ネット犯罪の通報は88万件超で前回調査から増加、米IC3が最新版レポートを公開

米国インターネット犯罪レポート2023年版

　米連邦捜査局（Federal Bureau of Investigation、以降FBI）のインターネット犯罪苦情センター（Internet Crime Complaint Center、以降IC3）は、年次報告書「インターネット犯罪レポート（Internet Crime Report）」の2023年版を公開しました。これは2023年にインターネット犯罪についてIC3に寄せられた通報をまとめたものですが、米国内で起きたインターネット犯罪の全てを網羅しているものではないことに注意が必要です。その一方で、犯罪の影響は米国内に限定されていません。

　主要なポイントとしては以下のような点が同レポートの「INTRODUCTION」で紹介されています。それぞれの概要を紹介します。

1. IC3が受理した通報は88万418件、潜在的損失は125億ドル超
2. 被害額が大きかったのは投資詐欺、ビジネスメール詐欺、技術サポート詐欺
3. 年齢層によって被害を受ける犯罪に異なる傾向
4. 2023年もランサムウェアは引き続き多大な被害
5. IC3の資産復旧チームの成功

1. IC3が受理した通報は88万418件、潜在的損失は125億ドル超

　2022年と比較して、受理件数は10％近く増加、被害総額（潜在的損失）は22％増加しているが、あくまで氷山の一角である。例えば、FBIがHiveランサムウェアグループのインフラを調査したところ、Hiveの被害者のうち法執行機関に報告していたのは約20％のみであることが判明している。

過去5年間の通報件数と被害総額の推移

　IC3が受理した通報の内訳として犯罪種別ごとにまとめたものは以下の画像の通り。Tech Support（技術サポート詐欺）、Extortion（恐喝）、Non-Payment/Non-Delivery（非支払い詐欺／非配達詐欺）、Personal Data Breach（個人データ侵害）、Phishing（フィッシング詐欺）に分類している。

過去5年間の通報件数上位5つの犯罪種別

2. 被害額が大きかったのは投資詐欺、ビジネスメール詐欺、技術サポート詐欺

　被害額が最も大きかったのは投資詐欺で、2022年の33億1000万ドルから2023年には45億7000万ドルへと38％増加。

IC3に通報された投資詐欺の被害額

　上記グラフの赤い棒は、投資詐欺の被害額のうち、暗号資産（仮想通貨）に関連したもので、2022年の25億7000万ドルから2023年には39億4000万ドルへと53％増加。

　2番目に大きかったのはビジネスメール詐欺（Business Email Compromise、以降BEC）で、通報件数は2万1489件、被害額は29億ドル超。

　3番目に大きかったのは技術（およびカスタマー）サポート詐欺で、通報件数は3万7560件、被害額は9億ドル超。さらに政府機関をかたる詐欺を含めると、通報件数は5万1750件、被害額は13億ドル超。

（右から）通報件数、被害額、前年比

3. 年齢層によって被害を受ける犯罪に異なる傾向

　投資詐欺の通報者で最も多いのは30～49歳であるのに対し、技術サポートやカスタマーサポート、政府機関をかたる詐欺については通報者の40％が60歳以上であり、その被害額はこれらの詐欺による被害額全体の58％にあたる7.7億ドル超。

投資詐欺に関するIC3への通報者の年齢分布（年齢層不明の通報者は含まれず）

4. 2023年もランサムウェアは引き続き多大な被害

　2022年に一時的に減少した後、ランサムウェアのインシデントは再び増加し、2825件を超える通報があった。これは2022年から18％の増加に相当する。通報された被害額は、3430万ドルから5960万ドルへと74％増加した。サイバー犯罪者は戦術の調整を続けており、FBIは、同じ被害者に対する複数のランサムウェア亜種の展開や、被害者への交渉圧力を高めるためのデータ破壊戦術の使用など、ランサムウェアの新たな傾向を確認している。

5. IC3の資産復旧チームの成功

　サイバー被害者の支援とパートナーシップの促進に対するFBIの取り組みにより、IC3の資産復旧チーム（Recovery Asset Team、以降RAT）の継続的な成功が可能になった。2018年に設立されたRATは、金融機関とFBIの現地オフィスとのコミュニケーションを効率化し、（ビジネスメール詐欺などの）被害者の資金凍結を促進している。2023年に、IC3のRATは7億5805万ドルの被害を生む可能性のあった3008件のインシデントに対して金融詐欺キルチェーン（Financial Fraud Kill Chain、以降FFKC）を実施し、71％にあたる5億3839万ドルの凍結に成功した。

資産復旧チームの実績

RATの成功事例1：ニューヨーク

　2023年3月、IC3は、BECインシデントによる5000万ドルの被害についてニューヨーク州ニューヨーク地域の重要インフラ建設プロジェクトの団体から通報を受けた。RATは直ちにFFKCリクエストを振込先金融機関に送信し、口座内で449万36460ドルが凍結されたとの連絡を受けた。セカンドホップ（訳註：最初の振込先金融機関からさらに別の金融機関への送金）の情報は最初の振込先金融機関によって提供され、RATはさらに2つの振込先金融機関への二次電信を追跡した。二次電信に対するFFKCについては、追加で100万8526ドルの凍結が報告された。

RATの成功事例2：コネチカット州

　2023年3月、IC3は、不動産取引に関連するBECについてコネチカット州スタンフォード地域に居住する個人から通報を受けた。この人物は住宅購入手続き中で、弁護士と思われる人物から、最終手続きを完了させるために金融機関に42万6000ドルを電信送金するよう指示するなりすましメールを受け取った。電信送金から2日後、その指示はなりすましメールからのものであることが判明した。通報を受けて、IC3 RATは直ちにFFKCプロセスを開始し、不正な受取人の銀行口座を凍結した。国内の振込先金融機関と地元の警察署との協力により、42万5000ドルが凍結されて被害者に返還され、不動産取引を完了できることが確認された。

RATの資金凍結プロセス

資金凍結プロセス

　日本でも警察庁が同様のデータを公開しており、2023年の目立ったインターネット犯罪としては、SNSを使った投資詐欺や国際ロマンス詐欺による被害が大きく増加しています。また、このような犯行手段としてインターネットが使われる詐欺の被害は約772億4000万円で、2022年から倍増、詐欺全体の被害額の47％を占めていることが明らかになっています。一方、フィッシングを起点とする不正送金による被害も急増しており、被害件数、被害額ともに過去最多を更新しています。

　日本のデータは米国とは集計や分類の仕方が異なるため、そのまま比較はできません。それでも、2023年に発生した情報セキュリティ事案をもとに情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威2024」を見ても明らかなように、脅威自体は日本と米国で大きく異なるものではないでしょう。「違う視点」からまとめられたデータとして、今回の米国のレポートも大いに参考になるはずです。

　ところで、今回紹介したレポートで特に興味深いのはIC3のRATの取り組みです。日本でもIPAのウェブサイトで、BECに遭って送金してしまった偽の振込先口座が米国にある場合は、FBIやIC3へ通報することも有効であると明記されています。

　今のところ日本でBECなどの被害に遭って送金してしまった場合は、金融機関に自ら連絡しなければなりませんし、それとは別に警察への通報も自分で行わなければなりません。日本でも米国のような一元化された窓口があれば、被害者の救済はより効率的に行われるようになるはずです。もちろん、通報の正当性の確認など、手続きの難しさがあるだけでなく、さまざまな法整備が必要となるため、日本での実現は容易ではないでしょうが、まずは米国での状況を注視しつつ、日本の実情に合った制度設計を期待したいです。