ニュース
IPA、「情報セキュリティ10大脅威2026」を発表~ AI利用によるサイバーリスク初選出
2026年1月30日 15:56
独立行政法人情報処理推進機構(IPA)は1月29日、2025年に発生し、社会的に影響の大きかったセキュリティ脅威をまとめた「情報セキュリティ10大脅威2026」を発表した。
同機構が毎年とりまとめているもので、2025年に発生した情報セキュリティが懸念される事案から脅威候補を選出し、セキュリティ分野の研究者、企業の実務担当者などの約250名のメンバーからなる「10大脅威選考会」による審議・投票で決定される。
組織部門では「AIの利用をめぐるサイバーリスク」が第3位に
組織を対象とした脅威については、1位の「ランサム(ランサムウェア)攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位が変動しなかった。
一方、今回新設された「AIの利用をめぐるサイバーリスク」が3位にランクインした。この背景として、IPAはAIへの不十分な理解による情報漏えいや他者の権利侵害、加工・生成した結果を鵜呑みにする問題、悪用によるサイバー攻撃の容易化・手口の巧妙化などを挙げている。
IPAは、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制にどのようなリスクがあるのかを洗い出すことが重要だとしている。さらに、委託先を含むサプライチェーンのリスクの洗い出しや対策状況の確認を行うことも望ましいという。
| 順位 | 脅威(カッコ内は前回順位) |
| 1位 | ランサム攻撃による被害(1位) |
| 2位 | サプライチェーンや委託先を狙った攻撃(2位) |
| 3位 | AIの利用をめぐるサイバーリスク(初選出) |
| 4位 | システムの脆弱性を悪用した攻撃(3位) |
| 5位 | 機密情報を狙った標的型攻撃(5位) |
| 6位 | 地政学的リスクに起因するサイバー攻撃(情報戦を含む)(7位) |
| 7位 | 内部不正による情報漏えい等(4位) |
| 8位 | リモートワーク等の環境や仕組みを狙った攻撃(6位) |
| 9位 | DDoS攻撃(分散型サービス妨害攻撃)(8位) |
| 10位 | ビジネスメール詐欺(9位) |
個人部門では「インターネットバンキングの不正利用」が再び選出
また、個人を対象とした脅威については次の通り。昨年と同じく、ラインアップに大きな変化はないが、2023年以降に圏外となっていた「インターネットバンキングの不正利用」が再び選出されている。
こうした脅威の手口は常に巧妙化しており、最新の手口に関する情報を確認し、手口の変化に応じた対策を知っておくことが重要だとしている。
なお、昨年と同様、個人については順位がつけられていない。IPAは、各自の環境に照らし合わせ、関係する脅威に対して対策を行うことを呼び掛けている。
| インターネット上のサービスからの個人情報の窃取(2016年/7年連続10回目) |
| インターネット上のサービスへの不正ログイン(2016年/11年連続11回目) |
| インターネットバンキングの不正利用(2016年/4年ぶり8回目) |
| クレジットカード情報の不正利用(2016年/11年連続11回目) |
| サポート詐欺(偽警告)による金銭被害(2020年/7年連続7回目) |
| スマホ決済の不正利用(2020年/7年連続7回目) |
| ネット上の誹謗・中傷・デマ(2016年/11年連続11回目) |
| フィッシングによる個人情報等の詐取(2019年/8年連続8回目) |
| 不正アプリによるスマートフォン利用者への被害(2016年/11年連続11回) |
| メールやSNS等を使った脅迫・詐欺の手口による金銭要求(2019年/8年連続8回目) |