セキュリティ◎IPA「情報セキュリティ10大脅威2026」解説

　独立行政法人情報処理推進機構（IPA）は1月29日、「情報セキュリティ10大脅威」の2026年版を発表しました。

　情報セキュリティ10大脅威は、2006年から続く老舗レポートです。前年に発生した情報セキュリティ被害やサイバー攻撃の状況などからIPAが脅威候補を選定し、情報セキュリティ分野の研究者や企業の実務担当者などで構成される「10大脅威選考会」による審議・投票を経て決まります。

　「組織」と「個人」の両部門があり、企業などを対象とした組織編についてはトップから10位までを特に警戒すべきものと位置づけ、情報セキュリティ10大脅威としてランキング形式で公開しています。

　2026年の脅威（組織）の顔ぶれに大きな変動はありませんでしたが、AIリスクが初めて候補となり上位に選出されました。以下、主なポイントを見ていきましょう。

ランサムウェアとSCリスクは前年から不動

　IPAが公開した情報セキュリティ10大脅威2026（組織）のランキングについて、前年順位から変動などと共に記載したのが下表です。

IPAが公表した「情報セキュリティ10大脅威2026」の組織向け脅威ランキング（出典：IPAの資料をもとに編集部にて作成）

　1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2026年も前年と同順位で、2023年から4年連続で変動なしという結果となりました。今年も、組織が最も警戒すべき脅威といえるでしょう。

　ランサムウェアが2026年もトップの脅威となった背景には、前年下期に発生したアサヒグループホールディングス（以下、アサヒGHD）とアスクルのランサムウェア被害が挙げられます。両被害とも受注・出荷業務は停止し、その影響は取引先など広範囲に及ぶなど災害級の規模となりました。

　さかのぼれば、2024年にはニコニコ動画など複数のWebサイトで障害が発生しサービスが停止したKADOKAWAや、印刷業務の委託元の情報が漏えいしたイセトー、さらに2025年2月には保険見直し本舗グループにおける被害など、社会的にも注目を集める事故が相次ぎました。

　今や、ランサムウェア攻撃がもたらす被害は「デジタル災害」とも呼ばれるようになり、その対策は喫緊の課題となっています。これは、中小企業とて例外ではありません。

　実際、警察庁サイバー警察局「令和7年におけるサイバー空間をめぐる脅威の情勢等について（令和8年3月公開）」によると、2025年のランサムウェア被害報告件数は226件と高止まりの状況です。2023年以降、中小企業の被害報告は増えており、2025年も前年同様に中小企業は全体の6割超を占めました。

企業・団体等における被害の報告件数の推移。ノーウェアランサムは暗号化を伴わない脅迫（出典：警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」から引用）

左は2025年の被害企業・団体等の規模別報告件数で、右は過去5年間の被害企業・団体等の規模別報告件数（出典：警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」から引用）

　また、ランサムウェア被害に関する調査・復旧の長期化や費用の高額化が進んでいることも前出の警察庁のレポートで明らかにされています。Ransomware as a Service（RaaS）や分業化などを背景に、ここ数年ランサムウェア攻撃の容易化が進んでいます。さらに後述するようにAIの悪用とあいまって、2026年はますますランサムウェア攻撃が高度化・激化し、被害規模はさらに拡大する可能性も指摘されています。

2026年はSCリスク対策に脚光

　2位にランクされた「サプライチェーンや委託先を狙った攻撃」は4年連続で同順位となり、ランサムウェアと同様に組織にとって大きな脅威として位置づけられています。そうした中で2026年、サプライチェーン（以下、SC）を狙う攻撃は単に2位の脅威というだけでなく、その対策への取り組みが大きくクローズアップされることになりそうです。

　というのも、2026年度下期にも「サプライチェーン強化に向けたセキュリティ対策評価制度（以下、セキュリティ対策評価制度）」の運用開始が見込まれているからです。

　SCを狙った攻撃とは組織や取引、サービスといった相互のつながりを悪用したものです。組織的なつながりでは、セキュリティが脆弱な子会社などを狙って侵入し、これを起点に本来のターゲットを攻撃します（これを「ビジネスSC攻撃」という／*1）。要は、弱い組織を踏み台とする手口です。
（*1）他に、ソフトウェア製品を狙う「ソフトウェアSC攻撃」、サービスやAPIを経由して狙う「サービスSC攻撃」がある

　実際、アサヒGHDとアスクルにおけるランサムウェアの被害も、その起点はSC攻撃であることが判明しています。

　アサヒGHDの被害では、「初期侵入の経路ではグループ内の拠点にあるネットワーク機器（*2）が起点となった」と報告されています。その後、アサヒGHDの組織ネットワークを経由してデータセンターへの侵入に至りました。
（*2）アサヒGHDは正式には明言していないが、VPN機器と推測されている

　また、アスクルは「業務委託先に付与していた管理者アカウントの一部で多要素認証が例外的に適用されておらず、その漏えいにより悪意の第三者による侵入を許した」と公表しました。

　こうした実態を鑑みれば、今やセキュリティ対策は自社だけで完結する時代ではありません。そこで進められているのが、セキュリティ対策評価制度というわけです。その制度化にあたっては、「サイバー空間のレジリエンス（強靭性）を確保するには中小企業を含めたサプライチェーン全体のセキュリティ対策の底上げが急務である」と指摘されており、中小企業も対応が迫られます。

　「当社には価値ある情報はないから狙われない」といったセキュリティにおいて免罪符ともされてきた旧態依然とした考え方は、もはや通用しません。自社に被害が及ばなかったとしても、踏み台に利用され関係先に甚大な二次被害を与えれば責任を問われます。この点を肝に命じて、2026年はしっかりと対策に取り組む必要がありそうです。

初の脅威候補「AIリスク」が3位にランクイン

　不動の1位と2位に続いて、初めて脅威候補となり3位にランクインしたのが「AIの利用をめぐるサイバーリスク」です。

　具体的に、どのようなリスクが想定されるのか。10大脅威では「AIの利用をめぐるサイバーリスク」は多岐にわたると述べており、AIへの不十分な理解に起因する意図しない情報漏えいや他者の権利侵害、AIにより加工・生成されたコンテンツなどを十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化や手口の巧妙化などを挙げています。

　AIに関わるリスクは多岐にわたりますが、セキュリティ視点でいえば最も留意すべきは「サイバー攻撃の手口やプロセスなど、さまざまな面でAI利用が当たり前になっている」ことでしょう。

　不正プログラムやフィッシングサイトの作成、ビジネス詐欺メール（BEC）などでのメール文の作成、本人確認書類の偽造、ボイスフィッシングでのなりすまし、さらにはAIエージェントによるサイバー攻撃の自動化など多様な局面でAIの悪用が増えています。

　実際、2025年には生成AIを悪用した不正アクセスにより中高生が逮捕された事件が話題を集め、日本ネットワークセキュリティ協会（JNSA）の「セキュリティ十大ニュース（関連記事：調査レポート◎JNSA 2025セキュリティ十大ニュース）」にもランクインしました。

　これらの事案は、携帯電話会社大手の楽天モバイルに不正アクセスして違法入手した回線の転売により利益を得た中高生と、大手インターネットカフェに不正アクセスした高校生が逮捕されたというもの。

　いずれも不正にアクセスするためのプログラムをAIで作成し、さらに処理速度の向上やシステムの防御をすり抜ける方法など、プログラムの機能を改善して攻撃の手口を巧妙化させるためにもAIを活用したとのことです。

　前出の警察庁のレポートでも、サイバー空間におけるAI悪用にフォーカスしています。「国家を背景とするサイバー攻撃グループがAI を利用して人間の介入なしにサイバー攻撃を実施したとの民間企業の報告がある」との事例を引き合いに、「自律的に作業を実行するAI エージェントがサイバー攻撃の全工程を人間が関与せずに、ほぼ自律的に実行できることを示している」と警鐘を鳴らしています。

　また、海外の事例として、政府機関に対しAIを悪用するマルウェアをメール添付して配布するサイバー攻撃を紹介。「警察庁において本件に係るマルウェアの検体を解析したところ、マルウェア本体にはサイバー攻撃に関する命令が記録されておらず、感染先の端末が利用する生成 AI サービスを悪用して不正な命令を生成することが確認された」としています。

　こうした事案は、すでにAIを悪用したサイバー攻撃がかなり広がっていることの証左といえるのではないでしょうか。

前年選出「地政学的リスク」はランクアップ

　情報セキュリティ10大脅威／組織編の4位以下は、前年10位の「不注意による情報漏えい等」が外れた以外、若干の順位変動は見られるものの顔ぶれは前年と同じとなりました。

　「システムの脆弱性を悪用した攻撃（第4位）」や「機密情報を狙った標的型攻撃（第5位）」、「内部不正による情報漏えい等（第7位）」、「ビジネスメール詐欺（第10位）」など、連続選出されてきた脅威が、2026年も名を連ねます。

　前年で初選出された「地政学的リスクに起因するサイバー攻撃（情報戦を含む）」は、一つランクアップして6位となっています。

　地政学的リスクとは、「特定の国や地域における地理的な条件により政治や社会、軍事などで緊張が高まるといった影響を及ぼす」こと。米国によるイランへの攻撃をきっかけとした中東情勢などに起因する国際的な緊張を背景に、サイバー攻撃増加への警戒感も高まっています。

　10大脅威では国家の関与が疑われるサイバー攻撃を想定しており、地政学的リスクに起因するサイバー攻撃そのものが業務に影響するというわけではありません。しかし、情報戦やサイバー攻撃が中東情勢を悪化させれば、日本企業も影響は免れないといえます。この意味で、地政学的リスクに起因するサイバー攻撃も注視しておくべき脅威でしょう。

　以上、情報セキュリティ10大脅威2026の組織編をベースに、2026年のサイバー攻撃の動向を概括しました。ランクが上位であるほど注目度やリスクは高いといえますが、下位ランクの脅威リスクが低いわけではありません。

　また、それぞれの脅威が密接に関連して複合的なリスクとして存在していることも留意点でしょう。例えば、AIのサイバーリスクは単独で存在しているわけではなく、前述したようにランサムウェア攻撃に用いられたり、ビジネスメール詐欺で巧妙なメール作成に悪用されたりするわけです。

　情報セキュリティを脅かす攻撃のトレンド傾向を知る指標として10大脅威ランキングを参照し、どのようなリスクが存在するかを理解すると共に、業種や所有データ、業務体制などの実態を踏まえて自組織にとってリスクの大きな脅威を優先して対策に取り組むことが大切です。