2026-02-25
独立行政法人情報処理推進機構(以下IPAという)は、1月29日「情報セキュリティ10大脅威 2026」を公表した。
IPAでは、国民の情報セキュリティにおける脅威への関心喚起、対策実施の促進を目的として、2006年から「情報セキュリティ10大脅威」を公表している。
「情報セキュリティ10大脅威」は、前年に発生した情報セキュリティの事故や攻撃の状況などから、脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約250名のメンバーで構成する「10大脅威選考会」の投票を経て決定されており、「組織」の立場と「個人」の立場でそれぞれ「10大脅威」として公表されている。
具体的には、「組織」の「10大脅威」は、
1.ランサム攻撃による被害
2.サプライチェーンや委託先を狙った攻撃
3.AIの利用をめぐるサイバーリスク
4.システムの脆弱性を悪用した攻撃
5.機密情報を狙った標的型攻撃
6.地政学的リスクに起因するサイバー攻撃(情報戦を含む)
7.内部不正による情報漏えい等
8.リモートワーク等の環境や仕組みを狙った攻撃
9.DDoS攻撃(分散型サービス妨害攻撃)
10.ビジネスメール詐欺
「個人」の「10大脅威」は、五十音順で示されており、
・インターネット上のサービスからの個人情報の窃取
・インターネット上のサービスへの不正ログイン
・インターネットバンキングの不正利用
・クレジットカード情報の不正利用
・サポート詐欺(偽警告)による金銭被害
・スマホ決済の不正利用
・ネット上の誹謗・中傷・デマ
・フィッシングによる個人情報等の詐取
・不正アプリによるスマートフォン利用者への被害
・メールやSNS等を使った脅迫・詐欺の手口による金銭要求
となっている。
なお、「個人」向け脅威は、順位表記をせず五十音順で列挙されているが、全てに十分な注意、対策が必要とされている。
「組織」向け脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位に変わりがなかったが、2025年もランサムウェアに感染した企業・組織が多く確認され、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例もあり、こうした情勢がランキングにも反映されていることがうかがえる。
今回初めて脅威候補となった「AIの利用をめぐるサイバーリスク」は、3位にランクインした。「AIの利用をめぐるサイバーリスク」で想定されるものは多岐にわたっており、AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害といった問題、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化等が挙げられている。
「個人」向け脅威では、「インターネットバンキングの不正利用」が2023年以降、圏外となっていたが、4年ぶりに復活しており、これは、昨今の被害の状況を踏まえた結果と考えられる。
なお、「情報セキュリティ10大脅威 2026」の詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開することが予定されている。
(参考)「情報セキュリティ10大脅威 2026」を決定
