FBIによれば、2025年のサイバー犯罪被害額は日本円で約3兆円に達した。一方で、実際に起訴される犯罪者はごく一部にすぎない。なぜこれほど被害が拡大しても、犯人は捕まらないのか。その理由を整理する。
サイバー犯罪による被害は拡大の一途をたどっている。FBIが公表した「FBI Internet Crime Report 2025」によれば、通報件数は同局の歴史上初めて100万件を突破し、被害額は208億7000万ドル(約3兆円)に達した。
一方で、これほど巨額の被害が発生しているにもかかわらず、実際に身柄を拘束され、裁かれる犯罪者はごくわずかだ。なぜ犯人は捕まらないのか。その背景には、単なる捜査能力の問題ではなく、国際情勢や犯罪ビジネスの変化を利用した「捕まらないための仕組み」が存在する。
本稿では、サイバー犯罪者が司法の網をすり抜ける3つの理由と、それに対して法執行機関がどのような戦略へ転換しているのかを整理する。
サイバー犯罪者は、攻撃手法だけを考えている訳ではない。「どうすれば捕まりにくいか」まで含めて攻撃を設計している。
サイバー防衛企業Silent PushのCEO、ケン・バグナル氏は、「誰を標的にし、どのように攻撃するかという判断の多くは、起訴が困難かどうかに基づいている」と指摘している。
同氏が「インフラ洗浄」(Infrastructure Laundering)と呼ぶ手法では、攻撃に利用するサーバやサービスを、互いに十分な司法協力が期待できない複数の国へ分散配置する。例えば、ロシア系グループが欧米企業を標的にする場合、国家間の管轄権の壁を利用することで捜査を困難にしている。
さらに、米国はロシアや中国を含む多くの国と犯罪人引き渡し条約を締結していない。仮に法執行機関が捜査を開始しても、国際的な手続きが進む頃にはデジタル証拠が消えてしまうケースも少なくない。国によってはデータ保持義務が十分ではなく、証拠そのものが失われることもある。
つまり攻撃者は、「侵入経路」だけでなく、「捜査経路」まで遮断するように行動しているのである。
犯人の特定が難しい理由は、犯罪組織の構造にもある。MaaS(Malware-as-a-Service:サービスとしてのマルウェア)の普及によって、高度な技術を持たない人物でも、既存の攻撃ツールを利用してランサムウェア攻撃を実行できるようになった。
さらに、多くのランサムウェア組織では、マルウェアを開発するグループと、実際に攻撃を実行するアフィリエイト(実行犯)が分業している。
そのため、法執行機関がある犯罪組織を摘発しても、実行犯は別の組織へ移籍したり、新たなグループを立ち上げたりして活動を再開する。
セキュリティベンダーBreachsenseが2026年2月に公開した調査結果によると、2025年に被害を主張したランサムウェアグループは138に達し、2024年の98から大幅に増加した。
つまり、1つの組織を解体しても、市場そのものが残る限り、新たな組織が次々と誕生する構造になっている。
AIの普及も、犯人の摘発を難しくしている。セキュリティトレーニング事業を手掛けるKnowBe4の調査レポート「2026 Phishing Threat Trends Report」によれば、AIによって攻撃文面を大量かつ自然に生成できるようになり、攻撃の効率化が進んでいる。従来は、不自然な日本語やスペルミスなどが詐欺メールを見分ける手掛かりとなっていたが、AIによってそのような特徴は急速に消えつつある。
暗号資産の資金洗浄手法も高度化している。複数のブロックチェーン間で資金を移動させる「クロスチェーンロンダリング」によって、資金の流れを追跡することはますます難しくなっている。
AIは攻撃の質を高め、暗号資産は利益の回収を容易にする。両者が組み合わさることで、サイバー犯罪は以前より低コストかつ匿名性の高いビジネスへと変化している。
もちろん、全ての犯人が逃げ切っている訳ではない。ランサムウェア交渉人のデニス・ゾロタルジョフス氏や、ランサムウェア攻撃集団BlackCat(別名ALPHV)関連事件の実行犯らが有罪判決を受けている。これらに共通するのは、米国への引き渡しに協力する国に所在していたことである。
一方で、ランサムウェア「LockBit 3.0」の提供者「LockBitSupp」の正体とされる人物、ドミトリー・ユリエビッチ・ホロシェフ氏や、ロシアとの関連が指摘される攻撃グループ「Evil Corp」のマクシム・ヤクベツ氏などは起訴されているものの、現在も拘束には至っていない。2025年に約15億ドル相当の暗号資産を盗み出したとされる北朝鮮系ハッカー集団「Lazarus Group」についても、摘発は容易ではない。つまり、「犯人が分かっても捕まえられない」というケースが数多く存在しているのである。
こうした状況を受け、法執行機関は戦略を変え始めている。犯人本人を逮捕できないのであれば、犯罪インフラそのものを破壊し、攻撃コストを引き上げるという考え方だ。
2024年2月には、英国の国家犯罪対策庁(National Crime Agency:NCA)と国際機関が実施した作戦「Operation Cronos」によって、ランサムウェアグループLockBitのサーバネットワークが解体された。その後数カ月間で、同グループへの身代金支払いは79%減少したという。
さらに、2024年5月に欧州刑事警察機構(Europol)などが主導した国際的なサイバー犯罪摘発作戦「Operation Endgame」では、1025台のサーバが停止するなど、犯人個人の逮捕が難しい状況を踏まえ、法執行機関は犯罪者そのものではなく、犯罪を成立させるインフラや収益基盤を破壊する方向へと戦略を転換しつつある。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
