SHARE:
コラム

コラム:米国におけるサイバー犯罪の実態・被害

増永 建太郎
米国におけるサイバー犯罪は多様化と高度化を続け、被害総額は大きく、特に詐欺(BEC等)とランサムウェアが経済的被害の中核を占めている。
サイバー攻撃のイメージ(Getty Images)
現状(2025年12月時点)

2025年12月時点で、米国におけるサイバー犯罪は量的にも質的にも拡大と変化を続けている。被害の報告件数は依然として高水準にあり、特に金銭的損失が目立って増加している。連邦捜査局(FBI)のインターネット犯罪苦情センター(IC3)がまとめた2024年の報告によると、2024年に寄せられた苦情は約85万9000件で、報告された被害総額は約166億ドルに達し、前年から大幅に増加している。これらの数字は氷山の一角であり、実際の被害は報告されていない分を含めさらに大きい可能性が高い。

米国におけるサイバー犯罪の実態・被害(総括)

米国で観測されるサイバー犯罪の特徴は次の通りである。第一に、詐欺系の被害が依然として総被害額の大半を占めていること。特にビジネスメール詐欺(BEC)や投資詐欺、偽請求などのソーシャルエンジニアリング系手口による金銭被害が顕著である。第二に、ランサムウェアの被害は組織被害(業務停止、データ暗号化、復旧コスト)を通じて直接的な経済的打撃を与えるが、暗号資産のトラッキングと法執行の連携により身代金受け取り額は一部で減少傾向が見られる一方、攻撃の巧妙化と多様化は続いている。第三に、高度化したサプライチェーン攻撃やクラウドサービスを狙う攻撃、AIを悪用したソーシャルエンジニアリング(ディープフェイク含む)など新たな脅威が台頭している。これらは単独の組織や個人の被害を超えて、重要インフラやサプライチェーン全体へ波及する危険性を持つ。

主な実態

  1. 被害件数と金額の拡大
    2024年に報告された約86万件の苦情と約166億ドルの被害額は、件数自体は横ばいあるいは微減でも、1件当たりの被害額が増えた結果として総額が拡大した点が重要である。被害の多くは詐欺・フロード関連で、特に高額被害を出すケースが増えている。

  2. 犯罪のサービス化(Ransomware-as-a-Service等)
    ランサムウェアは攻撃ツールやインフラが「サービス」として販売・貸与される形態(RaaS)により底辺にある攻撃者から高度なグループまで幅広く使われている。この結果、攻撃の敷居が低下し、多様な業種へ拡散している。

  3. 暗号資産の役割変化
    暗号資産(仮想通貨)は依然として身代金の受け取りや資金移動に用いられるが、トラッキング技術の向上や法執行機関の介入により、攻撃者の収益は変動している。例えば2024年のランサム受取額は2023年の最高値から減少したという分析がある。

  4. 新興手口の登場とAI悪用の増加
    いわゆる「ピッグ・ブッチャリング」(長期的に信頼を築いて大金をだまし取る手口)や、AIを使った偽音声・偽動画による詐欺、ディープフェイクを用いた詐欺が注目されている。これらは人的な脆弱性に付け入る点で従来のフィッシングを進化させている。

被害の増大(要因分析)

被害が増大している背景には複数の要因がある。まず、デジタル化の進展により企業や個人のオンライン依存度が高まり、攻撃面(アタックサーフェス)が拡大したこと。次に、攻撃者側の市場化(ツールやハウツーの流通)により、技術力の低い者でも大規模被害を引き起こせるようになったこと。さらに、サプライチェーンやクラウドへの攻撃が成功すると波及効果が大きく、単一事業者の被害が複数の組織に連鎖する点がある。加えて、被害の違法収益化手段(暗号資産、マネーロンダリング)の改善・巧妙化も見られる。これらが同時進行で起きているため、被害総額は増える構図になっている。

最も多い犯罪手口

総件数ベースではフィッシングや詐欺関連が最も多い。IC3の報告では、詐欺(fraud)系の苦情が件数・金額ともに支配的であり、特にビジネスメール詐欺(BEC)や投資詐欺が高額化している。フィッシングは被害者を騙して認証情報や資金移動を誘導するため、依然として最も頻度の高い入り口である。

最も被害額が大きい犯罪

金額ベースではビジネスメール詐欺(BEC)と大規模な投資詐欺(ピッグ・ブッチャリング等)、およびランサムウェアによる企業被害が目立つ。IC3の統計や業界レポートを総合すると、詐欺系の総合額が最大であり、その中でBECは被害額・被害件数ともに上位に位置する。ランサムウェアは被害総額の中では必ずしも最大の占有率を常に持つわけではないが、被害1件あたりの経済的・業務的インパクトが極めて大きく、復旧コストや業務停止損失を含めると全体的被害額に与える影響は大きい。

ビジネスメール詐欺(BEC)

ビジネスメール詐欺は企業の財務部門や経理担当者、サプライヤーとの支払ワークフローを狙って正規の取引を装い資金を不正送金させる手口である。BECは通常、盗用したメールアカウントや巧妙に偽装されたドメイン、内部情報を用いて成りすましを行う。IC3のデータではBECが継続的に高額な被害を出しており、過去数年で数十億ドル規模の損失を記録している。被害抑止のためには多要素認証(MFA)、送金手続きの二重チェック、サプライヤー情報の検証、従業員教育が重要である。

ランサムウェア

ランサムウェアは依然として主要な脅威であり、企業や地方自治体、ヘルスケア機関、教育機関など多様なターゲットを襲っている。近年の傾向としては、データ暗号化だけでなく「データ窃取→公開予告(ダブルエクストーション)」を組み合わせる手法が常態化している。2024年におけるランサム支払い総額は2023年のピークから減少したという解析もあるが、攻撃の頻度や変種の発生、身代金以外の損失(復旧コスト、営業損失、 reputational damage)は依然として重大である。さらに、ランサムウェアグループの一部には国家支援や特定国の事実上の庇護の下で活動するものも存在し、摘発と資産凍結が進められているが、完全な抑止には至っていない。

最も狙われる層

ターゲットは幅広いが、特に狙われやすいのは以下の層である。

  • 中小企業(SMB):防御リソースが限られ、セキュリティ対策が不十分なため侵入・被害が多い。

  • 医療機関・ヘルスケア:患者データの機密性と業務継続性の重要性から攻撃者にとって高価値ターゲットである。

  • 公共インフラ(地方自治体、教育機関):しばしば老朽化したITと限定的な予算により脆弱であり、攻撃により行政サービス停止を引き起こす危険がある。

  • 高資産個人・高齢者:投資詐欺やロマンス詐欺、電話詐欺の標的になりやすく、単発の非常に大きな金銭損失を被ることがある。

政府による主な対策

米国連邦政府は複数の機関を通じて対策を講じている。FBIは捜査と被害者支援を、司法省(DOJ)は攻撃者の起訴や資産押収を、国土安全保障省(DHS)傘下のサイバー・インフラ安全保障庁(CISA)は予防的ガイダンスや重要インフラ保護、情報共有を担っている。2020年代中盤以降、米国はランサムウェア対策の強化、暗号資産を使った犯罪への対処、重要インフラのレジリエンス強化に重点を置いている。DOJは国際協力による主要メンバーの摘発や、暗号資産の追跡・没収を活発化させている。

重要インフラ保護の強化

重要インフラ(電力、通信、金融、医療、交通など)に対しては、規制・ガイダンス・演習を通じた強化が進んでいる。CISAは脆弱性情報の共有、脅威インテリジェンスの提供、事業者向けの技術ガイダンスやインシデント対応支援を行い、重要分野でのセキュリティ基準の順守を促進している。また、産業別サイバーセキュリティ基準(例:電力や金融のセキュリティガイドライン)と連携し、サプライチェーンの安全性向上や第三者リスク管理が重点課題になっている。

サイバー・インフラ安全保障庁(CISA)の役割

CISAは連邦レベルでの「ハブ」として以下の役割を果たす。

  • 脅威情報の収集・配信:官民での情報共有を円滑にし、迅速な対応を促す。

  • 技術ガイダンスの発行:脆弱性対策、ランサムウェア対応、クラウドセキュリティ、AIセキュリティなどの実践的ガイドを提供する。

  • インシデント対応支援:重大インシデント時には連携体制を整え、被害評価や復旧支援を行う。

  • 重要インフラ事業者への監督・支援:セキュリティ基準適用の促進や模擬演習の実施を支援する。
    CISAは2024–2025年にかけてランサムウェア対策やAI関連の安全指針を更新しており、民間と連携した対応を強化している。

規制・基準の強化

米国では連邦政府レベルおよび業界レベルで規制と基準の強化が進んでいる。金融業界や電力、ヘルスケア分野ではそれぞれ業界特有の規制(報告義務、最低セキュリティ要件、インシデント対応プロトコル等)が強化されている。加えて、サプライチェーン安全を重視した入札・契約条件の見直しや、サードパーティ管理の強化が進んでいる。連邦政府は重要事業者に対して報告義務やセキュリティ標準準拠を求める動きを強め、違反時の行政措置や民事罰の整備も議論されている。

国家戦略とデータ保護

国家レベルではサイバーセキュリティ戦略が定期的に更新され、データ保護とプライバシーの枠組みづくりが進められている。連邦の各機関は機密データ保護、クラウド移行時のセキュリティ確保、AIシステムにおけるデータガバナンスと透明性の確保を重点項目としている。連邦政府はまた、民間と共同で標準を策定・促進し、サイバーリスクの管理・報告フレームワークの普及を図っている。これは企業のセキュリティ投資を促し、被害の早期発見と被害軽減を目指すためである。

国際連携と技術開発

米国はサイバー犯罪対策において国際協力を重視している。主要な進展は次のとおりである。

  • 国際捜査協力:ランサムウェア運営者やマネーロンダリングの中継拠点を摘発するために、複数国による同時捜査や引き渡し事案が増えている。DOJやFBIは国際的な法執行パートナーと共同で大規模グループを摘発している。

  • 技術開発と公開ツールの整備:暗号資産トラッキングや脅威ハンティングツール、オープンな脅威インテリジェンス共有プラットフォームの整備が進む。これらは法執行・産業の両面で有効だが、攻撃者も同様にツールを利用するため「攻防の先鋭化」が続く。

専門家データ・研究結果(抜粋)

  • IC3(FBI)の2024年報告:2024年の苦情数は859,532件、被害総額は約166億ドル。平均報告損失は約19,372ドルで、256,256件が実際の金銭被害を報告している。これらは2024年の公式な統計として被害のスケールを示す基礎データである。

  • Chainalysisの解析(2024–2025):ランサムウェアによる暗号資産受取額は2024年に約8.13億ドルと評価され、前年より減少したが、ブロックチェーン追跡と法執行への圧力が一因である。これは暗号資産流入が完全に止まったわけではなく、攻撃者の手口や資金回収ルートの変化を示す。

  • SophosやCoveware等の業界レポート:ランサムウェア被害からの復旧コストは近年短縮される傾向があり、企業の復旧能力が向上しているものの、身代金以外のコスト(ダウンタイム・信用失墜・法的対応)が依然高い。セキュリティ投資と事前準備の有無が被害規模に強く影響するとしている。

被害軽減のための有効策

  1. 多要素認証(MFA)の全面導入とフィッシング耐性の向上。

  2. 重要システム・データの分離と定期的なバックアップ(オフサイトかつ検証済み)。

  3. 送金フローの二重承認・検証プロセスの導入(BEC対策)。

  4. サードパーティ・サプライヤー評価と連続的な監査。

  5. インシデント対応計画(IRP)の整備と定期演習、CISOと経営層の連携強化。

  6. 暗号資産の受取監視・ウォレット分析の活用。
    これらは報告書や実務家の推奨と一致している。

今後の展望

短中期的には次のトレンドが予想される。

  • AI・自動化の二面性:AIは防御側の検知・解析を強化する一方で、攻撃者はソーシャルエンジニアリングの精度向上や自動化攻撃にAIを用いるため、攻防の高度化が進む。

  • 規制強化と報告制度の普及:被害報告の義務化やサイバーインシデントに対する早期通報制度が拡大し、透明性は高まるが、事業者のコンプライアンス負担は増す。

  • 国際法執行の深化:主要犯罪グループの国際的摘発が増える一方で、国家間の政治的駆け引きや法制度の差が対応の難しさを残す。

  • インフラ防御の投資増加:重要インフラ事業者における投資が進み、復旧力(レジリエンス)重視の設計が標準化される兆候がある。

中長期的には、サイバー安全保障は単なるIT運用リスクから国家安全保障・経済安全保障の中核に移行する。産業界と政府の役割分担、国際ルール作り、標準化されたサイバー保険市場の成熟、そして技術的な防御基盤(ゼロトラスト、セキュア・ソフトウェア開発、暗号資産に代わる安全な決済仕組み等)の整備が鍵となる。

まとめ

米国におけるサイバー犯罪は多様化と高度化を続け、被害総額は大きく、特に詐欺(BEC等)とランサムウェアが経済的被害の中核を占めている。政府(FBI、DOJ、CISA等)は捜査・摘発・予防ガイダンスの両面で活動を強化しており、企業側も技術・運用面での防御を進めている。しかし、攻撃者の市場化、国際的な法執行ギャップ、AIの悪用といった構造的課題が残るため、今後も官民連携、国際協力、技術革新を組み合わせた総合的な対策が必要である。

この記事が気に入ったら
フォローしよう
最新情報をお届けします