英国 RUSI サイバー保険とランサムウェア...身代金を払わないというのは最適解か?
こんにちは、丸山満彦です。
英国のRoyal United Services Institute; RUSI [wikipedia ] がランサムウェアによる身代金要求に対しする解決策として最善の解決策とはどういうものかを検討したという報告書を出しています。身代金を支払わないというのが最適であるという(ある意味根拠がない)考えではなく、フラットに考えてどのような方法が(社会にとって)最適なのだろうかというのを考えているのだろうと思います。サイバー保険から身代金を出すなというよりも、身代金をはらうこともオプションとして考えられるならば、どのような制度を整備すべきかという観点での検討かと思います。
身代金の支払交渉をする会社を免許制にし、その交渉過程を保険会社に適時報告する。決済会社はマネーロンダリング防止法等の対策をした金融当局に登録した会社であること。その際に暗号資産を使う場合は、免許を得た会社であること。
個人的には、当初より、身代金の支払いはやめた方が良いという意見ですが、それが社会的にベストな解決策かどうかは分かりませんね。ただ、身代金を安易に支払すぎる(保険を使う使わないに関わらず)と、ランサムウェアの攻撃を社会的にも増加しそうだと思うこと、その犯罪収益が他の犯罪も含めた犯罪の資金源になりかねないこと、身代金を払っても復号鍵を提供してもらえない可能性があること、復号鍵を入手できても適切にシステムが復号できるとは限らないこと、実際の誘拐事案と異なり人命が直接に危険にされされていないことなど、総合的に勘案して、まあ、払わないことを原則にすべきと思ったわけですけどね。。。もう少し、細い条件にわけて最適解を考えるということはできますね。。。
検討の価値がある。。。
● Royal United Services Institute; RUSI
・2023.07.31 Cyber Insurance and the Ransomware Challenge
| Cyber Insurance and the Ransomware Challenge | サイバー保険とランサムウェアの課題 |
| A study examining the role of cyber insurance in addressing the threats posed by ransomware. | ランサムウェアがもたらす脅威に対処するためのサイバー保険の役割を検証する。 |
| Executive Summary | 要旨 |
| The cyber insurance industry has been heavily criticised for providing coverage for ransom payments. A frequent accusation, which has become close to perceived wisdom in policymaking and cyber security discussions on ransomware, is that cyber insurance has incentivised victims to pay a ransom following a cyber incident, rather than seek alternative remediation options. Over a 12-month research project, researchers from RUSI, the University of Kent, De Montfort University and Oxford Brookes University conducted a series of expert interviews and workshops to explore the relationship between cyber insurance and ransomware in depth. This paper argues that there is, in fact, no compelling evidence that victims with cyber insurance are much more likely to pay ransoms than those without. | サイバー保険業界は、身代金支払いに対する補償をプロバイダとして提供していることで激しい批判を受けている。ランサムウェアに関する政策立案やサイバーセキュリティの議論において、常識に近いと思われる非難が頻繁になされているが、それは、サイバー保険が、サイバーインシデントが発生した後、被害者が代替的な修復方法を模索するのではなく、身代金を支払うように仕向けたというものである。RUSI、ケント大学、デ・モントフォート大学、オックスフォード・ブルックス大学の研究者は、12ヶ月に及ぶ研究プロジェクトにおいて、サイバー保険とランサムウェアの関係を詳細に調査するため、一連の専門家インタビューとワークショップを実施した。本稿では、サイバー保険に加入している被害者が加入していない被害者よりも身代金を支払う可能性が高いという説得力のある証拠は、実際には存在しないと論じている。 |
| Ransomware remains one of the most persistent cyber threats facing the UK. Despite a range of government, law enforcement and even military cyber unit initiatives, ransomware remains lucrative for criminals. During this research, we identified three main drivers that ensure its continued success: | ランサムウェアは依然として、英国が直面する最も根強いサイバー脅威の一つである。政府、法執行機関、さらには軍のサイバー部隊によるさまざまな取り組みにもかかわらず、ランサムウェアは依然として犯罪者にとって有利なままである。今回の調査で、我々はランサムウェアの継続的な成功を確実なものにしている3つの主な要因を特定した: |
| ・A profitable business model that continues to find innovative ways to extort victims. | ・被害者を恐喝する革新的な方法を見つけ続ける収益性の高いビジネスモデル。 |
| ・Challenges around securing organisations of all sizes. | ・あらゆる規模の組織の安全確保に関する課題。 |
| ・The low costs and risks for cybercriminals involved in the ransomware ecosystem, both in terms of the barriers to entry and the prospect of punishment. | ・ランサムウェアのエコシステムに関与するサイバー犯罪者にとって、参入障壁と処罰の見込みの両面で、コストとリスクが低いこと。 |
| Despite this perfect storm of factors, the cyber insurance industry has been singled out for criticism with the claim that it is funding organised cybercrime by covering ransom payments. In reality, cyber insurance’s influence on victim decision-making is considerably more nuanced than the public debate has captured so far. While there is evidence that cyber insurance policies exfiltrated during attacks are used as leverage in negotiations and to set higher ransom demands, the conclusion that ransomware operators are deliberately targeting organisations with insurance has been overstated. | このような完璧な要因の嵐にもかかわらず、サイバー保険業界は、身代金の支払いをカバーすることで組織的なサイバー犯罪に資金を提供しているとの批判にさらされている。実際には、サイバー保険が被害者の意思決定に与える影響は、これまでの一般的な議論よりもかなり微妙である。攻撃中に流出したサイバー保険証書が交渉のテコとして使われたり、より高い身代金要求を設定するために使われているという証拠はあるが、ランサムウェアの運営者が意図的に保険に加入している組織を標的にしているという結論は誇張されすぎている。 |
| However, the insurance industry could do much more to instil discipline in both insureds and the ransomware response ecosystem in relation to ransom payments to reduce cybercriminals’ profits. Insurers’ role as convenors of incident response services gives them considerable power to reward firms that drive best practices and only guide victims towards payment as a last resort. But the lack of clearly defined negotiation protocols and the challenges around learning from incidents make it difficult to develop a sense of collective responsibility and shared best practices around ransomware response. This has not been helped by the UK government’s black-and-white position on ransom payments, which has created a vacuum of assurance and advice on best practices for ransom negotiations and payments. | しかし、保険業界は、サイバー犯罪者の利益を減らすために、身代金の支払いに関して被保険者とランサムウェア対応のエコシステムの双方に規律を浸透させるために、もっと多くのことができるはずだ。保険会社はインシデント対応サービスの招集者としての役割を担っているため、ベストプラクティスを推進し、被害者を最後の手段としてのみ支払いに誘導する会社に報酬を与える大きな力を有している。しかし、交渉プロトコルが明確に定義されていないことや、インシデントから学ぶことをめぐる課題によって、ランサムウェア対応に関する集団的責任感やベストプラクティスの共有が困難になっている。英国政府が身代金の支払いに関して白黒をはっきりさせる姿勢を示していることも、この状況を助長していない。そのため、身代金の交渉や支払いに関するベストプラクティスに関する保証やアドバイスが空白になっている。 |
| This paper does not advocate for an outright ban on ransom payments or for stopping insurers from providing coverage for them. Instead, it makes the case for interventions that would improve market-wide ransom discipline so that fewer victims pay ransoms, or pay lower demands. Ultimately, this involves creating more pathways for victims that do not result in ransom payments. Beyond ransom payments, cyber insurance has a growing role in raising cyber security standards, which could make it more difficult to successfully compromise victims and increase costs for ransomware operators. Successive years of losses from ransomware have led to more stringent security requirements and risk selection by underwriters. Although the overall effect of this on the frequency and severity of ransomware attacks remains to be seen, by linking improvements in security practices to coverage, cyber insurance is currently one of the few market-based levers for incentivising organisations to implement security controls and resilience measures. However, continued challenges around collecting and assessing reliable cyber risk and forensic claims data continue to place limits on the market’s effectiveness as a mechanism for reducing ransomware risk. This, along with cyber insurance’s low market penetration, makes clear that cyber insurance should not be treated as a substitute for the legislation and regulation required to improve minimum cyber security standards and resilience. Insurers are also commercial entities that primarily exist to help organisations transfer risk, rather than to improve national security and societal cyber resilience. | 本稿は、身代金支払いを全面的に禁止することや、保険会社が身代金支払いを補償することを止めることを主張するものではない。その代わりに、身代金を支払う被害者が少なくなるように、あるいは身代金の要求額が低くなるように、市場全体の身代金規律を改善するような介入を主張する。最終的には、身代金の支払いに至らないような被害者の道筋を増やすことが必要である。身代金の支払いだけでなく、サイバー保険はサイバーセキュリティの標準を向上させる役割を担っており、これによって被害者を危険にさらすことが難しくなり、ランサムウェアの運営者のコストが増加する可能性がある。ランサムウェアによる損害が何年も続いているため、引受保険会社によるセキュリティ要件やリスク選択がより厳しくなっている。このことがランサムウェア攻撃の頻度と深刻度に及ぼす全体的な影響はまだ分からないが、セキュリティ対策の改善を補償に結びつけることで、サイバー保険は現在、組織にセキュリティ管理とレジリエンス対策を実施するインセンティブを与える数少ない市場ベースの手段の一つとなっている。しかし、信頼できるサイバーリスクとフォレンジック請求データの収集と評価に関する継続的な課題により、ランサムウェアのリスクを軽減するメカニズムとしての市場の有効性には限界がある。このことは、サイバー保険の市場浸透率の低さとともに、サイバー保険が最低限のサイバーセキュリティ標準とレジリエンスを改善するために必要な法律や規制の代用品として扱われるべきではないことを明確にしている。また、保険会社は、国家安全保障や社会的なサイバー・レジリエンスを改善するためというよりは、主に組織のリスク移転を支援するために存在する事業体である。 |
| The cyber insurance industry could be a valuable partner for the UK government through increased ransomware attack and payment reporting, sharing aggregated claims data, and distributing National Cyber Security Centre (NCSC) guidance and intelligence to organisations. However, the government has not made a compelling enough case to insurers and insureds about the benefits of doing so. Instead, it has relied on appealing to their general sense of altruism. While insurers will benefit if governments are able to generate more accurate and actionable data on ransomware, albeit indirectly, this needs to be sold to the industry in a more convincing way. | サイバー保険業界は、ランサムウェア攻撃と支払いの報告の増加、集約されたクレームデータの共有、国家サイバーセキュリティセンター(NCSC)のガイダンスとインテリジェンスの組織への配布を通じて、英国政府にとって貴重なパートナーとなりうる。しかし、政府は保険会社や被保険者に対して、そうすることのメリットについて十分に説得力のある説明を行っていない。その代わりに、一般的な利他主義に訴えることに頼っている。間接的とはいえ、政府がランサムウェアに関するより正確で実用的なデータを作成できれば、保険会社は恩恵を受けることになるが、このことをもっと説得力のある方法で保険業界に売り込む必要がある。 |
| Some principles and recommendations for both the insurance industry and the UK government are listed below. These are not designed to solve all the challenges of the cyber insurance market, nor do they present wide-ranging solutions to the ransomware challenge. Instead, they focus on where the cyber insurance industry can have the most impact on key ransomware drivers. This reflects the fact that disrupting the ransomware economy involves applying pressure from different angles in a whole-of-society approach. The recommendations also start from the position that the UK government’s light-touch approach is unsustainable and requires more intervention in private markets that are involved in ransomware prevention and response. While they are specifically aimed at UK policymakers, regulators and insurers, they may be applicable to other national contexts. | 保険業界と英国政府双方に対するいくつかの原則と提言を以下に挙げる。これらはサイバー保険市場のすべての課題を解決するためのものではなく、ランサムウェアの課題に対する広範な解決策を提示するものでもない。その代わりに、サイバー保険業界がランサムウェアの主要な推進要因に対して最もインパクトを与えることができる部分に焦点を当てている。これは、ランサムウェア経済を破壊するには、社会全体からのアプローチで様々な角度から圧力をかける必要があるという事実を反映している。提言はまた、英国政府のライトタッチのアプローチは持続不可能であり、ランサムウェアの予防と対応に関わる民間市場への介入を強化する必要があるという立場から出発している。これらは特に英国の政策立案者、規制当局、保険会社を対象としているが、他の国の状況にも適用できる可能性がある。 |
| Recommendations | 提言 |
| Recommendation 1: To increase oversight of ransomware response, insurers should use policy language to require that insureds and incident response firms provide written evidence of negotiation strategies and outcomes. | 提言1:ランサムウェアへの対応に対する監視を強化するため、保険会社は保険契約上の文言を用いて、保険会社やインシデント対応会社に対し、交渉戦略とその結果について書面で証拠を提出するよう求めるべきである。 |
| Recommendation 2: To develop and drive ransomware response best practices across the market, insurers should select specialist ransomware response firms for panels that meet a set of pre-defined minimum requirements. These should include: A proven track record of both regularly achieving outcomes that do not result in ransom payments, and of operational relationships with law enforcement and cyber security agencies. Conducting sanctions risk assessments. Compliance with anti-money laundering laws and FATF (Financial Action Task Force) standards. Ensuring payment firms that make payments on behalf of UK victims are registered with relevant financial authorities in the UK. | 提言2:ランサムウェア対応のベストプラクティスを開発し、市場全体に浸透させるために、保険会社はランサムウェア対応の専門会社を、あらかじめ定義された最低要件を満たすパネルに選定すべきである。これには以下が含まれる: 身代金の支払いに至らない成果を定期的に達成し、法執行機関やサイバーセキュリティ機関と業務上の関係を築いてきた実績があること。制裁リスクアセスメントの実施。マネーロンダリング防止法および FATF(金融活動作業部会)の標準を遵守すること。英国の被害者に代わって支払いを行う決済会社が、英国の関連金融当局に登録されていることを確認する。 |
| Recommendation 3: The UK government should commission a study to improve its understanding of specialist ransomware response firms. This should aim to identify common best practices and key market players, and create a framework for benchmarking the quality of their services and products. These findings can be distributed to trusted partners in the insurance industry. To drive best practices in ransomware response and create more oversight of the incident response ecosystem, the NCSC, National Crime Agency (NCA) and international partners should also explore the feasibility and potential implications of creating a dedicated assurance scheme for firms that provide specialist ransomware services such as decryption, recovery, negotiations and payments. | 提言3:英国政府は、ランサムウェア対応の専門企業に対する理解を深めるための調査を委託すべきである。これは、共通のベストプラクティスと主要な市場プレイヤーを特定し、サービスや製品の品質をベンチマークするための枠組みを作成することを目的とすべきである。これらの調査結果は、保険業界の信頼できるパートナーに配布することができる。ランサムウェア対応のベストプラクティスを推進し、インシデント対応のエコシステムに対する監視を強化するために、NCSC、国家犯罪対策庁(NCA)、および国際的なパートナーは、復号化、復旧、交渉、支払いなどのランサムウェア専門サービスを提供する企業に対して専用の保証スキームを設けることの実現可能性と潜在的な意味合いについても検討すべきである。 |
| Recommendation 4: To increase reporting of ransom payments, the UK government and international partners should explore creating a dedicated licensing regime for firms that facilitate cryptocurrency payments on behalf of ransomware victims. In the short-term, the UK government should follow the example set by the US government and also ensure that ransomware response firms that facilitate payments are registered as money service businesses in the UK and therefore subject to national financial crime reporting requirements. | 提言4:身代金支払いの報告を増加させるため、英国政府と国際的パートナーは、ランサムウェア被害者に代わって暗号通貨による支払いを促進する企業に対する専用のライセンス制度の創設を検討すべきである。短期的には、英国政府は米国政府が示した例に倣い、支払いを促進するランサムウェア対応企業が英国でマネーサービス事業者として登録され、国の金融犯罪報告要件の対象となることも確認すべきである。 |
| Recommendation 5: To reach a market-wide consensus on what constitutes a reasonable last resort before a ransom payment is made, insurers should agree on a set of minimum conditions and obligations in ransomware coverage to ensure alternatives are explored first. These should include sanctions due diligence, a requirement to notify law enforcement and written evidence that all options have been exhausted. | 提言5:身代金の支払いが行われる前に、何が合理的な最後の手段を構成するかについて市場全体のコンセンサスを得るために、保険会社はランサムウェアの補償における最低限の条件と義務について合意し、最初に代替手段が検討されるようにすべきである。これには、制裁措置のデューディリジェンス、法執行機関への通知要件、あらゆる選択肢が尽くされたことの書面による証拠などが含まれるべきである。 |
| Recommendation 6: To increase ransomware reporting and ensure victims are able to access any relevant law enforcement and NCSC support, insurers should specify that any ransomware coverage must contain a requirement for policyholders to notify Action Fraud (the UK’s national centre for reporting fraud and cybercrime) and the NCSC before a ransom is paid. If there is no progress on this recommendation without intervention, then regulators should intervene to compel insurers to include this obligation in coverage. However, this recommendation also depends on the implementation of long-promised but delayed reforms to Action Fraud. These should include creating a dedicated category for reporting ransomware. Law enforcement and the NCSC must also provide assurances to insurers that they have the capabilities to support victims during incidents and that reporting leads to actual outcomes against ransomware actors, such as cryptocurrency seizures, arrests or offensive cyber operations. | 提言6:ランサムウェアの報告を増加させ、被害者が関連する法執行機関やNCSCの支援にアクセスできるようにするため、保険会社はランサムウェアの補償に、身代金が支払われる前に保険契約者がAction Fraud(詐欺やサイバー犯罪を報告するための英国のナショナルセンター)やNCSCに通知する要件を含めることを明記すべきである。介入なしにこの提言に進展がないのであれば、規制当局が介入して保険会社にこの義務を補償に含めるよう強制すべきである。しかし、この提言は、長い間約束されながら遅れているAction Fraudの改革の実施にもかかっている。これには、ランサムウェアを報告するための専用カテゴリーを設けることも含まれるべきである。また、法執行機関とNCSCは、インシデント発生時に被害者を支援する能力を有していること、および通報が暗号通貨の押収、逮捕、攻撃的なサイバー作戦など、ランサムウェアの行為者に対する実際の成果につながることを保険会社に保証しなければならない。 |
| Recommendation 7: The NCSC and a UK insurer should trial integrating the NCSC’s Early Warning service into their ongoing assessments of policyholders. This would enable the insurer to distribute intelligence from Early Warning at scale and notify policyholders of potential ransomware attacks. The NCSC should also explore whether Early Warning will need to be expanded and adapted to meet the requirements of insurers and policyholders. | 提言7:NCSCと英国の保険会社は、NCSCのEarly Warningサービスを保険契約者の継続的な評価に統合する試みを行うべきである。これにより、保険会社はEarly Warningからの情報を大規模に配信し、保険契約者にランサムウェア攻撃の可能性を通知できるようになる。またNCSCは、保険会社と保険契約者の要件を満たすために、早期警報の拡張と適応が必要かどうかも検討すべきである。 |
| Recommendation 8: To deepen operational collaboration with the insurance industry, the NCSC should seek to recruit secondees from the cyber insurance industry into the Industry 100 cyber security secondment scheme. This should include identifying specific tasks and roles for underwriters, claims managers and incident response professionals working for UK insurers. | 提言8:保険業界との業務協力を深めるため、NCSCはサイバー保険業界からインダストリー100サイバーセキュリティ出向者制度に出向者を採用するよう努めるべきである。これには、英国の保険会社に勤務するアンダーライター、クレームマネジャー、インシデント対応の専門家の具体的な業務や役割を特定することも含まれるべきである。 |
| Recommendation 9: To increase reporting of ransom payments, the Home Office and NCA should ensure that existing financial crime reporting mechanisms – specifically, suspicious activity reports (SARs) – are fit for reporting ransom payments or money laundering linked to ransomware. Concurrently, the UK government should also identify ways to encourage cyber insurers to report ransom payments as SARs or through more informal channels. | 提言9:身代金支払いの報告を増加させるため、内務省とNCAは、既存の金融犯罪報告メカニズム(特に疑わしい活動報告(SAR))が、ランサムウェアに関連した身代金支払いやマネーロンダリングの報告に適していることを確認すべきである。同時に英国政府は、サイバー保険会社が身代金支払いをSARとして、またはより非公式なルートを通じて報告することを奨励する方法を特定すべきである。 |
・[PDF]
Comments