少ない犯行で大金を奪うサイバー犯罪の被害とは
企業や個人を狙うランサムウェア、フィッシングといったサイバー犯罪に注目が集まっている。だが、被害額が大きいのは少し毛色が異なる犯罪だという。
現在のサイバー犯罪の主力はIPAの「情報セキュリティ10大脅威」に挙がっているようなものだと思い込みやすい。ランサムウェア攻撃やサプライチェーン攻撃、脆弱(ぜいじゃく)性を狙った攻撃だ。
だが政府機関による調査からは、少し違った傾向が見えてきた。被害額が大きいサイバー犯罪は何だろうか。
少ない犯行で大金を奪うサイバー犯罪の被害とは
日米のサイバー犯罪の違いから見てみよう。
連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)は、2024年版のインターネット犯罪報告書を発表した(注1)。
同報告書によると、2024年にサイバー詐欺やインターネット犯罪によって米国人が失った額は166億ドルであり、2023年比で33%増だった。
「フィッシング/なりすまし」(19万3407件)、「恐喝」(8万6415件)、「ハラスメント/ストーキング」(1万1672件)、「個人データの漏えい」(6万4882件)が苦情件数の上位3位を占めた。
だが、被害額が最も大きかったのは「投資詐欺」(約65.7億ドル)と「ビジネスメール詐欺」(約27.7億ドル)だった。
IC3による最新の報告書から分かることは2つある。第一に米国におけるサイバー脅威の傾向や規模だ。第二に米国人に深刻な被害をもたらしているのはゼロデイ脆弱性などではなく、一般的なインターネット詐欺だということだ。
興味深いことに、投資詐欺は被害額が最大なのに報告件数では5番目(4万7919件)だった。つまり個々の投資詐欺の規模が大きい。投資詐欺の被害額は2023年よりも20億ドル増加しており、犯罪者にとってますますもうかる手段になっている可能性が高い。暗号通貨を利用した大規模な詐欺を比較的容易に実行できることが原因の一つだろう。
日本の犯罪の特徴は
本文で取り上げたような犯罪を警察庁は「特殊詐欺及びSNS型投資・ロマンス詐欺」としてまとめている(発表資料)。警察庁の言う特殊詐欺とは「被害者に電話をかけるなどして対面することなく信頼させ、指定した預貯金口座への振込みその他の方法により、不特定多数の者から現金等をだまし取る犯罪(現金等を脅し取る恐喝及びキャッシュカード詐欺盗を含む)の総称」だ。
2024年における特殊詐欺の件数は2万1043件で2023年比10.5%増、被害額は718.8億円(同2023年比58.8%増)だった。
件数別では「オレオレ詐欺」(6752件)、「架空料金請求詐欺」(5716件)、「還付金詐欺」(4070件)、金額別では「オレオレ詐欺」(約458億円)が突出して多く、第2位は「架空料金詐欺」(約134億円)だった。犯罪の分類が日米で異なるため、直接の比較はできないものの、件数や被害額が急増している点では米国と同じ傾向を示している。ただし、米国と比較すると規模はまだ小さい。
警察庁の統計では、被害者をだます手段として犯行の最初に用いられたツールは電話(79.0%)、メール・SMS(10.0%)、ポップアップ表示8.8%、はがき・封書など2.2%だった。IC3の報告書でも電話やメール、SMSなどが手段としてよく使われていると書かれているが、手段ごとの比率は明示されていなかった。(キーマンズネット編集部)
本当に恐ろしいのはデジタルではなく、口車
攻撃や詐欺の手法についてFBIの報告書から分かることは他にもある。例えば、botネットによる年間の被害額は約896万ドルと比較的少ない一方で、SIMスワッピング攻撃による被害額は約2598万ドルに達した。法執行機関や民間の調査リソースをどこに向けるか、見直す必要があるだろう。
他のデータからは、技術的な脆弱性を悪用する攻撃と、人間の弱点を突く攻撃との間にある影響力の差が見えてくる。テクニカルサポート詐欺や政府職員になりすます詐欺、信頼や恋愛感情を悪用するロマンス詐欺をはじめとして、最も被害額の大きい犯罪の幾つかは、マルウェアではなく説得力のある手口が重視されている。
インターネット犯罪の中でも特に金銭的被害が大きいビジネスメール詐欺は、説得力のある手口に依存している。連邦機関はこれまでにも、こうした脅威を警戒するよう広く注意を喚起してきた(注2)。
出典:BEC scams, investment fraud accounted for biggest cybercrime losses in 2024(Cybersecurity Dive)
注1:Internet Crime Report 2024(Internet Crime Complaint Center)
注2:FBI, CISA warn of heightened risk of BEC attacks during holiday season(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
だまされる理由、全部明かします セキュリティのプロが教えるサイバー詐欺の心理戦
サイバー犯罪は金品を盗み出す方向から詐欺へと変化している。これは警察庁が発表した統計からも明らかだ。では、どうすればこのような詐欺に対抗できるのだろうか。ラックの専門チームが語った。
日本人1人当たり年間約2000円のサイバー詐欺 解決に向けた動きとは
SNSを利用した詐欺に対抗するにはどうしたらよいだろうか。デジタルサービスの作り込みの甘さや犯罪報告の難しさ、被害者が感じる恥ずかしさといった点が課題になりそうだ。「詐欺対策カンファレンスJapan 2025」の内容を紹介する。
Teamsユーザーを狙ったメール詐欺を防げない理由
「ビジネスメール詐欺」は企業を主に狙うサイバー攻撃だ。Microsoft Teamsを利用した新しいビジネスメール詐欺が始まった。