オーストラリアでは、2025年に個人が直面したサイバー犯罪の件数が2024年と比べて減少し、被害を受けた場合の影響も比較的軽微だったことがわかりました。ただし例外があります。中小企業(SMB)の経営者や運営者については、法的問題や人員面での悪影響を経験するケースが増加しています。
オーストラリア犯罪学研究所(AIC)は今週、10,593人のオーストラリア人を対象に2025年に直面したサイバー犯罪について尋ねた調査の結果を公表しました。回答内容にはいくつかの点で好材料が見られます。サイバー犯罪全体は減少し、それに伴う金銭的損失も低水準にとどまりました。しかも、これは一部の逆行する要因があったにもかかわらず実現した結果です。
「2025年には2024年と比べて、プライバシー設定を確認したり、サイバー保険に加入したり、アンチウイルスソフトを実行したりするオーストラリア人が減ったにもかかわらず、サイバー犯罪全体は減少しました」と、Adaptive SecurityのCEO兼共同創業者であるBrian Long氏は驚きを示します。「個々人による対策は依然として重要ですが、この傾向はより大きな変化も示しています。防御の重心が、人々が日常的に利用しているプラットフォームや通信事業者、デバイス側へと上流に移りつつあるのです」
一方、あまり芳しくないニュースとして、企業を所有あるいは経営する個人にとっては、2025年にサイバー犯罪がもたらす影響がより深刻化しました。
消費者にとっての朗報
まず、調査回答者の45.1%が昨年サイバー犯罪の被害に遭ったと回答しました。決して小さな数字ではありませんが、前年の47.8%からは減少しています。
オンライン上の嫌がらせ・ハラスメント(2024年に27.1%の回答者が被害を受けたのに対し、2025年は24.6%)や、アイデンティティ関連の犯罪(22.1%から20.4%へ低下)は望ましい方向に推移しました。これは金融口座の侵害(17.7%から15.8%)、望まない性的コンテンツの送りつけ(7.6%から6.3%へ低下)、なりすまし行為そのもの(7.8%から6.9%へ低下)の減少に支えられています。
さらに好材料として、2025年の被害者の大多数が実際には金銭的損失を被っておらず、損失があった場合もそれほど大きな額ではありませんでした。犯罪の種類にもよりますが、被害者の76%から86.5%が1,000オーストラリアドル(約690米ドル)未満の損失にとどまったと回答しています。9.8%から19.8%が1,000オーストラリアドルから10,000オーストラリアドルの間の損失を報告し、それを上回る損失を被ったのはごく一部でした。とはいえ、被害者の58.8%(調査対象全体の26.4%)は、金銭面、健康面、社会生活面、あるいは法的な面で何らかの形の悪影響を受けたと回答しています。
注目すべきは、こうした好材料がいずれも、個人のサイバーセキュリティ対策の水準が明らかに低下したにもかかわらず得られたという点です。自分のデバイスでアンチウイルスやファイアウォールを使用していると回答したオーストラリア人は減少し(2024年の39.3%から2025年は36.2%へ)、スパムフィルタリングソフトの利用も減少しました(20.5%から17.8%へ)。オンラインアカウントごとに異なるパスワードを使用していると回答した割合も減り(50.9%から47.7%へ)、不審なリンクや添付ファイルのクリックを避けていると回答した割合も低下しました(67.1%から64.8%へ)。
「ここでの大きな変化は、防御の多くが消費者個人ではなく、消費者が日常的に利用している企業側に委ねられるようになったことです」と、Huntressのセキュリティオペレーション担当シニアマネージャーであるJustin Allen氏は説明します。「銀行、通信事業者、ブラウザベンダー、OSベンダー、そして大手プラットフォームは、以前と比べてはるかに多くの実質的な防御作業を裏側で担うようになっています。ブラウザのサンドボックス化、自動パッチ適用、アカウント監視、取引管理、そしてScam-Safe Accordのような取り組みは、企業が大規模にユーザーの手前に制度的な安全策を敷いている例のほんの一部です。昔ながらの個人的な習慣、例えば手動でアンチウイルススキャンを実行するといった行為が、かつてほど中心的な重要性を持たなくなった大きな理由はここにあります」
同時に同氏は、だからといって個人のサイバー対策が重要でなくなったわけではないと強調します。「これはあくまで防衛線が移動したということです。攻撃者がシステムを確実に突破できないとなれば、代わりに人を操作することで回避しようとします。ソーシャルエンジニアリングや関係性を悪用した詐欺、SIMスワッピング、認証情報の窃取がこれほど重要視される理由はそこにあります」
オーストラリアにおける個人向けサイバー犯罪の他のほとんどのカテゴリーは、増減とも小幅にとどまりました。統計的に有意な増加が見られたのは、詐欺・スキャム(9.7%から11.1%へ増加)、そして世界的な再燃傾向と歩調を合わせるランサムウェア(2.5%から3.1%へ増加)の2つのカテゴリーのみでした。
企業経営者にとっての悪材料
中小企業を所有あるいは経営する回答者の4人に1人が、2025年中に何らかの形でサイバー犯罪が自社に悪影響を及ぼしたと回答しました。こうしたインシデントによる影響として最も多かったのは、日常的な業務機能の混乱(28.7%)でした。
さらに注目すべきは、サイバー犯罪によって法的な問題を抱えたと回答した中小企業の経営者・運営者が増加している点です(2024年の5.1%から2025年は7.9%へ)。人員面でのコスト増を報告した割合も増加しました(5.9%から10%へ)。AICの見立てによれば、こうしたインシデントの一部が原因で従業員が離職を選んだり職を失ったりしており、企業がこれまでになく高い割合で法的・規制上の悪影響に苦しんでいるといいます。
Allen氏は、オーストラリアの健康保険会社Medibankを相手取った2022年の訴訟を例に挙げ、その理由を説明します。「連邦控訴裁判所全体は、企業がインシデント後に実施するサイバーレビューを非公開のままにしておけると当てにすることはできない、という趣旨のシグナルを事実上示しました」と同氏は説明します。以前であれば、企業は貧弱なインシデント対応(IR)やサイバーセキュリティ管理体制であっても見逃されることがありましたが、今ではそうした内情がすべて公になってしまいます。「これによってリスクは一気に高まります。さらにそこに、72時間以内のランサムウェア報告義務を定めたサイバーセキュリティ法や、プライバシー法の改正、そしてはるかに重い罰則が科される可能性が重なれば、取締役会は自分たちが手をこまねいていなかったことを証明する必要に迫られます」
ただし、こうした圧力は取締役会の中だけにとどまらない、とAllen氏は強調します。「それはコンプライアンス業務や報告業務の負担増、社内のストレス、そして責任の押し付け合いという形で現場へと転がり落ちていきます。これこそが、チームが疲弊してしまう大きな理由であり、一部のリーダーがもはや個人的なリスクを負う価値はないと判断し始めている理由でもあるのです」