オーストラリア政府は、「Ransomware Action Plan」(ランサムウェア行動計画)という計画の下で、ランサムウェア使用者のさまざまな行為を単独の犯罪として規定することを発表した。
新しい計画の下では、ランサムウェアを使ってサイバー恐喝を行った者は、新しい単独の加重犯罪で処罰される。
ランサムウェアで重要なインフラストラクチャーを狙う行為も、新しい犯罪として規定された。
別の犯罪の過程で故意に取得した盗難データを扱う行為や、コンピューター犯罪を実行する目的でマルウェアを売買する行為も、犯罪とみなされるようになった。
内務大臣のKaren Andrews氏は、「Ransomware Action Planは断固とした姿勢を示している。オーストラリア政府はサイバー犯罪者への身代金の支払いを容認しない。金額に関係なく、身代金を支払ってしまうと、ランサムウェアのビジネスモデルが助長され、ほかのオーストラリア人が危険にさらされる」と語った。
この計画では、新しい犯罪の規定に加えて、ランサムウェアインシデント報告を義務とする制度も新たに展開する。これにより、年間売上高が1000万ドルを超える組織は、サイバー攻撃を受けた場合、政府に正式に通知することを義務づけられる。
新しい計画の下で、政府は、法執行機関がランサムウェアグループの犯罪収益を追跡、押収、または凍結できるようにする追加の改正法の導入にも取り組む。
これらの新しい措置はすべて、現在議会で検討されている「Security Legislation Amendment (Critical Infrastructure) Bill 2020」(2020年安全保障法制改正(重要インフラストラクチャー)法案)ではなく、新しい法案を通して展開される。
とはいうものの、Security Legislation Amendment (Critical Infrastructure) Bill 2020には、サイバー攻撃を受けた組織に報告を義務づけることや、サイバー攻撃に対抗する政府の権限を拡大することを目指す条項がすでに盛り込まれている。
計画自体には、新しい措置の一部はSecurity Legislation Amendment (Critical Infrastructure) Bill 2020によって規制されると記載されているが、連邦政府関係者の説明によると、Bill 2020は重要インフラストラクチャーの定義を明確にするだけだという。
新しい法案は、主に新しい犯罪を規定して、法執行機関がランサムウェア関連の犯罪でサイバー犯罪者を起訴できるようにすることに焦点を合わせているのに対し、Security Legislation Amendment (Critical Infrastructure) Bill 2020は、サイバー攻撃の進行中に介入する政府の権限を拡大することに焦点を当てている、と連邦政府関係者は述べた。
Bill 2020は2週間前、議会合同委員会の承認を得ている。議会委員会は当時、重要なインフラストラクチャーに対するサイバー攻撃の複雑さと頻度が増していると信じるに足る証拠があると述べた。
委員長で上院議員のJames Paterson氏は当時、「オーストラリアも無関係ではなく、高度なサイバー脅威、特に重要なインフラストラクチャーに対する脅威から国家を守るために、対策の強化が必要だということは、政府も業界も明確に認識している」と述べた。
Bill 2020は当初、もっと広範なものになるはずだったが、委員会は、Bill 2020の「緊急性の低い」部分については、さらなる協議を経て、2つ目の別個の法案の下で導入されるべきであると助言した。
政府の新しいランサムウェア計画の下で、オーストラリア連邦警察が率いる複数機関のタスクフォース「Operation Orcus」も創設された。政府は、7月に創設されたこの新しいタスクフォースについて、「急増するランサムウェアの脅威に対する」オーストラリアで「最強の対応策」と述べている。
Andrews氏によると、これらの新しい対策はすべて、計画の3つの目的のいずれかと関連しているという。3つの目的とは、ランサムウェア攻撃に対するオーストラリアの回復力を高めること、ランサムウェア攻撃への対応を強化すること、そして、法律の厳格化を通して、サイバー犯罪者を混乱させ、抑止することだ。これら3つの目的を達成するために、連邦政府は州政府、準州政府、および業界利害関係者と緊密に連携していく、とAndrews氏は述べた。
新しい計画は、オーストラリアの包括的な「2020 Cyber Security Strategy」(2020年サイバーセキュリティ戦略)がベースとなっている。この戦略の狙いは、重要なインフラストラクチャーと国家的に重要なシステムの運営者にサイバー基準を課すこと、そして、連邦政府が攻勢に出て、ネットワークと重要なインフラストラクチャーを積極的に防御できるようにする権限を生み出すことにある。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。