についての強制的な報告制度が導入される予定であり、これにより政府や捜査機関は攻撃手法や脅威グループに関する重要なインテリジェンスを収集できるようになります。
「レジリエンスの構築」も重視:政府からの呼びかけ
国家サイバーセキュリティセンター(NCSC)および内務省は、あわせて企業や機関に対し、システム停止に備えたオフラインバックアップやBCP(事業継続計画)の策定、復旧訓練の強化を推奨しています。
特に、2023年10月に発生した英国図書館へのランサムウェア攻撃は、インフラ全体に深刻な影響を与えた実例として報告されています。同館のRebecca Lawrence CEOは「我々は攻撃者と交渉せず、支払いも行っていない」と強調し、機関間での経験共有とレジリエンス向上の重要性を語りました。
参照
https://www.gov.uk/government/news/uk-to-lead-crackdown-on-cyber-criminals-with-ransomware-measures
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ対策Labのダークウェブの調査から執筆まで対応しています。
セキュリティ製品を販売する上場企業でSOC(セキュリティオペレーションセンター)や脆弱性の営業8年、その後一念発起しシステムエンジニアに転職。MDMや人事系のSaaS開発を行う。