情報処理推進機構(IPA)は1月29日、情報セキュリティの脅威において、2025年に社会的影響が大きかったトピックスを「情報セキュリティ10大脅威 2026」として発表した。その概要は以下のとおり。
■情報セキュリティ10大脅威 2026[組織]
順位 「組織」向け脅威(初選出年) 10大脅威での取り扱い(2016年以降) 前年順位
1位 ランサム攻撃による被害(2016年)11年連続11回目 1位
2位 サプライチェーンや委託先を狙った攻撃(2019年)8年連続8回目 2位
3位 AIの利用をめぐるサイバーリスク(2026年) 初選出 なし
4位 システムの脆弱性を悪用した攻撃(2016年) 6年連続9回目 3位
5位 機密情報を狙った標的型攻撃(2016年)11年連続11回目 5位
6位 地政学的リスクに起因するサイバー攻撃(情報戦を含む)(2025年)2年連続2回目 7位
7位 内部不正による情報漏えい等(2016年)11年連続11回目 4位
8位 リモートワーク等の環境や仕組みを狙った攻撃(2021年)6年連続6回目 6位
9位 DDoS攻撃(分散型サービス妨害攻撃)(2016年)2年連続7回目 8位
10位 ビジネスメール詐欺(2018年)9年連続9回目 9位
■情報セキュリティ10大脅威 2026[個人](五十音順)
「個人」向け脅威(初選出年) 10大脅威での取り扱い(2016年以降)
・インターネット上のサービスからの個人情報の窃取(2016年) 7年連続10回目
・インターネット上のサービスへの不正ログイン(2016年) 11年連続11回目
・インターネットバンキングの不正利用(2016年) 4年ぶり8回目
・クレジットカード情報の不正利用(2016年) 11年連続11回目
・サポート詐欺(偽警告)による金銭被害(2020年) 7年連続7回目
・スマホ決済の不正利用(2020年) 7年連続7回目
・ネット上の誹謗・中傷・デマ(2016年) 11年連続11回目
・フィッシングによる個人情報等の詐取(2019年) 8年連続8回目
・不正アプリによるスマートフォン利用者への被害(2016年) 11年連続11回目
・メールやSNS等を使った脅迫・詐欺の手口による金銭要求(2019年) 8年連続8回目
「組織」向け脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位に変わりがなかった。2025年もランサムウェアに感染した企業・組織が多く確認され、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例もあり、こうした情勢がランキングにも反映されていることがうかがえる。
また、今回初めて脅威候補となった「AIの利用をめぐるサイバーリスク」が3位にランクインした。
「AIの利用をめぐるサイバーリスク」で想定されるものは多岐にわたる。AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害といった問題、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化、などが挙げられる。上位にランクインした背景にはこのような多岐にわたるリスクの存在が考えられる。
一方、「個人」向け脅威では、「インターネットバンキングの不正利用」が2023年以降、圏外となっていたが、4年ぶりに2026年で復活した。昨今の被害の状況を踏まえた結果と考えられる。
「組織」向け脅威への対策は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制に、どのようなリスクがあるのかを洗い出すことが重要。さらに委託先を含むサプライチェーン上のリスクの洗い出しや対策状況の確認についても可能な限り同等に行うことが望まれる。
「個人」向け脅威のラインナップに大きな変化はないが、脅威の呼称が同じであっても、常に手口は巧妙に変化し続けている。IPAのウェブサイトで、最新の手口に関する情報を確認し、手口の変化に応じた対策を把握することが重要。
関連リンク