2025年インターネット犯罪報告書:被害総額約210億ドル | フィッシング詐欺とAI詐欺
連邦捜査局(FBI)のインターネット犯罪通報センター(IC3)は、昨年IC3に報告されたインターネット犯罪をまとめた「2025年インターネット犯罪報告書」を発表した。
フィッシングやなりすましに関する通報件数がわずかに減少したのは喜ばしいことですが、これらは依然として最も多く報告されているサイバー犯罪であり、通報総数1,008,597件のうち19%を占めており、これはIC3がこれまでに記録した中で最多の件数となっています。
報告件数が過去最多を記録したことに伴い、損失額も過去最高となる約210億ドルに達し、2024年の過去最高記録を26%上回った。
金銭的被害額の増加は、8,648,617,756ドルに上る投資詐欺による被害と、3,046,598,558ドルに上るビジネスメール詐欺(BEC)による被害が主な要因であり、これらを合わせると、2025年のインターネット犯罪による被害総額の半分以上(56%)を占めている。
複合的な脅威:フィッシングとBEC
ビジネスメール詐欺(BEC)は、ソーシャルエンジニアリングを用いたスピアフィッシング攻撃の一種であり、通常、実行に不正なリンクやマルウェアを必要としません。大量のメールを送りつけるフィッシングキャンペーンとは異なり、BECでは、経営幹部を装った、極めて的を絞った個人向けのメールを使用し、従業員を騙して資金の送金や認証情報の開示を行わせようとします。
こうしたメールは通常、乗っ取られたメールアカウント、セキュリティ対策が不十分なメールドメイン、あるいはドメインのなりすましによって送信されます。フィッシングが主な侵入経路となり、BECはその致命的な標的型攻撃として機能します。
フィッシングとBECが連携して犯罪利益を得る仕組みの一例を以下に示します:
- 被害者を誘い込む:サイバー犯罪者は、アカウントやネットワークへのアクセス権を得るためにフィッシングメールを送信する。
- 観察段階:悪意のある攻撃者がアクセス権を取得すると、時間をかけてメールの送信パターンや内容を観察し、その後、BEC攻撃の準備を整えます。
- 手口:侵入者は役員、取引先、または社内の部署を装い、従業員を騙して犯罪者の銀行口座へ資金を振り込ませる。
BEC、フィッシング、およびスプーフィングを合わせると、報告された犯罪全体の21%を占め、苦情件数は計216,329件、被害総額は30億ドル以上に上る。
ITセキュリティ用語は、非常に専門的になりがちです。当社の「DMARC用語集」は、難解な専門用語の迷路を解きほぐすお手伝いをします。追加すべき用語があれば、ぜひお知らせください!
2025年、IC3に報告された被害額は増加の一途をたどり、200億ドルの大台を突破しました。 投資関連の詐欺が再び被害額の最大の割合を占め、次いでビジネスメール詐欺、テクニカルサポート詐欺が続いた。FBIは引き続き、悪意あるサイバー攻撃者を阻止・抑止し、被害者から敵対者へとコストを転嫁している。その一例が、仮想通貨投資詐欺に対抗した「オペレーション・レベルアップ」である。このFBI主導の取り組みにより、2024年以降、潜在的な被害額を5億ドル以上削減することに成功した。
—ホセ・A・ペレス、FBIサイバー・犯罪部門 運用部長
人工知能(AI)の台頭
22,364件の苦情と8億9,334万6,472ドルの被害額という数字を伴い、AIは今年の「インターネット犯罪報告書」において、大きな話題を呼ぶ形で初登場を果たした。 BEC詐欺において、チャット生成ツールを使えば、経営幹部やその他の社員を装った、現実味があり、誤りのない、ソーシャルエンジニアリングを駆使したメールを簡単に作成できてしまう。AIの導入が、しばしば適切な規制なしに加速し続ける中、AIを利用したインターネット犯罪に特化したセクションが設けられるのは、今年の報告書が最後ではないと予想される。
ICS創立25周年
今年で設立25周年を迎えるIC3は、インターネット関連の犯罪に関する通報を収集・分析し、それに基づいて対応を行うことを目的として2000年に設立されました。同機関は、一般市民がサイバー犯罪に関する情報をFBIに通報するための仕組みを提供するとともに、通報者を支援するため、法執行機関や業界パートナーとの効果的な連携体制を構築しています。収集された情報は、法執行機関による捜査や情報活動、および一般市民への啓発を目的として分析・提供されています。
増加するサイバー犯罪に対処するため、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、更新版「セクター横断型サイバーセキュリティ・パフォーマンス目標」を発表しました。これは、「リスク低減効果が実証されており、重要インフラ全般に広く適用可能なサイバーセキュリティ対策の基準セット」です。このパフォーマンス目標において、CISAは、SPFおよびDKIMを有効化し、フィッシング攻撃からドメインを保護するための最終的なDMARCポリシーである「p=reject」ポリシーを設定したDMARCを導入することを推奨しています。
同様に、CISAとFBIが発行した「#StopRansomwareガイド」においても、DMARCはフィッシング、BEC(ビジネスメール詐欺)、ドメインなりすましに対する基本的な防御手段とされています。フィッシングや悪意のあるメールはランサムウェアの主要な攻撃経路であるため、同ガイドでは、攻撃者が組織を装ったメールを送信できないようにするため、DMARCの導入を推奨しています。
世界各国で策定が進むDMARCの義務化動向とガイドラインの一覧をご覧ください。
FBIは、インターネット上の犯罪行為の疑いがある場合は、IC3に通報するよう呼びかけています。インターネット犯罪を通報することで、被害者は法執行機関にその事実を知らせるだけでなく、サイバー犯罪との闘いに貢献することにもなります。
dmarcianが提供できる支援
dmarcianは、メールセキュリティの専門家チームを擁し、ドメインセキュリティを通じてメールとインターネットの信頼性を高めることを使命として、フィッシングやなりすまし対策に取り組んでいます。当社はお客様のドメインを評価し、DMARCを長期的に導入・運用するために必要なツールと専門知識をご提供いたします。
さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。
