過去4年間で、ナイジェリアで報告された詐欺事件の件数は2021年の124,000件から2025年にはわずか68,000件へと、約46%減少しました。しかしその一方で、サイバー犯罪者がより収益性の高い手口を生み出したことで、詐欺による被害額はむしろ増加しています。
同国経済の急速なデジタル化は、サイバー犯罪者や金融詐欺師を引き寄せています。サイバーセキュリティベンダーのCheck Point Softwareによると、たとえば2026年6月には、ナイジェリアの企業・組織1社あたり週平均4,361件の攻撃が試みられ、アフリカでアンゴラに次いで2番目に攻撃を受けている国となりました。同社は現在、少なくとも50の脅威アクターが同国内で活動しているとみています。
Check Point Softwareでアフリカ地域のセキュリティコンサルティング責任者を務めるヘンドリック・デ・ブライン氏によると、ナイジェリアにおける週ごとの検知脅威件数は年間を通じて増減を繰り返しているものの、全体としては高止まりの状態が続いているといいます。
「ナイジェリアの攻撃件数は、トレンドというよりも、赤色に張り付いたまま動かない体温計のようなものと捉えるべきでしょう」と同氏は述べています。「数値は上がったり下がったりを繰り返していますが、世界平均である2,270件のおおむね2倍を下回ったことは一度もありません。つまり傾向としては、一貫して高い水準にあるということです」
ナイジェリアは、よりレジリエンスの高いデジタル経済の構築を目指しており、今年後半の発表を予定しているサイバーセキュリティフレームワークを策定中です。このフレームワークには、インシデント報告の義務化、サイバーセキュリティへの最低投資額の設定、官民連携の深化に向けた枠組みなどが盛り込まれる見通しです。実際、6月には国家情報技術開発庁(NITDA)が、サイバーセキュリティ政策とクラウド主権政策の詳細について引き続き検討を進めていると発表しました。
これらの政策は、同国のデジタル化を推進する枠組みにおける2つの重要な基盤であると、同庁のカシフ・イヌワ長官は、国の デジタル変革を加速させることを目的とした連邦通信・イノベーション・デジタル経済省(FMCIDE)との会合で述べました。
「特に国家クラウド政策とサイバーセキュリティ政策について、今後どのように進めるかにつき、省からの指針を待っているところです」と同氏は声明で述べています。
ナイジェリア:サイバー犯罪者にとっての機会の地
推定国内総生産(GDP)3,770億米ドルを誇るナイジェリアは、西アフリカ最大の経済大国であり、アフリカ大陸全体でも3番目に大きな経済規模を持ちます。同国は、燃料補助金の停止や自国通貨ナイラの米ドル連動制廃止・変動相場制への移行など、市場自由化に向けた痛みを伴う取り組みを経て、この4年間続いた金融混乱からようやく抜け出しつつあります。ナイラの価値はかつての3分の1にまで下落しましたが、こうした取り組みは一定の成果を上げ始めています。ただし、同国の債務は依然として財政を圧迫し続けています。
こうした苦境に加え、ナイジェリアはサイバー犯罪という深刻な問題も抱えています。ナイジェリア銀行間決済システム(NIBSS)によると、2025年のデジタル決済詐欺による被害額は25.85億ナイラ(1,870万米ドル)に達し、2023年の17.67億ナイラ(1,280万米ドル)から増加しました。全体として、政府が把握するインシデント件数は減少傾向にある一方で、被害額は増加しています。年を追うごとに、詐欺事件1件あたりの窃取額が拡大しているためです(2024年には、単一のインシデントで311億ナイラの被害が発生し、この年は極めて異例なことに、年間被害総額が523億ナイラに達しました)。
インシデント1件あたりの被害額が増加している背景には、意図的か否かを問わず内部関係者の関与があると、NIBSSの専務理事兼最高経営責任者(CEO)であるプレミア・オイウォ氏は今年初めの声明で述べています。
「内部関係者の関与は多く、最近の調査でもこの点が裏付けられています」と同氏は述べています。「SIMスワップ詐欺やアカウント侵害、フィッシングといった手口は今も進化を続けています。多くの被害者が依然として容易に騙されてしまっているため、意識啓発が今なお極めて重要です」
こうした傾向に対抗するため、特に経済のデジタル変革への投資を拡大する中で、ナイジェリア政府はサイバーセキュリティをこれまで以上に重視するようになっています。しかし、報告体制の不備が依然として課題となっており、対策の進展は遅れています。NIBSSによると、2025年第4四半期には、ナイジェリア国内の組織による報告インシデント件数が3分の1(34%)減少しました。
「インシデントをゼロ件と報告した機関もありますが、報告を怠ることは容認できません」と、NIBSSのオイウォ氏は声明で述べています。
トレーニングとリソースが不足するナイジェリア企業
人的リスク管理企業KnowBe4でアフリカ地域のCISOアドバイザーを務めるアンナ・コラード氏によると、ナイジェリアのデータ保護法では、組織は侵害発生から72時間以内に規制当局であるナイジェリア・データ保護委員会(NDPC)に通知し、リスクが高い場合は影響を受けた顧客にも直接通知することが義務付けられています。しかし、政府側の執行体制がまだ整備途上にあるため、多くのインシデントは当該組織ではなく、研究者やメディアによって明らかにされているのが実情です。
「ナイジェリアの2023年データ保護法では、規制当局への72時間以内の侵害通知がすでに義務付けられており、議会で審議中の改正法案が成立すれば、執行力はさらに強化されるでしょう」と同氏は述べています。「立ち遅れているのは法律そのものではなく、当局が一貫して法を執行するための体制と、企業側のコンプライアンス文化です」
KnowBe4のコラード氏によると、詐欺やサイバー攻撃に対するレジリエンスの高い防御体制を築くには、人材育成が極めて重要だといいます。
「アフリカ企業の大多数を占める中小企業は、大企業の2倍以上の割合で被害に遭っています。これは主に、セキュリティ対策への投資不足と従業員向けトレーニングの限界によるものです」と同氏は述べています。「強固な人的防御層を築き、セキュリティ文化に投資することが極めて重要です」
加えて、企業・組織は認証情報の侵害にも警戒する必要があると、Check PointのデBブライン氏は指摘します。攻撃者はこうした機密情報を収集することで、標的環境に再侵入し、さらなる被害をもたらすためです。
「つまり攻撃者は、窓を叩き割って侵入しているのではなく、静かに鍵を集めて正面玄関を開けているのです」と同氏は述べています。「その鍵が開けるのは顧客口座、決済システム、そして最終的には送金です。その先には、企業が評判を守るために表沙汰にせず静かに補填する顧客の損失、不十分な管理体制に対する規制当局からの罰金、そしておそらく長期的に最も深刻な、デジタルバンキングに対する信頼の低下という影響が待ち受けています」
国際電気通信連合(ITU)のグローバルサイバーセキュリティ指数による評価では、2024年時点でナイジェリアは5段階中3段階目のサイバーセキュリティ成熟度にランク付けされています。しかし、規制と執行の間のギャップを埋めない限り、サイバー攻撃者は同国のデジタル経済から利益を得続けるだろうと、デ・ブライン氏は述べています。
「最低支出基準、侵害報告の義務的な期限、そして官民間の脅威インテリジェンス共有を定めるNITDAのサイバーセキュリティフレームワーク構想は、正しい方向性だと言えます」と同氏は述べています。「今の最優先課題は、意向の表明から実際の運用・執行へと移行することです」
翻訳元: https://www.darkreading.com/cyber-risk/nigeria-cybersecurity-efforts-cybercriminals-profits