ランサムウェア攻撃の被害会社らは昨今、新たな局面に直面している。

ウォール・ストリート・ジャーナルによると、アルフヴィー（AlphV）またはブラック・キャット（Black Cat）と呼ばれるランサムウェア犯罪集団は11月中旬に、フィンテック・プラットフォームのメリディアンリンク（MeridianLink）に侵入したことを米証券取引委員会（Securities and Exchange Commission＝SEC）に報告した。

米国内の会社らは、SECの新規則によって、サイバー攻撃被害を届け出ることが12月から義務づけられるが、メリディアンリンクは同規則が発効前であることから被害を報告していなかった。新規則によると、ハックされた会社らは、被害がわかってから４日以内に株主や投資家たちに情報を開示することが義務づけられる。

アルフヴィーは、その新規則が発効するのを待たずにSECに報告することで、暴露の脅威をてこ利用して身代金要求に応じるよう標的会社に圧力をかけるという手法をとった。

メリディアンリンクは、アルフヴィーが攻撃を明らかにしたのち被害を認めた。今回の被害による業務中断は最小限であり、顧客らの個人情報が露出の危険にさらされると判断する場合には、法律にもとづいて通知する、と同社は説明した。

同社は現在、第三者専門家らを雇って調査を進めている。

「メリディアンリンクは、１週間前のサイバー攻撃被害に関してSECの規則を守っていない」「したがって、同社が規則に違反していることをわれわれがSECに報告した」とアルフヴィーは声明で述べた。

リスク管理助言会社クロール（Kroll）の政府担当グローバル責任者ジョン・ベネット氏によると、ランサムウェア攻撃者たちは近年、標的会社の顧客や投資家、さらには従業員の家族にまで身代金支払いの圧力をかけるメッセージを送信するようになっているという。

サイバーセキュリティー専門家らは、アルフヴィーがSECに犯行を報告したことについて、宣伝行為のようなものだと指摘する。隠してもムダだという脅しと言える。

顧客や投資家らを保護することがSECの新規則の目的だが、新規則が会社らをさらに危険にさらすという側面もある、とフレッシュフィールズ（Freshfields）の米国データ・セキュリティー部門責任者ティム・ハワード氏氏は指摘する。同氏は、マンハッタン連邦検事局サイバー犯罪部の元責任者だ。

（Gaean International Strategies, llc社提供）