フィッシング被害額について少し調べてみた。Gartnerが8月2日（米国時間）に発表したレポートによると、過去12カ月（2004年6月から今年5月位か？）で約27億5000万ドルに上ったという。

　Gartnerが新たに発表したレポートによると、キャッシュカードやデビットカードに関連するフィッシングの被害額は、過去12カ月で約27億5000万ドルに上ったという。
　米国時間2日に公表されたこのレポートは、5000人の米国人を対象にGartnerが行った調査の結果をまとめたものだが、それによると、過去1年間に300万人の米国人がオンライン詐欺に遭っており、被害額の平均は1人あたり900ドルを上回ったという。
キャッシュカードを悪用するフィッシング、被害額は1年で約27億5000万ドルに（CNET Japan, 2005/8/3）

昨年のレポートでは、約12億ドル（2003年5月から2004年4月までの1年間）だったので、倍以上に増えている。

　米国では昨年5月から今年4月までの1年間、ID 窃盗被害に遭った成人は200万人近くに上り、被害総額は24億ドルに達していた。調査会社 Gartner (NYSE:IT) の調べで明らかになった。
（中略）
　オンライン詐欺被害総額24億ドルのうち半分ほどがフィッシングによるものと、Litan 氏は Gartner が先月発表した報告書に書いていた。その報告書は、5700万人の米国人が直近1年間にフィッシングがらみの Eメールを受け取ったと推定している。

ID 窃盗、米国では1年間で24億ドルの被害（Japan.internet.com, 2004/6/17）

http://hotwired.goo.ne.jp/news/business/story/20040513106.html（WIRED NEWS, 2004/5/10）

警察庁が発表した資料では、Gartner調べということで、米国のフィッシング被害額が約9億3000万ドルと書かれている。どれが正しいのだろう。

　既に大きな被害が発生している米国では、年間で約７，３００万人が平均５０件以上のフィッシングメールを受け取り、その被害額は約９億３千万ドル（約１，０００億円）に達しています（米国ガートナー社調べ）
夏休み機関における情報セキュリティに係る注意喚起について〜フィッシングやスパイウェアへの対応について〜（pdfファイル）（警察庁, 2005/7/20）

被害額1000億円というのは、読売新聞や日経新聞にもあった。

スパイウエア、フィッシング詐欺　企業被害も補償（読売新聞, 2005/8/24）
ネットで個人情報詐取、米被害１年で101億円・民間推計（NIKKEI NET, 2005/6/27）

米Ponemon Instituteが2004年9月に発表した調査結果では、フィッシング被害額は米国全体でおよそ5億ドルとしている。Gartnerの調査結果とはかなりの差がある。どちらが実際の数字に近いのだろう。

　米国時間29日に発表されたある調査結果によると、米国の消費者は「フィッシング」として知られるオンライン詐欺で総額5億ドルの被害に遭っているという。

（中略）

　このような詐欺行為が増加傾向にあることは誰もが認めているが、その被害額については意見が分かれている。Trusteの5億ドルという数字は、被害者の平均的な損害額が115ドルであるという調査結果を、一般的にいわれているインターネット人口にあてはめて算出したと、同団体の広報担当Carolyn Hodgeは述べた。同氏によるとこの数字は、これまでのフィッシング詐欺の被害額を全部合わせたものだという。ところがこの数字は、6月にGartnerから発表された数字とは大きく異なる。Gartnerは12カ月間でフィッシング詐欺の被害額が24億ドルにものぼったと計算していた。
「米国のフィッシング被害額は5億ドル」--米調査（CNET Japan, 2004/9/30）

「フィッシングによる米消費者の被害額は5億ドル」，米Ponemon Institute（IT Pro, 2004/9/30）
米国におけるフィッシング詐欺の被害額は約5億ドルとの最新調査結果（INTERNET Watch, 2004/9/30）

こんな数字もある。TowerGroupは2004年の被害総額を1億3710万ドルになると試算している。これは米国の被害額ではなく世界被害額とのこと。直接的な被害となっているが、これは消費者側だけの被害額ということだろうか。企業のサポートコストや営業損失などは含まないということなのか。

　米TowerGroupは米国時間12月1日、フィッシングに関する調査結果を発表した。それによると、2004年のフィッシングによる世界被害額は1億3710万ドルとなる見込みだが、「一般的に論じられているほどの損害額ではない」
（中略）
　「フィッシング攻撃により、犯罪者は消費者のデータを不正に取得できるが、口座にアクセスしてお金を盗むなど、実際の詐欺行為につながる例はあまり多くない」と述べている。「最終的には、詐欺による直接的な被害額よりも、増え続けるフィッシングを管理する費用の方が、はるかに大きいものとなる」
「意外に少ない？」、2004年世界フィッシング被害は1億3710万ドル（日経BP, 2004/12/2）

実はそれほど多くない？フィッシング詐欺の被害額（ITmedia, 2004/12/2）

確かに消費者よりも企業側の損害の方が大きいかも知れない。米アースリンクはフィッシング攻撃1件当たりの対処コストが4万ドル強（ピーク時は11万5000ドル）もかかっているらしい。調査会社が出す数字は調査対象や方法によって結果が大きく異なりあまり信用できないが、アースリンクのこの数字は間違いないだろう。

　「顧客への教育プログラムの実施と、ScamBlockerの無料配布というフィッシングに対する“2本立て”対策は、着実に実を結んでいる」と、アースリンクの業務担当上級副社長、リンダ・ベック氏は自負する。実際、同社では、以前はフィッシング攻撃1件につき4万件の電話を受けていたが、今では同社のコールセンターが処理するフィッシング関連の電話は、1カ月当たり1万〜1万2,000件程度となっている。その結果、フィッシング攻撃1件当たりの対処コストは、ピーク時の11万5,000ドルから4万ドル強へと減少したという。
待ったなし！ フィッシング対策 | 電子商取引の存在を脅かす詐欺行為から、顧客の財産と企業の“信用”を守れ（CIO Magazine 2005年2月号）

では、国内の状況はというと、こんな感じだ。調査会社などの数字がないので報道されたものだけ。

　通信業者からＩＤの再契約の手続きとして、電子メールが届いた。住所、氏名、カード会員番号などを記載するようにとあったので、入力して返送した。数か月して、友人からフィッシング詐欺の話を聞いて、自分もその被害にあったのかもしれないと心配になり、カードの利用を停止した。最近になって、クレジット会社から身に覚えのないオンラインショッピングによる利用代金として５０万円を超える請求を受けた。どうしたらよいか。
「フィッシング」被害　カード会社から50万円の請求（国民生活センター, 2005/6/3）

　UFJカードは2月7日、同社のクレジットカード会員がフィッシング詐欺の被害に遭った可能性があることを明らかにした。偽造カードによるキャッシングで約150万円が不正に引き出されたという。
　同社によると、2004年9月から10月にかけ、ルーマニアなどで偽造カードの使用が発覚。調べたところ、33人のカードが偽造され、うち8人のカードでキャッシングが不正利用され、総額約150万円が引き出されていたという。
UFJカード会員がフィッシング詐欺被害か（ITmedia, 2005/2/7）

UFJカードでフィッシング詐欺、被害総額は150万円（CNET Japan, 2005/2/8）