2026年1月29日、独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2026」（組織編）を公表しました。各脅威が自身や自組織にどう影響するかを確認することで、様々な脅威と対策を網羅的に把握できます。多岐にわたる脅威に対しての対策については基本的なセキュリティの考え方が重要です。本記事では、脅威の項目別に攻撃手口や対策例をまとめ、最後に組織がセキュリティ対策へ取り組むための考え方について解説します。

「情報セキュリティ10大脅威 2025」の解説はこちら。ぜひあわせてご覧ください。
「【速報版】情報セキュリティ10大脅威 2025 -脅威と対策を解説-」

情報セキュリティ10大脅威 2026概要

独立行政法人情報処理推進機構（IPA）は「情報セキュリティ10大脅威 2026」を発表しました。「組織」向けの脅威では、1位に「ランサム攻撃による被害」、2位「サプライチェーンや委託先を狙った攻撃」が前年と同じ順位を維持。3位には「AIの利用をめぐるサイバーリスク」が初選出にして上位にランクインし、AIの利活用におけるリスクが無視できないものであることを示しています。また、6位の「地政学的リスクに起因するサイバー攻撃」には「情報戦を含む」と追記され、偽情報などの影響工作も含む脅威と明示化されました。昨年では10位にランクインしていた「不注意による情報漏えい等」が圏外となりました。

2025年度版との比較

昨年との比較でまず注目したいのは、「AIの利用におけるサイバーリスク」が初選出にして3位という上位にランクインしたことです。生成AI（LLM：大規模言語モデル）の急速な普及に伴い、「AIを利用した際の情報漏えいや権利侵害」、「AIが生成した誤情報を鵜呑みにすることで生じる問題」、そして「AIの悪用におけるサイバー攻撃の容易化・高度化」と多岐にわたるリスクが現実的な脅威となっています。

新規項目のランクインに伴い、「不注意による情報漏えい等」が圏外となりましたが、不注意による情報漏えいは引き続き発生しており、対策が必要な脅威です。その他の項目については大きな変化はなく、「ランサム攻撃による被害」と「サプライチェーンや委託先を狙った攻撃」は、例年通り不動の1位2位となっています。

日本の大手企業も被害にあった「ランサム攻撃による被害」「サプライチェーンや委託先を狙った攻撃」

2025年版に続き、「ランサムウェアによる被害」と「サプライチェーンの弱点を悪用した攻撃」が1位・2位を占めました。これは2023年以降4年連続となっており、情報処理推進機構（IPA）によると、2025年もランサムウェア被害が多発し、取引先を含むサプライチェーン全体へ深刻な影響が及んだ事実が、この順位の不動ぶりを表しているとのことです。

ランサムウェア攻撃は、データを暗号化して復旧と引き換えに身代金を要求する手口に加え、窃取情報の公開をちらつかせる「二重脅迫」が主流です。2025年の象徴的な事例として、アサヒグループホールディングスへのランサムウェア攻撃がありました。これにより、受注・出荷システムに障害が発生し、一部商品の品薄など消費者にも影響が波及しました。また国内飲料事業では、昨年10月の暫定売上が前年同月比で約6割に落ち込むなど、事業面に大きな爪痕を残しています。*1https://asahigroup-holdings-ir-umb.azurewebsites.net/media/uvcchlul/2510j.pdf

アサヒグループホールディングスへのランサムウェア攻撃をはじめとした、国内のランサムウェア被害の事例については、以下の記事でも解説しています。ぜひあわせてご覧ください。
・【速報】アサヒグループホールディングス社長会見、犯行は「Qilin」―サイバー攻撃の全貌とセキュリティの盲点（https://www.sqat.jp/kawaraban/40295/）
・アサヒグループを襲ったランサムウェア攻撃（https://www.sqat.jp/kawaraban/39292/）
・アサヒグループも被害に ―製造業を揺るがすランサムウェア攻撃（https://www.sqat.jp/kawaraban/39672/）
・【2025年最新】日本国内で急増するランサムウェア被害-無印良品・アスクル・アサヒグループの企業の被害事例まとめ-（https://www.sqat.jp/kawaraban/39635/）

ランサムウェア攻撃は有名企業に限らず、体制が手薄な中小企業も広く標的とします。ひとたびシステムが完全に暗号化されると、復旧には多大な時間とコストを要します。そのため、侵入を防ぐ観点では、外部公開されたVPN機器等の棚卸しによる不要な経路の閉鎖、必要な経路への多要素認証の徹底、そして機器の脆弱性管理を継続することが重要です。あわせて、侵入されても業務を止めないために、ネットワークから切り離したバックアップの確保や復元訓練、ログ監視、初動手順の整備を行い、平時から「短期間で業務を戻せる設計」を作っておくことが求められます。

一方、サプライチェーン攻撃は、標的企業への直接侵入が難しい場合に、セキュリティ対策が手薄な取引先や委託先を足がかりに侵入する点が特徴です。多くの企業がクラウドサービスや外部ベンダーに依存する現在、攻撃者はその隙を狙っています。2025年の事例として、アスクル株式会社のシステムへのランサムウェア攻撃がありました。例外的に多要素認証を適用していなかった業務委託先の管理者アカウントが侵入経路になったとされています。*2https://pdf.irpocket.com/C0032/PDLX/O3bg/N4O3.pdf その結果、出荷業務の停止に追い込まれ、約52億円を特別損失に計上する事態へと発展しました。*3https://www.asahi.com/articles/ASV1X2JHCV1XULFA00PM.html?msockid=2739819a4d9763db2b0695754cf96280

サプライチェーン攻撃は自社の努力だけでは防ぎきれず、委託先を含む全体での統制が必要です。契約時にセキュリティ要件を明確にし、例外運用を恒常化させない仕組み作りが不可欠です。加えて、ゼロトラストアーキテクチャを採用し、すべてのアクセスを検証する仕組みを構築することも有効な対策となります。

急速な普及と共に顕在化している「AIの利用をめぐるサイバーリスク」

「情報セキュリティ10大脅威 2026」では、新たに「AIの利用をめぐるサイバーリスク」が3位にランクインしました。ここでのリスクとは、AIへの理解不足に起因する情報漏えいや権利侵害、誤情報の鵜呑みによる判断ミス、さらにAI悪用によるサイバー攻撃の容易化・巧妙化など多岐にわたります。例えば、英国企業ArupではAI技術（ディープフェイク）で生成された偽のCFOや従業員とのビデオ会議により、2,500万ドルの詐欺被害に遭ったと発表されました。「映像や音声で会話ができるなら本人に間違いない」という心理的な隙を突いた攻撃手法です。*4https://www.cfodive.com/news/scammers-siphon-25m-engineering-firm-arup-deepfake-cfo-ai/716501/また、「KawaiiGPT」のような攻撃用にカスタマイズされた悪性AIの登場により、経験の浅い攻撃者でも、従来は数時間〜数日かかっていた攻撃サイクルをわずか数分で実行できる環境が整備されつつあります。また、「KawaiiGPT」のような攻撃用にカスタマイズされた悪性AIの登場により、経験の浅い攻撃者でも、従来は数時間〜数日かかっていた攻撃サイクルをわずか数分で実行できる環境が整備されつつあります。*5https://unit42.paloaltonetworks.com/dilemma-of-ai-malicious-llms/

攻撃を受けるリスクだけでなく、AIの「利用者側」のリスクも無視できません。米国企業Teslaは、発表イベントで使用したAI生成画像が既存映画の場面に酷似しているとして、制作会社から提訴されました。*6https://www.reuters.com/legal/litigation/tesla-musk-likely-cant-escape-blade-runner-2049-lawsuit-judge-says-2026-02-04/自社生成した画像であっても、意図せず既存作品に似てしまい法的リスクを招く一例です。また、生成AIが捏造した判例や引用を、弁護士が検証不足のまま提出して懲戒処分などに発展した事例も複数報じられています。*7https://www.theguardian.com/us-news/2025/may/31/utah-lawyer-chatgpt-ai-court-briefこれは法務だけの問題ではなく、AIによる「もっともらしい誤情報」が人の判断ミスを誘発するという重要な示唆を含んでいます。基本的なセキュリティ対策の徹底はもちろんですが、不十分な理解のままAIを利用するリスクを認識し、教育を通じてAIリテラシーを強化することも重要となっています。

情報戦への拡大「地政学的リスクに起因するサイバー攻撃（情報戦を含む）」

「地政学的リスクに起因するサイバー攻撃」とは、国際情勢の緊張や対立が、直接的にサイバー空間の脅威へと波及するリスクを指します。今回、項目名に「情報戦を含む」と明示されたように、国家が支援するサイバー攻撃は、システムの破壊や金銭の窃取に留まりません。偽情報の流布や情報操作を通じて、選挙への介入や社会の混乱を狙うケースが増加しています。英国では、現職議員が「離党を宣言する」かのようなAI生成の偽動画（ディープフェイク）が拡散され、本人が警察に通報する事態が報じられました。*8https://www.theguardian.com/politics/2025/oct/18/tory-mp-reports-ai-generated-deepfake-video-of-him-announcing-defection-to-reform-ukこれは、AIによって「本物に見える偽情報」の作成コストが劇的に低下し、政治家を標的とした情報工作が、選挙制度や民主主義にとって深刻な脅威となりつつあることを示しています。

このように、地政学的リスクに伴うサイバー攻撃において、情報戦や影響工作のリスクが今後も高まると予測されることが、今回あえて「情報戦を含む」と明記された背景にあると考えられます。

その他の脅威

ここからは、これまでに述べた4つ以外の脅威について説明します。

4位「システムの脆弱性を悪用した攻撃」

ソフトウェアやシステムの脆弱性が発見されると、攻撃者は修正プログラムが提供される前に攻撃を仕掛ける「ゼロデイ攻撃」を行うことがあります。また、修正プログラム公開後であっても、適用の遅れている企業や組織を狙い、既知の脆弱性を悪用するケースも後を絶ちません。2025年に報告されたNext.jsの脆弱性「React2Shell」の事例（※ページ下部に参考情報記載）では、公表からわずか二日後に実際の攻撃が確認され、一週間以内に観測された攻撃試行回数は約140万回にも及んだとされています。*9https://www.greynoise.io/blog/react2shell-exploitation-consolidatesこのように攻撃者は脆弱性公開から直ちに悪用を開始するため、最新情報を常に追跡し、迅速に対応することが求められます。

対策： 最新のセキュリティパッチを迅速に適用することが不可欠です。また、どこにどのソフトウェアが使われているかを把握するため、SBOM（ソフトウェア部品表）の導入など、脆弱性管理体制の強化が有効です。

5位「機密情報を狙った標的型攻撃」

標的型攻撃とは、明確な意思と目的を持った攻撃者が、特定の企業・組織・業界を狙い撃ちにするサイバー攻撃です。不特定多数への無差別な攻撃とは異なり、機密情報の窃取やシステムの破壊・停止といったゴールを定め、執拗に実行される点が特徴です。攻撃は長期間継続することが多く、ターゲットのネットワーク内部に数年間にわたり潜伏して活動する事例も確認されています。

対策： 従業員への標的型攻撃メール訓練、メールセキュリティの強化、多要素認証の実施などが基本的です。加えて、侵入を前提とした「ゼロトラストモデル」の導入やネットワーク監視、アプリケーション許可リストの活用により、侵入の防止だけでなく早期発見と対処を可能にする体制づくりが有効です。

7位「内部不正による情報漏えい等」

組織の従業員や元従業員など、内部関係者による機密情報の持ち出しや削除といった不正行為を指します。これには、組織への不満や金銭目的による「悪意ある犯行」だけでなく、ルールに違反して持ち出したデータの紛失・誤操作といった、第三者への漏えいにつながる「過失」も含まれます。発生すれば、社会的信用の失墜、損害賠償、顧客離れや取引停止に加え、技術情報の流出による競争力低下など、組織に甚大な損害をもたらす恐れがあります。

対策： アクセス権限の最小化、ログ監視の強化、定期的な従業員教育、退職者のアカウント管理徹底、そして機密情報の持ち出しルールの策定などが有効です。これらを組み合わせ、不正行為の「抑止」と「早期発見」を図ることが重要です。

内部不正による情報漏えいついては以下の記事でも解説しています。ぜひあわせてご覧ください。「内部不正による情報漏えい-組織全体で再確認を！-」

8位「リモートワーク等の環境や仕組みを狙った攻撃」

新型コロナウイルス対策を契機にテレワークが急速に普及し、社外からVPN経由でシステムへアクセスしたり、オンライン会議を行ったりする機会が定着しました。その結果、セキュリティ対策が不十分な自宅ネットワークや私物PCの業務利用に加え、従来は出張時や緊急時のみの使用を想定していたVPN機器等が、恒常的に使われるようになりました。こうしたテレワーク環境に脆弱性が残っていると、社内システムへの不正アクセスやマルウェア感染、Web会議の盗聴といった深刻なリスクにつながります。トレンドマイクロによれば、過去2年間に行ったランサムウェア被害に対するインシデント対応支援の中でも、およそ7割がVPN経由の事例とのことであり、VPN機器の徹底した管理が求められます。*10https://www.trendmicro.com/ja_jp/jp-security/25/l/expertview-20251218-01.html

対策： ゼロトラストセキュリティの導入、VPN装置等のネットワーク機器に対するセキュリティ強化とパッチ適用、多要素認証の徹底、そして従業員へのセキュリティ教育の実施などが有効です。

9位「DDoS攻撃（分散型サービス妨害攻撃）」

攻撃者が乗っ取った複数の機器（ボットネット）から、特定のサーバやネットワークに対して大量の通信を送り付け、サービスを停止に追い込む攻撃です。近年は、セキュリティ対策が手薄なIoT機器が悪用され、攻撃規模が巨大化しています。また、単なる愉快犯的な妨害だけでなく、攻撃停止と引き換えに金銭を要求する「ランサムDDoS」が増加傾向にあります。これにより、ECサイトの長時間のダウンによる金銭や顧客の離脱などの機会損失や、クラウドサービスの従量課金制を悪用し、数千万円規模の過大請求を発生させる（EDoS攻撃）等、事業継続に直結する深刻な被害が発生しています。

対策：自社設備だけでの防御は困難なため、CDN（Contents Delivery Network）やWAF（Web Application Firewall）などの対策サービスを導入し、負荷分散と遮断を行うことが基本です。あわせて、攻撃の影響を受けない非常用回線の確保やシステムの冗長化、停止時の代替サーバや告知手段を事前に整備することが重要です。

DoS攻撃/DDoS攻撃については以下の記事でも解説しています。ぜひあわせてご覧ください。「DoS攻撃のリスクと対策：アクセス急増の原因と見分け方、サービス停止を防ぐ初動対応」

10位「ビジネスメール詐欺」

ビジネスメール詐欺（BEC：Business Email Compromise）は、業務連絡を装った巧妙な偽メールを組織・企業に送り付け、従業員を騙して資金を詐取するサイバー攻撃です。攻撃者は準備段階として、企業内の情報を狙ったり、ウイルスを使用して業務メールを盗み見たりすることで、本物そっくりの文面やタイミングを作り上げます。

対策： 送信ドメイン認証（DMARC・SPF・DKIM）の導入やセキュリティソフトによるフィルタリング強化といった技術的対策に加え、不審な送金依頼に対する複数人確認ルールの徹底、従業員への訓練を行い、被害の防止と早期発見を図ることが有効です。

ビジネスメール詐欺については以下の記事でも解説しています。ぜひあわせてご覧ください。 「ビジネスメール詐欺（BEC）の脅威と企業に求められる対策」

【参考情報】

• 独立行政法人情報処理推進機構（IPA）「情報セキュリティ 10大脅威2025組織編～どこから攻撃されても防御ができる十分なセキュリティ対策を～」（https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf）
• 「React2Shell」の事例（公表日：2025/12/3）
  https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
• 「React2Shell」の事例（悪用観測、公表日：2025/12/5）
  This CVE is in CISA’s Known Exploited Vulnerabilities Catalog,https://nvd.nist.gov/vuln/detail/CVE-2025-55182
• トレンドマイクロ社「アサヒグループへのランサムウェア攻撃事例を記者会見から考察～今、注意すべき「データセンター」への侵害」（https://www.trendmicro.com/ja_jp/jp-security/25/l/expertview-20251218-01.html）
• Cloudflare,Hyper-volumetric DDoS attacks skyrocket: Cloudflare’s 2025 Q2 DDoS threat report（2025/7/15）,（https://blog.cloudflare.com/ddos-threat-report-for-2025-q2/）

BBSecでは

当社では様々なご支援が可能です。お客様のご状況に合わせて最適なご提案をいたします。当当サイトSQAT^® jpのお問い合わせページよりお気軽にお問い合わせください。後日営業担当者よりご連絡させていただきます。

SQAT^® 脆弱性診断

BBSecの脆弱性診断は、精度の高い手動診断と独自開発による自動診断を組み合わせ、悪意ある攻撃を受ける前にリスクを発見し、防御するための問題を特定します。Webアプリケーション、ネットワークはもちろんのこと、ソースコード診断やクラウドの設定に関する診断など、診断対象やご事情に応じて様々なメニューをご用意しております。

SQAT^® ペネトレーションテスト

「ペネトレーションテスト」では実際に攻撃者が侵入できるかどうかの確認を行うことが可能です。脆弱性診断で発見したリスクをもとに、実際に悪用可能かどうかを確認いたします。

ウェビナー開催のお知らせ

最新情報はこちら

編集責任：木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る