FTCのデータが消費者と企業に対するオンライン上の脅威を浮き彫りに

ランサムウェアやその他のサイバー攻撃は、米国人が連邦取引委員会（FTC）に提出する詐欺苦情のうち、ごく一部にすぎないと、FTCは金曜日に公表した報告書で述べた。

新たに公開されたデータは、年次報告書としてまとめられており、議会の義務付けによるものだが、テックサポート詐欺などの別の手口のほうが消費者にとってより継続的な脅威であることを浮き彫りにしている。また、自社の潜在的なセキュリティ事故を回避したい企業にとっても、こうした手口を常に念頭に置くべきだと示している。

「なりすまし詐欺――信頼できる人物を装って、消費者に送金させたり個人情報を提供させたりするという、詐欺苦情の一般的な分類――は、2023年7月1日以降、消費者から報告される詐欺の中で最も多いカテゴリーである」とFTCは報告書で述べた。

テックサポート詐欺はFTCのデータに一貫して登場するものの、委員会は、他のなりすまし詐欺の報告と比べると規模は小さいと述べた。2023年7月以降、詐欺報告全体のうちテックサポート詐欺に関するものは3%未満で、米国外に発信源がある詐欺はそのうち11%にとどまった。「詐欺は米国の著名なテクノロジー企業になりすますことが多いため、消費者が発信源を米国だと報告している可能性がある」とFTCは述べた。

ランサムウェアやその他のマルウェアに基づく攻撃については、FTCは2023年7月から2025年7月までの間に約12万8,000件の報告を受け取ったとし、これは詐欺苦情全体の3%未満に相当する。「一般的に、FTCが受け取るランサムウェアやその他のコンピュータ悪用に関する苦情は少なく、特に他の種類の報告された詐欺と比べると少ない」と委員会は述べた。

マルウェアに関する苦情のおよそ5分の1は発信源が海外だと主張しており、フィリピンとナイジェリアが最も頻繁に挙げられた。

FTCは2023年7月から2025年7月までの間に、合計で500万件超の詐欺苦情を受理しており、そのうち約11%は海外発だった。

企業への教訓

FTCの報告書はデータが示す消費者保護上の含意を強調しているが、同庁はハッカーや詐欺師から情報を守ることについて、企業に対しても警告を発してきた。

報告書で委員会は、同庁の企業向け教育プログラムを取り上げ、ランサムウェア攻撃、詐欺、その他のサイバーインシデントを回避するための指針が含まれていると強調した。リソースには、ヒントをまとめたブログ記事、ランサムウェア予防に関する動画、従業員の備えを試すクイズなどが含まれる。

「企業はしばしばサイバー攻撃に対する最前線の防御として機能し、消費者データを保護するために合理的な慣行を実施する責任がある」とFTCは新たな報告書で述べた。「その結果、ランサムウェア攻撃と戦う最も重要な方法の一つは、企業が自らと保有するデータを守るために、合理的かつ適切な措置を講じることである」

ランサムウェア攻撃を回避するために、企業は不審なメールを見分けられるよう従業員を徹底的に訓練し、メールやその他のシステムに対する認証要件を強化し、侵入検知ソフトウェアを導入し、定期的なデータバックアップを実施すべきだとFTCは述べた。

国際協力

有害で詐欺的な行為と闘う取り組みを支えるため、FTCはデータ収集や違反者の調査において、海外のパートナーと定期的に連携している。FTCの年次報告の一環として、議会は同庁に対し、米国の主要なサイバー上の敵対国――ロシア、中国、イラン、北朝鮮――との、データセキュリティ保護および執行活動に関する協力についての情報を含めるよう求めている。

新たな報告書によれば、FTCはイランや北朝鮮とは接触しておらず、過去数年にわたりロシアおよび中国の関係機関とのやり取りも「限定的」なものにとどまり、「ランサムウェアやサイバー関連攻撃に関する直接的な執行協力はほとんど、あるいは全くない」という。

報告書によると、FTC職員は2024年にワシントンD.C.で開催された国際会議で、中国の消費者保護機関の代表者と非公式に会談した。中国側は任意の調査協力に関する合意の交渉を提案したとFTCは述べたが、「これら、または他の消費者保護のテーマについて、その後の関与はなかった」という。

立法面での後押し

報告書でFTCは、国際協力のいくつかの重要な形態を認めるUSA SAFE WEB法を恒久的に承認するよう議会に求めた。「SAFE WEBがなければ、国際的なパートナーと協働するFTCの能力は大幅に制限される」と同庁は述べた。「こうした法律が失効すれば、海外商取引に関連する詐欺その他の有害行為を追及するFTCの明確な権限が失われ、米国の消費者に劇的な影響を及ぼす可能性が高い」