海の向こうの“セキュリティ”
ランサムウェアの身代金を支払ったこと、秘密にしてちゃダメ!? 被害者からの報告を義務化する法律が発効~豪州で世界初
対象となる組織は? 世界各国で同様の動きも
2025年7月8日 06:00
オーストラリアでは5月30日から、ランサムウェアをはじめとする「サイバー恐喝(cyber extortion)」の被害者が恐喝者に対して身代金等を支払った場合にオーストラリア信号局(Australian Signals Directorate、以降ASD)へ報告することが「サイバーセキュリティ法2024(Cyber Security Act 2024)」により義務化されました。
ただし、報告義務の対象となるのは、重要インフラ事業者と年間売上高が300万豪ドル(本稿執筆時点の為替レートで約2億8000万円)を超える組織のみです。米セキュリティ企業Recorded Futureのニュースメディア「The Record」によれば、この売上高の基準を満たすのはオーストラリアの登録企業全体の上位6.5%にすぎないものの、それらの企業だけで同国の経済の約半分を占めると予想されています。
同様の法律はオーストラリア以外でも検討・準備されていますが、実際に発効にまで至ったのはオーストラリアが世界初とされており、同様の動きに対する影響は少なからずあると考えられます。そこで今回は、このオーストラリアの報告義務の内容を簡単に紹介します。詳細はオーストラリア内務省(Australian Department of Home Affairs)が公開している以下のファクトシートを参照してください。
参考:オーストラリア以外の状況
[米国]
重要インフラ事業者の報告義務を定めた「重要インフラ向けサイバーインシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act、CIRCIA)」がすでに存在しており、身代金の支払い後24時間以内の報告を義務付けていますが、対象となる組織は重要インフラ事業者に限定されています。また、その施行は2025年の秋以降、おそらく2026年になるとみられています。なお、同様の義務化を一般の民間企業にも拡大することが検討されているようです。
[EU]
NIS2指令による報告義務化はすでに進んでいますが、NIS2ではランサムウェアを含むサイバー恐喝を他のサイバー攻撃と区別しておらず、身代金の支払いについても明確な規定はありません。ただし、医療分野に関しては、身代金の支払いに関する報告を求めることを推奨する内容を含む行動計画が発表されています。
[英国]
公的機関や重要インフラ事業者による身代金の支払いの禁止等と併せて報告義務化が検討されています。
オーストラリアではこれまでも報告は推奨されていましたが、その報告件数はわずかであり、オーストラリア犯罪研究所の調査によれば、ランサムウェアの被害者のうち、被害を報告したのは20%との結果が出ています。そこで、被害の実態を把握し、特に中小企業に対する適切なアドバイスの提供を支援するとともに、将来の法整備に役立てることを目的として、報告義務化の法案が2024年に提出され、2025年5月30日に発効しました。
対象となる事業体は、支払いを行った場合、または第三者による支払い代行が行われたことを認識した場合、その支払いから72時間以内に報告を行なう必要があります。また、支払いは金銭に限定されず、贈り物やサービスなど、何らかの利益を与える行為も「支払い」とみなされる場合があるとしています。なお、報告はASDのサイバーセキュリティセンター(Australian Cyber Security Centre、ACSC)のウェブサイトから行ないます。
報告すべき内容は以下の通り。
- 支払いを行った事業体の詳細
- サイバーセキュリティインシデントの詳細(影響含む)
- 他の事業体(支払い代行を行った事業体等)の詳細
- 恐喝者側からの要求内容
- 支払いに関する情報(金額や方法等)
- 恐喝側とのやり取りの内容
- その他、サイバーインシデントに関する情報
報告を怠った企業には、60ペナルティユニット(Penalty units)が科せられる可能性があると定められています。なお、1ペナルティユニットは本稿執筆時点で330豪ドルなので、60ペナルティユニットは1万9800豪ドル(本稿執筆時点の為替レートで約190万円)となりますが、1ペナルティユニットの金額は年々上昇する傾向にありますので、当然ながら罰金も上昇する可能性があります。
今回の義務化にあたって、ASDはあくまで報告受付機関であり、規制機関として報告義務の遵守状況を監視するのは内務省(Australian Department of Home Affairs)と定められています。なお、この義務化には「猶予期間」が設けられており、2025年末までは対象事業体への教育と習熟に重点が置かれ、悪質な不遵守の場合を除き、規制措置は最小限に抑えられるとしています。
法執行機関が恐喝行為を防ぐためには、実態に合った適切な法整備が必要であり、そのために報告を義務化すること自体は間違いではありません。おそらく報告義務化の動きは世界的にも進んでいくのでしょう。
しかし、今回のオーストラリアのケースを見ても分かるように、対象企業の負担は小さくはなく、その負担の大きさと、違反した場合の罰金の大きさを比較すると、隠蔽するケースが増えてしまうのではないかと危惧しています。だからと言って、罰金を高くすれば良いかと言えば、そんなことはなく、隠蔽が巧妙化するだけかもしれません。
いずれにせよ、報告が義務化されても、それだけで被害が減るわけではないので、組織としては「サイバー恐喝」の被害に遭う可能性は常にあるとの前提で備えるしかないことに変わりはありません。
ちなみに、身代金を支払っている割合は調査によって大きく異なっており、はっきり言ってしまうと「実態は分からない」のが現実です。「支払うべきではない」のはその通りなのですが、少なくとも海外では、身代金の金額などを恐喝者と交渉するプロの「交渉人」がビジネスとしてすでに成立しており、実際、身代金を支払ってしまうケースは決して少なくないことだけは確かのようです。そういった現実も、身代金支払い報告義務化の背景にあると考えるべきでしょう。
- The Record from Recorded Future News(2025年5月30日)
Australian ransomware victims now must tell the government if they pay up - https://therecord.media/australia-ransomware-victims-must-report-payments
- The Register(2025年5月31日)
Aussie businesses now have to fess up when they pay off ransomware crims - https://www.theregister.com/2025/05/31/australian_ransomware_reporting/
- Shige Tanimoto(2025年6月1日)
豪州、ランサムウェア支払いの報告義務化へ:企業に突きつけられた ― “透明性”という名の挑戦 - https://medium.com/@shigetanimoto/5904e38e6dcb
- オーストラリア税務局
Penalty units - https://www.ato.gov.au/individuals-and-families/paying-the-ato/interest-and-penalties/penalties/penalty-units
- 欧州委員会(2025年1月15日)
Commission unveils action plan to protect the health sector from cyberattacks - https://ec.europa.eu/commission/presscorner/detail/en/ip_25_262
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。