「AIの利用をめぐるサイバーリスク」が初選出、「情報セキュリティ10大脅威 2026」を発表 IPA
情報処理推進機構(IPA)は1月29日、「情報セキュリティ10大脅威 2026」を発表しました。組織向けの脅威はランキング形式で発表され、「AIの利用をめぐるサイバーリスク」(3位)が今回初めて選出されました。他方、個人向けの脅威は順位を付けず50音順に発表されました。
組織向けの脅威は、下表の通りです。
表 情報セキュリティ10大脅威2026「組織向けの脅威」
| 順位 | 脅威 |
|---|---|
| 1位 | ランサム攻撃による被害 |
| 2位 | サプライチェーンや委託先を狙った攻撃 |
| 3位 | AIの利用をめぐるサイバーリスク |
| 4位 | システムの脆弱性を悪用した攻撃 |
| 5位 | 機密情報を狙った標的型攻撃 |
| 6位 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む) |
| 7位 | 内部不正による情報漏えい等 |
| 8位 | リモートワーク等の環境や仕組みを狙った攻撃 |
| 9位 | DDoS攻撃(分散型サービス妨害攻撃) |
| 10位 | ビジネスメール詐欺 |
このうち、ランサム攻撃による被害(1位)と機密情報を狙った標的型攻撃(5位)、内部不正による情報漏えい等(7位)は11年連続11回目の選出となりました。また、1位と2位(サプライチェーンや委託先を狙った攻撃)、5位は昨年と変わらず同じ順位でした。
10大脅威の発表では、2025年に発生した個別の事案は紹介されていませんが例えば、アサヒグループホールディングス、アスクル、インターネットイニシアティブ(IIJ)など、堅牢な体制を敷いていた企業でもサイバー攻撃による事業中断が発生しました。一方、機密情報を狙う標的型攻撃では、例えば中国を背景とするグループが確認され、政府は「パブリック・アトリビューション」(※)を展開しました。2025年8月、警察庁および国家サイバー統括室(NCO)が米国やオーストラリア、カナダなどとともに中国を背景とするサイバー攻撃グループ「ソルトタイフーン」(Salt Typhoon)によるサイバー攻撃に関する国際アドバイザリーの共同署名に参加しました。
個人向けの脅威は50音順に▽インターネット上のサービスからの個人情報の窃取▽インターネット上のサービスへの不正ログイン▽インターネットバンキングの不正利用▽クレジットカード情報の不正利用▽サポート詐欺(偽警告)による金銭被害▽スマホ決済の不正利用▽ネット上の誹謗・中傷・デマ▽フィッシングによる個人情報等の詐取▽不正アプリによるスマートフォン利用者への被害▽メールやSNS等を使った脅迫・詐欺手口による金銭要求—となりました。なお、「インターネットバンキングの不正利用」は4年ぶり8回目の選出となりました。
IPAは2月下旬以降、「情報セキュリティ10大脅威 2026」の解説をWebサイトに公開する予定です。
※サイバー攻撃の実行者やその背後にいる国家機関などを技術的分析などに基づき特定し、公の場でその組織名などを名指しで非難・公表する取り組みのこと。攻撃を抑止することを目的としています。
