サイバー犯罪で捕まった人たちの年齢層・性別・国籍は？

　フランスの大手通信事業者Orange（旧フランステレコム）グループのセキュリティベンダーOrange Cyberdefenseは2025年12月に年次報告書「Security Navigator 2026」を公開しました。これは2024年10月1日から2025年8月31日までの11カ月にわたる、世界中の13万9000件を超えるセキュリティインシデントの分析と、独自のサイバー脅威インテリジェンスデータベースおよびオープンソースインテリジェンス（OSINT）の情報源に基づいた調査結果をまとめたものです。

　この年次報告書の主要なポイント以下の5点。

• サイバー恐喝（Cyber Extortion：Cy-X）は世界規模で爆発的に増加しており、被害者数は2020年以降3倍に増加し、最大1万9000の組織に及んでいるとデータが明らかにしている。
• Cy-Xの被害者数の増加は顕著であり、特に、影響を受けた企業の3分の2を占める中小企業などの特定のセグメントでは、サプライチェーンへの攻撃の媒介となっている。また、金融・保険などの重要セクターでは、影響を受けた組織数が71％増加し、医療セクターでは69％、運輸セクターでは67％、それぞれ増加している。
• サイバーセキュリティは地政学的な力学を再構築し、情報を操作している。国家、ハクティビスト、そしてデジタル「マフィア」組織が攻撃に関与していることは、サイバースペースの「バルカン化」という現象を強めている。彼らは、偽情報などの認知攻撃を通じて、民主主義、そして今や経済に対する信頼を損なおうとしている。
• サイバー犯罪市場の産業化は、新たな「サービスとしての犯罪（Crime as-a-service）」モデルと、AIの統合の進展に基づいている。
• しかしながら、国際的な法執行機関間の協力と官民連携は、サイバー犯罪ネットワークの解体において効果を発揮している。

　報告書は表紙などを含めて全96ページ、本文だけでも90ページ近くに及ぶ「大作」で、もはや「学術論文」のような趣すらあります。そのため、確かに内容は充実しているのですが、あまりに文字が多く、「読みたい」と思わせる力が弱いせいか、残念ながら、この報告書の内容を紹介するメディアはほとんどない状態となっています。

　そんな中、報告書の公開から3カ月となる2026年3月になって、英国のIT系メディア「The Register」は、この報告書の数あるトピックの中からサイバー犯罪で逮捕された人物についてまとめた部分のみを取り上げ、「Turns out most cybercriminals are old enough to know better（サイバー犯罪者のほとんどは分別のある年齢だと判明）」のタイトルで記事にしました。なお、この記事の日本語訳を「ScanNetSecurity」が掲載しています。

　「The Register」が注目したのは、その記事のタイトルが示すように、サイバー犯罪者のほとんどが「分別のある年齢（old enough to know better）」であり、映画やドラマなどに登場するステレオタイプの「パーカーを着た10代のハッカー」はごくわずかであるという点です。

　報告書では、2021年から2025年半ばまでに公表された418件の法執行措置に関するデータを分析した結果として、実際に逮捕され、公表されている犯罪者計193人のうち、最も多いのは35歳から44歳で37％、次いで25歳から34歳の30％、18歳から24歳の21％となっており、この3つの年齢層だけで90％近くを占めていることを紹介しています。一方、12歳から17歳の若年層と55歳以上の高年層はいずれも5％未満に過ぎません。

　また、以下の図が示すように、従来の犯罪年齢曲線と比較すると、サイバー犯罪者の方が年齢が高めであることが分かります。

　さらに、年齢層別に犯罪の種類をまとめたのが以下の図です。

　まず、18歳から24歳のサイバー犯罪は多様である一方、主に技術的な側面が強く、最も多いのは「ハッキング」で30％、次いで「盗品（データ）の販売」と「DDoS攻撃」がそれぞれ10％となっており、その目的は、目の前の金銭的利益よりも名を上げることや探究的なものであることが多いとみられています。

　次に、25歳から34歳で最も多いのは「盗品（データ）の販売」で21％、次いで「サイバー恐喝」の14％、「マルウェアの展開」の12％となっており、金銭目的の活動に傾いていることを示唆している可能性があると分析しています。

　この傾向は最もサイバー犯罪者の多い35歳から44歳の年齢層でより顕著であり、最も多いのは「サイバー恐喝」の22％、次いで「マルウェア」の19％、「サイバー諜報活動」の13％、「ハッキング」の10％、「マネーロンダリング」の7％となっており、経済的・政治的に重大な影響を及ぼす行為に重点を置いている可能性を示唆しているとしています。

　ただし、ここで注意しなければならないのは、あくまで実際に逮捕され、公表された193人についてまとめた結果に過ぎないという点です。実際には逮捕されていない犯罪者はいくらでもいますし、何らかの事情で公表されていないケースもあるでしょう。

　それでも、「The Register」が記事のまとめとして指摘しているように、現代のサイバー犯罪は無秩序なデジタル破壊行為ではなく、組織的なビジネス活動に近いかたちになってきており、例えば、「サイバー恐喝」に必要なスキル（交渉、インフラ整備、暗号通貨の取り扱い、リスク管理など）は通常10代の若者が持ち合わせているものではありません。また、裁判記録からも分かるように、巨額の資金が動く犯罪計画を指揮しているのは、どこまでできるか試しているティーンエイジャーではなく、多額の金銭を搾取するために計画されたキャンペーンを運営する経験豊富な組織者なのです。

　「The Register」が紹介している内容はここまでですが、Orange Cyberdefenseの報告書には、サイバー犯罪者についてまとめた結果として他にも掲載されているものがあります。

　まず、サイバー犯罪者の性別です。ステレオタイプのイメージ通り、男性の方が多いのですが、かなり顕著な不均衡を示しています。

　先ほどのサイバー犯罪者のデータ数193とは異なり、ここでは性別が公表された280人のサイバー犯罪者についてまとめた結果となっており、男性は255人で91％、女性は25人で9％となっています。

　この不均衡は、サイバー犯罪が腕力などの肉体的強さとは基本的に無関係であるにもかかわらず、ほとんどの犯罪カテゴリーにおいて見られる、男性の犯罪者が大多数を占める一般的傾向と同様です。さらに興味深いことに、このような性別の差異は、合法なサイバーセキュリティ人材の構成とも類似しており、実際に世界的に見ても専門職に占める女性の割合はわずか20～25％程度にとどまっていると指摘しています。この類似性について報告書では、サイバー犯罪における男女間の不均衡が、デジタル領域そのものにおける、より広範な構造的力学を反映している可能性を示唆しているとしています。

　次に、サイバー犯罪者の国籍についてまとめた結果も掲載されています。これは国籍が公表された365件の事例についてまとめた結果で、以下の図が示すようにロシア国籍の犯罪者が圧倒的に多く、85人で23％を占めています。

　ただし、この国籍について報告書では以下の点に注意すべきと記されています。

国籍は犯罪者の地理的・社会政治的背景を理解するうえで貴重な手掛かりとなるが、相互に接続されたデジタル環境においては、あくまで部分的な視点に過ぎない。

インターネットの国境を超えた性質や、複数の法域にまたがって活動する行為者が持つ複雑で流動的なアイデンティティを考慮すると、国籍だけではサイバー犯罪者の真の出身地や所属を確実に特定することはできない。

　また、米国籍の犯罪者の数が比較的多い理由の1つとして、法域と報告の偏りが挙げられるとし、米国当局は他の多くの国々よりもはるかに多くのサイバー犯罪者を起訴し、その情報を公開しているため、公開データにおいては米国の事例がより目立つ結果になっていると説明しています。

　これに関連して、西側諸国の国籍の犯罪者が比較的多く見えることについては、2つのことを示しているとしています。まず1つ目は、これらの国々が継続的に努力し、透明性を確保していること、2つ目は、そもそもサイバー軍事作戦や関連する犯罪は、サイバー犯罪活動に関与していると一般的に考えられている国々だけに限定されるものではないということです。

　その一方で、逆に西側諸国でサイバー犯罪者の数が少ないことは、その国の当局の活動レベルが低いことを意味しているとは限らず、捜査、摘発、または犯人特定における違いを反映している可能性があることに注意する必要があるとしています。

　あまりに膨大な量の報告書であり、全文に目を通すのはかなりの時間と労力を必要としますが、プレスリリースに概要がまとめられていますので、まずはそれを読んだうえで、興味を持った点についてのみ、報告書本文を参照して確認するのが現実的でしょう。

　しかし、今回紹介したサイバー犯罪者についてまとめた部分は、プレスリリースで全く言及されていません。プレスリリースに載せるほどではないとOrange Cyberdefenseが判断したのは、セキュリティ専門家にとってあまりに「当たり前」の内容だったからなのかもしれません。しかし、その「当たり前」のことにもセキュリティ専門家としての冷静で公平な分析と見解がしっかり記されていますし、「Security Navigator」という年次報告書の存在を広く知ってもらうためには、このようなメディアの耳目を集めることが可能な話題もうまく活用すべきだったのではないでしょうか。もちろん、安易におもねらないストイックな姿勢はむしろ称賛すべきなのも分かるのですが、それでも今回は少々もったいないことをしたように思います。

　最後に一言。

　「The Register」の記事のタイトルで「分別のある年齢（old enough to know better）」と表現していたものを、サイバー犯罪者に男性が圧倒的に多いことを含めて「いい歳したおっさん」と翻訳した「ScanNetSecurity」のセンスはニュアンスが伝わりやすく、秀逸でした（笑）。