米国財務省、ランサムウェアの支払いを阻止することを目指す

2021年9月28日、Mike Vizard

米国財務省がランサムウェアの支払いを助長する仮想通貨取引所へ制裁を科す動きは、ランサムウェア攻撃を仕掛けるサイバー犯罪者の要求に企業が屈しないようにするためのものであることは明らかです。しかし、結果的には、支払いの追跡がより困難になるよう意図的に構築された分散型ブロックチェーンプラットフォームを基盤とする仮想通貨取引所に支払いを移行させることにしかならないかもしれません。

外国資産管理局（OFAC）は、米国市民が不正取引を助長している疑いのあるSUEXなどの仮想通貨取引所を利用できないようにする制裁措置を発動したほか、企業がランサムウェアの支払いを行うことをいかに強く思いとどまらせるようになったかを強調する勧告を更新しました。

国際緊急経済権限法（IEEPA）または対敵取引法（TWEA）の権限に基づき、米国市民は通常、特別指定国民・凍結者リスト（SDN List）に記載されている個人または団体、特定の個人、およびキューバや北朝鮮などの特定の国との取引を、直接的または間接的に行うことを禁じられています。また、IEEPAに違反する原因となる取引（米国人の違反の原因となる非米国人による取引を含む）も禁止されています。また、米国市民は、どこにいても、非米国人の行動を助長することが禁止されています。

OFACは、制裁法令で禁止されている取引に従事していることを知らなかった、または知る理由がなかったとしても、米国の司法権の対象となる人物が民事責任を問われる可能性があることを意味する、厳格な責任に基づいて制裁違反に対する民事罰を課すことができます。OFACは、被害者および関連企業に対し、後に制裁違反が発覚した場合に自主的な自己開示クレジットを受けられるよう、これらの事件をできるだけ早く法執行機関に報告し、全面的に協力することを強く勧めています。

取引所に対する初の制裁措置は、SUEXに適用されます。財務省は、制裁対象となったロシアで運営されている仮想通貨取引所での全取引の40％が違法行為に関わっていると推定しています。SUEX自体はチェコ共和国に本社を置いています。また、財務省は、2019年にG7グループの国々によって創設された金融活動作業部会（FATF）が基準を改正し、すべての国が取引所を含む仮想資産サービスプロバイダ（VASP）を規制・監督し、仮想資産取引に従事する際のリスクを軽減することを求めていると指摘しています。各国は、VASP全体に顧客管理（CDD）要件を課し、疑わしい取引の報告義務を課すことが期待されています。

しかし、このような動きには、ある問題があります。分散型取引所（DEX）は、分散型台帳を用いて取引を行うため、ユーザの資金や個人情報をサーバに保存することはありません。DEXでは、ユーザの資金や個人情報をサーバに保存せず、資産を売買する際の入札をマッチングするだけです。サイバー犯罪者は間違いなく、支払いの要求をこのタイプの仮想通貨取引所に移すでしょう。制裁リストが時間とともに増えるにつれ、これらの取引所のいずれかを使用することは違法になるかもしれませんが、支払いが行われたかどうかを判断することは非常に困難です。

とはいえ、こうした支払いに伴うリスクが高まっているのは明らかなので、ランサムウェアの被害者は、自分のデータがどれほど貴重なものかを考慮する必要があります。ある日、米国財務省が、ランサムウェアへの支払いそのものよりもはるかにコストがかかりそうな、非常に鋭い質問をし始めるかもしれません。

原文はこちら：

U.S. Treasury aims to discourage ransomware payments

September 28, 2021 Mike Vizard

https://blog.barracuda.com/2021/09/28/u-s-treasury-aims-to-discourage-ransomware-payments/