米国のサイバー犯罪被害総額が2025年に約2.1兆円(208億ドル)に達し、統計開始以来の最高額を更新した。FBIのインターネット犯罪窓口IC3(Internet Crime Complaint Center)が発表した最新年次報告書によると、被害額は前年比26%増という急激な伸びを示しており、年間の苦情件数も初めて100万件を超えた。

この数字は米国単独のものだが、手口・被害構造ともに日本のサイバー犯罪トレンドと強い相関がある。いまのうちに「他山の石」として対策を固めておく価値は十分ある。

被害の内訳:何が「最大の脅威」か

苦情件数で最多だったのはフィッシング攻撃(19万1,000件)、次いで恐喝(8万9,000件)、投資詐欺(7万2,000件)。しかし被害額の規模で見ると順位が大きく変わる点に注意が必要だ。

暗号資産関連詐欺が突出した最大損害源で、18万1,565件で被害総額は1兆円を超える約110億ドル。続いて投資詐欺全体(86億ドル)が全詐欺関連件数の49%を占める。

ビジネスメール詐欺(BEC)は約2万4,700件と絶対数は少ないが、1件あたりの被害額が大きいため依然として企業の最重要防御対象だ。ランサムウェア(3,600件)やSIMスワッピング(971件)も報告されており、インフラへの攻撃では医療・製造・金融・IT・政府施設が上位5セクターに挙がっている。

60歳以上の高齢者が最も狙われており、被害額は77億ドルと前年比37%増。テクニカルサポート詐欺や投資詐欺に誘い込まれるケースが多い。

今回初集計:AI悪用詐欺の実態

今年の報告書で初めて独立カテゴリとして集計されたのがAI関連詐欺だ。2万2,300件の苦情、損害額8億9,300万ドル(約1,400億円)という規模は、登場初年度の数字としては無視できない。

手口の中心は以下の4つ:

  • 音声クローニング(ボイスクローン):家族や上司を装った音声で緊急送金を迫る
  • フェイクプロフィール:SNS上のなりすましによる投資・ロマンス詐欺
  • 偽造書類:高精度な文書偽造で信頼を獲得
  • ディープフェイク動画:著名人・経営幹部を装った映像で偽情報を拡散

生成AI技術の急速な普及が詐欺師の「製造コスト」を劇的に下げていることは明白だ。数年前なら高度な技術が必要だった精巧な音声・映像の偽造が、今では安価なツールで誰でも実行できる。

FBIの反撃:「金融フラウド・キルチェーン」で679億円を凍結

被害が拡大する一方、FBIも対策を強化している。2025年に実施した「Financial Fraud Kill Chain(FFKC)」介入は3,900件。攻撃者が狙った11億6,000万ドルのうち6億7,900万円(約1,000億円)の凍結に成功した。

また「Operation Level Up」では暗号資産投資詐欺の被害者候補を事前に特定・警告するプロアクティブなアプローチを展開。通知を受けた3,780人のうち78%が詐欺に遭っていることすら気づいていなかったという事実は衝撃的だ。

実務への影響——日本のエンジニア・IT管理者が今すぐできること

BEC対策:メール≠本人確認

「上司から送金指示が来た」「取引先の口座が変わった」系の連絡は、必ずメール以外の手段(電話・Teamsビデオ通話等)で二重確認する運用を徹底したい。BECはメール単体への依存を突いた攻撃であり、帯域外確認(Out-of-Band Verification)がもっとも確実な防衛策だ。

社員へのAI詐欺リテラシー教育

音声やビデオが「本物に見える・聞こえる」ことを前提とした教育に切り替えるタイミングが来ている。コードワード(事前に決めた合言葉)の活用や、緊急送金フローに必ず人的承認ステップを挟む設計が有効だ。

高齢ユーザーへの配慮

B2B企業でも、顧客企業の経営陣や年配の決裁者が標的になるリスクは低くない。カスタマーサポートのフローに「なりすまし確認フェーズ」を組み込む発想が今後は必須になる。

フィッシング耐性認証の導入

パスワードレス+フィッシング耐性MFA(パスキーやFIDO2)は、フィッシング19万件超という数字を見るとすでに「あると便利」ではなく「ないとまずい」レベルに達している。SMSワンタイムパスワードはフィッシングに無力なので注意。

筆者の見解

2.1兆円という数字は衝撃的だが、私が注目したのは「78%の被害者が自分が詐欺に遭っていることに気づいていなかった」という事実だ。これはセキュリティの問題であると同時に、ユーザー体験の設計問題でもある。

「禁止ではなく安全に使える仕組みを」というのが私の基本スタンスだが、AI詐欺の台頭はまさにその仕組みを問い直す局面に来ている。本物と見分けのつかない音声・映像が日常的に飛び交う世界で、「怪しいと思ったら確認しよう」という啓発だけでは構造的に不十分だ。

組織として求められるのは、怪しいかどうかの判断をユーザーに委ねず、プロセス設計で二重確認を強制する仕組みだ。具体的には、高額送金フローへの帯域外承認の組み込みや、カレンダー招待と突き合わせた会議の正当性確認、フィッシング耐性認証の全面導入などが挙げられる。

日本の大企業のセキュリティ体制は、昔ながらの境界型防御と中途半端なゼロトラストが混在して複雑化しているケースをよく見かける。そこに「AI詐欺を含む新しい脅威をどう統合するか」という課題が加わると、パッチワーク的な対応の限界はさらに顕著になる。

今回のFBI報告は、個別の防衛策を積み上げる発想から、認証・認可・監視の3層を整合させた全体設計に切り替えるべき時期が来ていることを改めて示している。被害額が毎年更新されている間、攻撃者は確実に学習し続けている。守る側も同じスピードで進化しなければならない。

出典: この記事は FBI: Americans lost a record $21 billion to cybercrime last year の内容をもとに、筆者の見解を加えて独自に執筆したものです。