仮想通貨詐欺の被害が世界規模で急拡大している。英国の国家犯罪対策庁(NCA)が主導した国際合同作戦「Operation Atlantic」は先月実施され、英国・米国・カナダで2万人以上の被害者を特定。1,200万ドル超の資産凍結と、世界規模で4,500万ドル超の不正取得仮想通貨の特定に成功した。この作戦は、単なる法執行の成果にとどまらず、今後の詐欺対策の在り方そのものを示す重要な事例として注目に値する。

Operation Atlanticとは何だったのか

Operation Atlanticは、NCAをホストに、米国シークレットサービス、オンタリオ州警察、オンタリオ証券委員会、そして複数の民間企業パートナーが一堂に会した1週間の集中作戦だ。ロンドンのNCA本部でリアルタイムに情報を共有しながら、世界各地の詐欺ネットワークを同時に摘発するという、これまでにない連携スタイルが採用された。

被害の中心にあるのは「承認フィッシング(Approval Phishing)」と呼ばれる手口だ。被害者に投資プラットフォームへのアクセス許可を与えさせ、暗号資産ウォレットの操作権限を詐取する。一見すると正規の投資サービスに見えるため、被害に気づきにくい。FBIが別途実施している「Operation Level Up」では、対象被害者の約77%が「詐欺を受けていると気づいていなかった」と報告されており、この手口の巧妙さが際立つ。

数字が示す被害の深刻さ

FBIが2025年のインターネット犯罪報告書で公表したデータは衝撃的だ。2025年だけで仮想通貨投資詐欺に関する苦情は61,559件、損失額は72億2,800万ドルに上る。前年比で苦情件数48%増、損失額25%増——これはもはや「増加傾向」ではなく、指数的な拡大と呼ぶべき事態だ。

Operation Level Upが2024年1月以降に特定した被害者8,000人以上に対し、被害総額の推定節約額は5億1,100万ドルを超えるとFBIは述べている。官民連携による早期介入が、いかに実質的な損害回避につながるかを示す数字だ。

官民連携モデルが変えるもの

Operation Atlanticで特筆すべきは、この官民一体の枠組みが英国政府の「詐欺対策戦略(Fraud Strategy)」の中核に位置づけられるという点だ。業界データと法執行の専門知識を組み合わせることで、詐欺の予防・早期検知・被害軽減を一気通貫で行う仕組みが構築されつつある。

これは技術的なアーキテクチャの話でもある。民間企業が持つリアルタイムのトランザクションデータや異常検知の知見と、法執行機関の捜査権限・情報網を組み合わせることで、単独では不可能な速度と精度でネットワークを摘発できる。これはまさに「統合プラットフォームによる全体最適」の実例だ。

日本のIT現場への影響

日本においても、仮想通貨詐欺・投資詐欺の被害は急増しており、対岸の火事ではない。エンジニアやIT管理者として、今日から実践できるポイントを整理する。

ウォレット権限の定期レビューを徹底する: 承認フィッシングの核心は「一度与えた権限が放置される」点にある。クリプト資産を扱う環境では、スマートコントラクトやdAppへの承認権限を定期的に棚卸しし、不要な権限を即座に取り消す運用が欠かせない。

ゼロトラスト的発想を個人レベルにも適用する: 企業のゼロトラスト移行が議論されている一方、個人レベルでの「常時アクセス権の付与」は無自覚に行われていることが多い。「今動いているから大丈夫」という判断が、最大のリスクになる。

従業員教育に「承認フィッシング」の項目を追加する: フィッシングといえばURLクリック型が主流だが、「ウォレット接続の許可を求められた」「プラットフォームへのアクセス許可を求める画面が出た」というシナリオへの対応訓練は、多くの企業でまだ抜けている。

投資関連のクラウドサービス導入時は精査を強化する: SaaSの導入審査でセキュリティレビューを行う企業でも、社員個人が使う投資アプリやウォレットには手が届いていないことが多い。BYOD(私物端末)やBYOA(私物アプリ)のリスクとして、仮想通貨関連ツールを明示的にポリシーに含める時期に来ている。

筆者の見解

セキュリティの話題は正直、日常的に細かく追いかけるタイプの分野ではない。だが今回のOperation Atlanticは、技術的な側面から見ても非常に興味深い。

注目したいのは「官民連携」という枠組みが、単なるきれいごとではなく実際の成果を出し始めている点だ。リアルタイム情報共有、民間の異常検知データと法執行の統合——これはゼロトラストのアーキテクチャ思想と同じ発想から来ている。「信頼しない、検証し続ける」を組織間の情報連携にまで拡張したモデルとも言える。

日本企業の現状を見ると、古典的な境界防御と中途半端なゼロトラストが混在した状態が多く、ここに承認フィッシングのような新しい手口が刺さると非常に危険だ。「ネットワークに入れたら信頼する」という前提が崩れているにもかかわらず、エンドユーザーレベルの教育や権限管理の見直しが追いついていない。

72億ドルという損失規模は、もはや「個人の自己責任」で片付けられる話ではない。インフラとして仮想通貨が普及する過渡期に、業界全体の防衛態勢をどう整えるか——そこに本質的な問いがある。今回のOperation Atlanticのような取り組みが、日本にも根付いていくことを期待したい。

出典: この記事は Over 20,000 crypto fraud victims identified in international crackdown の内容をもとに、筆者の見解を加えて独自に執筆したものです。