「情報セキュリティ10大脅威 2026」公開 新たに登場した"ある脅威"とは？：セキュリティニュースアラート

IPAは「情報セキュリティ10大脅威 2026」を公表した。「組織」と「個人」という2つの立場から脅威を整理し、公表している。組織向けの脅威に新たにランクインした“ある脅威”とは何か。

[ITmedia エンタープライズ編集部]

　情報処理推進機構（以下、IPA）は2026年1月29日、「情報セキュリティ10大脅威 2026」を公表した。「組織」と「個人」という2つの立場から脅威を整理し、公表している。

　情報セキュリティ10大脅威は、セキュリティに関する脅威への関心喚起および対策実施の促進を目的とする取り組みで、2006年から毎年実施されている。前年に発生した情報セキュリティ事故や攻撃の状況を踏まえ、IPAが脅威候補を選定し、情報セキュリティ分野の研究者や企業の実務担当者など約250人で構成される「10大脅威選考会」による審議と投票を経て決定した。

情報セキュリティ10大脅威 2026公開　新たに登場した“ある脅威”

　「組織」においては、1位が「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」となり、これら2つは2023年以降、4年連続で同じ順位となった。2025年においてもランサムウェア感染による被害が多数確認され、取引先を含むサプライチェーン全体に影響が及んだ事例が見られた状況が反映された形となった。

　今回の特徴として、3位の「AIの利用を巡るサイバーリスク」が初めて選ばれた点が挙げられた。AIに関するリスクとしては、十分な理解がないまま利用することによる意図しない情報漏えい、他者の権利侵害につながる問題、生成結果を検証せず利用することに起因する問題、悪用による攻撃の容易化や手口の巧妙化などが想定され、多様なリスクが存在することが上位に位置付けられた背景として示された。

　この他の「組織」の脅威には、「システムの脆弱（ぜいじゃく）性を悪用した攻撃」「機密情報を狙った標的型攻撃」「地政学的リスクに起因するサイバー攻撃（情報戦を含む）」「内部不正による情報漏えいなど」「リモートワークなどの環境や仕組みを狙った攻撃」「DDoS攻撃（分散型サービス妨害攻撃）」「ビジネスメール詐欺」が含まれた。多くの項目が長期間にわたり継続して選出されている。

　「個人」の脅威においては「インターネット上のサービスからの個人情報の窃取」「インターネット上のサービスへの不正ログイン」「クレジットカード情報の不正利用」「ネット上の誹謗・中傷・デマ」「不正アプリによるスマートフォン利用者への被害」などが挙げられた。2026年版では「インターネットバンキングの不正利用」が4年ぶりに選ばれた点が注目されており、近年の被害状況を踏まえた結果となった。「個人」への脅威は順位付けされず、五十音順で列挙されており、全てにおいて対策が必要と注意を促した。

　IPAは「組織」に関する脅威への対応として、最新のセキュリティ情報を継続的に収集し、利用中の機器やサービスに適切な対策を講じること、自組織の事業や体制に照らしてリスクを洗い出すことが重要と説明した。また委託先を含むサプライチェーン全体についても、リスク把握や対策状況の確認を可能な範囲で実施することが望ましいとしている。

　「個人」の脅威については、脅威の名称が同一であっても手口が変化し続けている点に留意する必要があると説明した。IPAのWebサイトで最新の手口を確認し、それに応じた対策を把握することが重要とした。

　情報セキュリティ10大脅威 2026の詳細な解説は、2026年2月下旬以降、順次IPAのWebサイトで公開される予定だ。読者の理解を深め、企業や組織の研修や教育に活用されることで、セキュリティ対策の普及に寄与することが見込まれる。