米国司法省は、サイバー攻撃やデータ侵害の報告を怠った国の契約企業に対して、今後、民事訴訟で起訴すると発表した。
今週、副司法長官のLisa Monaco(リサ・モナコ)氏が導入したCivil Cyber-Fraud Initiative(民事サイバー詐欺対策)は、既存のFalse Claims Act(FCA、不正請求防止法)を利用して「政府契約企業や助成受給者によるサイバーセキュリティ関連の不正行為を追及する」。
司法省のプレスリリースによると、この政策は国の契約企業や個人が、欠陥のあるサイバーセキュリティプロダクトやサービスを故意に提供して、米国のサイバーインフラストラクチャを危険にさらした場合、彼らの責任を問うものだ。同じく政府契約企業はこれからは、サイバーセキュリティのインシデントと侵害を監視し報告することを怠った場合「義務違反」で処罰される。
これは、政府機関を狙った大量のハッキング行為に対する、バイデン政権の最新の対応だ。被害者の中には、財務省や国務省、国土安全保障省まで含まれていた。その後法務省は、ロシアの外国諜報サービスであるSVRのために仕事をしていたハッカーたちの、スパイ行為を非難している。ロシアのハッカーはSolarWindsのネットワークに侵入し、企業のネットワークとデバイス群をモニターするOrionソフトウェアにバックドアを仕込んだ。そしてそれを、汚染されたソフトウェアアップデートにより顧客のネットワークに直接押し込んだ。
関連記事
・NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道
・FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
司法省によれば、このような、下請けレベルのセキュリティ強化により、公共部門におけるサイバーセキュリティの侵犯に対する「広範囲な耐性」を得ることができ、また、広く使われているプロダクトとサービスにある脆弱性を政府が見つけてパッチを作成し配布できるようになる。企業が政府のセキュリティ基準を満たせなかったときには、損失の回復を企業に要求できる。
副司法長官モナコ氏は次のように語る。「侵害はそれを報告して、公にするよりも隠した方がリスクが少ないという間違った信念により、企業はあまりにも長年、沈黙を選んできました。それが、今日から変わります。本日の発表によりこれからの私たちは、私たちの民事請求ツールを使って企業を追及できるようになります。彼らは国のお金をもらっている政府契約企業であり、必要なサイバーセキュリティのスタンダードに従うことができなければ、私たち全員を危険にさらすことになるからです。これは、納税者のお金が適切に使われて、国庫と国への信頼が確実に守られるようにするためのツールです」。
この政策が発表された時期は、National Cryptocurrency Enforcement Team(米国暗号資産遵法局)が創設された時期でもある。こちらは暗号資産の誤用と犯罪に対する複雑な捜査のために作られた警察的な組織だ。
さらにまた今週は、上院議員Elizabeth Warren(エリザベス・ウォーレン)氏と下院議員Deborah Ross(デボラ・ロス)氏が両院提出の法案Ransom Disclosure Act(身代金開示法)を議会に提出した。同法によると、ランサムウェアの被害者は被害額の大小を問わず48時間以内に詳細を公表しなければならない。
関連記事:ランサムウェアの身代金支払いに関する情報開示を企業に義務付ける米国の新法案
画像クレジット:Andrew Harrer/Bloomberg/Getty Images
[原文へ]
(文:Carly Page、翻訳:Hiroshi Iwatani)
