オンライン詐欺の全体像：ランサムウェアは氷山の一角

米連邦取引委員会（FTC）が発表した最新の報告書によると、ランサムウェアやその他のサイバー攻撃は、消費者が同委員会に提出する詐欺苦情のごく一部、3%未満に過ぎないことが明らかになりました。このデータは、サイバー攻撃よりも「なりすまし詐欺」のような伝統的なスキームが、消費者にとってより差し迫った脅威であることを示唆しており、企業もセキュリティ対策においてより広範な視点を持つ必要があると警鐘を鳴らしています。

FTCは、「2023年7月以降、なりすまし詐欺（信頼できる人物になりすまして金銭や個人情報をだまし取る詐欺の総称）が、消費者から報告される最も一般的な詐欺カテゴリである」と述べています。

詐欺の種類と件数：見過ごされがちな脅威

テクニカルサポート詐欺はFTCのデータに継続的に現れていますが、その件数は他のなりすまし詐欺に比べてはるかに少ないとされています。2023年7月以降、全ての詐欺報告のうちテクニカルサポート詐欺に関するものは3%未満で、そのうちわずか11%が米国外からのものと報告されています。これは、詐欺が著名な米国テクノロジー企業を装って行われることが多いため、消費者が米国発と報告する傾向があるためかもしれません。

ランサムウェアやその他のマルウェアベースの攻撃に関しては、FTCは2023年7月から2025年7月の間に約128,000件の報告を受けました。これは、全ての詐欺苦情の3%未満に相当します。FTCは、「一般的に、ランサムウェアやその他のコンピュータエクスプロイトに関する苦情は、他の種類の詐欺と比較して少ない」と述べています。マルウェア関連の苦情の約5分の1は外国発のものであり、フィリピンとナイジェリアが最も頻繁に挙げられています。全体として、FTCは同期間に500万件以上の詐欺苦情を受け付け、その約11%が外国発でした。

企業が取るべき対策：消費者保護の最前線として

FTCの報告書は主に消費者保護の側面に焦点を当てていますが、同機関は以前から企業に対し、ハッカーや詐欺師から情報を保護するよう警告しています。報告書では、FTCのビジネス教育プログラムが強調されており、ランサムウェア攻撃、詐欺、その他のサイバーインシデントを回避するためのガイダンスが提供されています。

FTCは、「企業はしばしばサイバー攻撃に対する最前線の防御として機能し、消費者データを保護するための合理的な慣行に従う責任がある」と指摘しています。ランサムウェア攻撃を回避するために、企業は以下の対策を徹底すべきだと提言しています。

• 従業員に対し、不審なメールを認識するための徹底的なトレーニングを行う。
• メールやその他のシステムにおける認証要件を強化する。
• 侵入検知ソフトウェアを導入する。
• 定期的なデータバックアップを実行する。

国際協力の課題と立法への提言

有害かつ不正な行為に対抗するための活動を支援するため、FTCは外国のパートナーと定期的に連携しています。しかし、報告書によると、米国が主要なサイバー敵対国と見なすロシア、中国、イラン、北朝鮮とのデータセキュリティ保護および執行活動における協力は、限定的または皆無であるとされています。

FTCは、イランや北朝鮮とはこれまで交流がなく、ロシアや中国のカウンターパートとは過去数年間「限定的な交流」しかなかったと報告しています。2024年には、ワシントンD.C.で開催された国際会議で、FTCの従業員が中国の消費者保護機関の代表者と非公式に会談し、自主的な調査協力に関する協定の交渉が提案されましたが、それ以降の進展はありません。

FTCは報告書の中で、国際協力の重要な形態を認めるUSA SAFE WEB法の恒久的な承認を議会に強く要請しています。同法がなければ、「FTCの国際パートナーとの協力能力は大幅に制限され、米国消費者に劇的な影響を与える可能性がある」と警告しています。

---

元記事: https://www.cybersecuritydive.com/news/ftc-ransomware-scams-fraud-report/811705/