イギリスが公共部門やインフラ担当のランサムウェア攻撃への身代金支払いを禁止へ

イギリス政府が、公共部門や重要インフラの担当に対し、ランサムウェア攻撃を受けた場合でも、身代金を支払うことを禁止する方針を明らかにしました。

UK to lead crackdown on cyber criminals with ransomware measures - GOV.UK
https://www.gov.uk/government/news/uk-to-lead-crackdown-on-cyber-criminals-with-ransomware-measures

UK to ban public sector orgs from paying ransomware gangs
https://www.bleepingcomputer.com/news/security/uk-to-ban-public-sector-orgs-from-paying-ransomware-gangs/

UK to ban ransomware payments by public sector organizations • The Register
https://www.theregister.com/2025/07/22/uk_to_ban_ransomware_payments/

ランサムウェアは、被害者のPC内のシステムやデータを暗号化して「人質」にし、暗号化を解除するのと引き換えに身代金を要求するサイバー攻撃で用いられます。イギリスでは毎年、ランサムウェアによって数百万ポンド(数億円)単位の被害が出ています。

イギリス政府はこうした被害から病院や企業、重要サービスを守るための措置を執ることを決定し、この措置下において、国民保健サービス(NHS)、地方議会、学校などの重要インフラ担当や公共部門が、ランサムウェア攻撃者に対して身代金を支払うことを禁止する方針を示しました。内容は決定事項ではありませんが、協議の回答者のうちほぼ75％が支持しているとのこと。

禁止措置は「重要インフラや公共部門を攻撃しても身代金を取ることができない」と知らしめることで、ランサムウェア集団にとって魅力的な標的ではなくなることを意図したものです。

なお、「身代金支払いの禁止」の対象外となる企業でも、ランサムウェアの攻撃を受けて身代金を支払う場合、政府に通知する必要があります。通知を受けた政府は、身代金の支払いが制裁対象となっているサイバー犯罪グループへの送金とみなされて違法行為になる場合、企業にその旨を伝えて、助言と支援を行います。

また、ランサムウェア集団を厳しく追い詰めていくために、ランサムウェア攻撃を受けた際の通報の義務化も検討されています。

セキュリティ大臣のダン・ジャービス氏は「ランサムウェアは国民を危険にさらし、生活を破壊し、私たちが信頼するサービスを脅かす、略奪的犯罪です。だからこそ我々は『変革のための計画』を実現する中で、サイバー犯罪のビジネスモデルを粉砕し、信頼するサービスを守る決意です。産業界と協力してこれらの対策を進めることで、イギリスはランサムウェアとの戦いで一致団結しているという明確な意思を示すことになります」とコメントしました。

イギリスでは2024年に医療サービスを標的としたランサムウェア攻撃を受け、大きな混乱が発生しています。

ランサムウェア攻撃で病院のシステムが停止し輸血や手術が行えなくなる非常事態が発生、ロンドンの複数の病院が混乱に陥り予定されていた分娩もキャンセルに - GIGAZINE