2025年、サイバー犯罪はますます「お金だけ」の領域を超えつつあります。今日の攻撃の背後にあるのは、停止時間のコストや身代金要求だけではなく、医療の混乱や被害者への嫌がらせから、誘拐、拷問、経営幹部の家族への脅迫に至るまで、現実の人間に及ぶ具体的な被害です。
サイバー攻撃による巻き添え被害は、たいてい軽く触れられるだけです。業界は被害を金銭面で測ることに慣れています。身代金はいくら支払われたのか、業務停止はどれほど続いたのか、市場はどう反応したのか。しばしば見えないままなのは、人間が負う代償――患者、従業員、親、そして地域社会全体への影響です。この1年でそうした話があまりにも積み重なり、2025年は転換点のように感じられます。サイバー事案の人的コストは、もはや無視できないほど可視化されました。
最も悲劇的な例は、ロンドンの主要病院向けに検査・病理サービスを提供する英国のSynnovisへのランサムウェア攻撃に関連しています。侵害は2024年に発生しましたが、2025年に影響を受けたNHSのトラストの一つが、攻撃による混乱とその後の運用上の不備のさなかに患者が死亡したことを公式に確認しました。重要なのは、「ランサムウェアによる死亡の可能性」がこれまで議論されてこなかったからではなく、サイバー攻撃と致死的結果との間に、公式に認められた直接の因果関係が初めて示された点です。
今年の別の出来事は、犯罪者が被害者に圧力をかけるためにどこまでやるのかを如実に示しています。保育ネットワークKido Internationalへの攻撃では、加害者は文書の流出にとどまらず、子どもの画像や、住所、成人の連絡先情報を含む機微な個人データを公に公開しました。未就学児に関する情報が、事実上、脅迫の道具として武器化されたのです。注目すべきことに、犯罪者の世界の中でさえ反発を招き、ライバル集団が地下フォーラムで攻撃者を公然と非難し、一部資料の削除につながりました。それでも事実は変わりません――恐喝において「許容される」と見なされる境界は、なお崩れ続けています。
英国で最も経済的に壊滅的だった事案は、Jaguar Land Roverへの攻撃でした。生産は約5週間停止し、復旧費用やサプライチェーンへの連鎖的影響を含む総損失は20億ポンド超と推定されています。この出来事には深刻な社会的側面もありました。自動車メーカーからの発注に依存するサプライヤーは資金繰り悪化や解雇に直面し、従業員の家族は、収入喪失、家賃の支払い遅延、そして年末まで生活を維持できるのかという不安の中で、絶え間ない緊張を強いられました。会社は大規模な人員削減を発表しなかったものの、職場に広がった不安は、攻撃の「計上されない」結果となりました――貸借対照表には決して現れないものです。
2025年における特に不穏な傾向は、サイバー犯罪と物理的暴力の融合であり、とりわけ暗号資産の領域で顕著です。セキュリティ研究者は、「サービスとしての暴力(violence as a service)」と呼ばれる増加を観測しており、脅迫、威嚇、暴行が犯罪者の道具箱の一部になっています。最も衝撃的だったのは、Ledger共同創業者デビッド・バランド氏と妻が誘拐され、攻撃者がバランド氏の同僚に身代金を要求した事件です。この事件に伴う残虐性は、つい最近までサイバー犯罪の領域外と思われていた一線を越えました。同時に、業界の観測者は証拠の積み上がりを指摘しています。たとえば、こうした事件を公に追跡している起業家でセキュリティ擁護者のJameson Loppは、2025年だけで暗号資産関連の暴力事件を数十件記録しています。
「従来型」のランサムウェア運用でも圧力は強まっています。Semperisの調査によれば、ランサムウェア被害者のおよそ40%が身体的危害の脅しに直面しました――単なる抽象的な脅迫ではなく、犯罪者が被害者の私生活を熟知していることを示す、標的を絞った威嚇です。経営幹部がどこに住んでいるか、子どもがどの学校に通っているか、家族が自宅でどう過ごしているか。これはもはや身代金額をめぐる交渉ではなく、屈服を迫るために設計された心理的攻撃です。
こうした状況の中で、法執行機関からの報告も同様に不穏です。Europolは、Operational Taskforce GRIMMの一環として逮捕を発表し、請負殺人、威嚇、拷問に関与した193人の容疑者を拘束しました。捜査当局によれば、こうしたスキームには未成年が関与することも多く、「金のため」に作業を実行するよう勧誘されたり、強要されたりします。これはもはや悪意あるコードの話ではなく、デジタル要素が単なる侵入口にすぎない犯罪ネットワークの話です。
今年を特徴づけるもう一つの傾向は、AIによって可能になった「バーチャル誘拐」の増加です。FBIは、詐欺師がSNSから写真を収集し、ディープフェイク技術で、苦境にある人物を描いた説得力のある画像・音声・動画を生成して親族に身代金を要求する、と警告しています。場合によっては、犯罪者が悪用するのは、行方不明者に関する実際の報告であり、物語に信憑性を持たせるために使われます。FBIによれば、昨年はこうした手口が数百件発生し、攻撃者は約270万ドルを得ました。助言はシンプルですが極めて重要です。法執行機関に連絡すること、「誰にも言うな」という要求は無視すること、そして本当の緊急事態を確認できるよう、家族内の合言葉を事前に決めておくことです。
最後に、命が失われなくても、都市全体を脅かす結果もあります。11月、米国の自治体向けにCodeRED緊急警報システムを提供するCrisis24が攻撃を受けました。市民のデータが盗まれ、警報アプリへのアクセスが一時的に妨害され、当局はSNSを通じて通知を重複して行わざるを得ませんでした。幸い、停止中に大きな緊急事態は発生しませんでした。しかし脆弱性は明白です。こうしたシステムへの攻撃が成功すれば、混乱が起きるのはサーバールームではなく、街の通りの上なのです。
2020年代前半が「ランサムウェアはビジネスだ」という決まり文句によって特徴づけられたのだとすれば、2025年は、サイバー犯罪がもはやそれだけではなくなった年として映りつつあります。恐喝があるところでは、圧力は家族へと波及します。データがあるところでは、嫌がらせと身体的暴力のリスクが伴います。そして暗号資産であれ重要サービスであれ、賭け金が上がるほど、次の攻撃が狙うのはスプレッドシートではなく、人である可能性が高まります。
翻訳元: https://meterpreter.org/beyond-the-balance-sheet-the-tragic-rise-of-cyber-physical-violence-in-2025/
