「技術だけでは防げない」 Gartnerが示す、日本国内の最新インシデント傾向：セキュリティニュースアラート

Gartnerは日本の主要セキュリティ事故を整理し、日々発生する事案も含めて全体像を捉え、多様なリスクへ備える必要があると指摘している。

[ITmedia エンタープライズ編集部，ITmedia]

　ガートナージャパン（以下、Gartner）は2026年4月14日、日本国内におけるセキュリティ・インシデントの傾向を公表した。社会的影響の大きい事故だけでなく、日々発生する事案も含めて全体像を捉え、多様なリスクへ備える必要があると指摘している。

サプライチェーンからAIまで　Gartnerが示す国内事故傾向

　Gartnerによると、日本で直近に見られるセキュリティ・インシデントは10パターンに整理できる。同社の木村陽二氏（シニア プリンシパル アナリスト）は、国内で起きているインシデントや、新たに現れた脅威を俯瞰（ふかん）し、備えるべきリスクを見極める必要があると説明した。注目を集める大規模事案のみに目を奪われず、日常的に発生しているインシデントを理解する姿勢が欠かせないとしている。

　Gartnerが指摘する、セキュリティ・インシデントの傾向は次の通りだ。

サプライチェーン・サイバーリスクの拡大

　Gartnerの予測によれば、サプライチェーン・サイバーリスクは今後さらに拡大し、2030年までにサイバーセキュリティ・インシデントの60％以上がサードパーティーやサプライチェーンに由来するものになる。こうした起点の事故が多様なインシデントへ波及する前提で、対策することが求められる。

AIエージェントのリスクと脅威

　AIエージェントの導入や活用を推進する企業が急増したことで、Gartnerにはそのリスクを懸念する問い合わせが多く寄せられている。内部脅威としてはデータの消失や漏えい、不正な取引、業務停止といった事態が発生している。一方、外部脅威においても、AIエージェントの制御権を乗っ取る「エージェント・ハイジャック」などの事象が増加傾向にある。また、AIブラウザやPCインストール型のAIエージェントも、新たなリスク要因として浮上した。

ランサムウェア攻撃

　2026年に入ってからもランサムウェア攻撃の被害は相次いでいる。業務委託先が攻撃を受けた結果、委託元企業の個人情報が漏えいした例も確認されている。攻撃手法は、既存機器の脆弱（ぜいじゃく）性の悪用、正規ツールを悪用するLoTL攻撃、マルウェア利用などを組み合わせる傾向がある。拠点やVPNの脆弱性放置、認証情報の管理不足といった課題を抱える企業は多いとみられ、被害が当面続く可能性が高いとしている。

分散型サービス拒否（DDoS）攻撃

　DDoS攻撃において、クラウドサービスやWebメールサービス、レンタルサーバを狙う動きが散見される。直近で大きな被害は出ていないものの、過去には生活インフラに関する企業が短期間に集中的な攻撃を受けた事例もあり、警戒が必要だとした。

外部公開アプリケーションへの攻撃

　ランサムウェア以外でも、ECサイトが数カ月停止した外部公開アプリケーションへの攻撃の事例があった。ECサイト攻撃を巡っては、過去に利用されたクレジットカード情報の不正利用可能性を公表したケースがある他方で、サーバにクレジットカード情報を保管していないと明示した事例もあった。Gartnerは、情報を保有すること自体がリスクであるため、システムとセキュリティの設計を見直す必要があるとした。

ビジネスメール詐欺（BEC）／フィッシング詐欺

　インターネット証券口座を悪用したフィッシング詐欺は、顧客と企業の双方へ大きな影響を与えた。ボイス・フィッシングも頻発している。BECにおいて、AIで自然な文面の作成や不正アクセスで業務内容を事前把握して巧妙に偽装するなど、手法が変化している。全てを技術的手段のみで防ぐのは困難であり、多額送金を1人の判断で実行させない業務フローの整備と順守が必要だと指摘した。

内部不正／組織ガバナンスの崩壊

　転職先で営業利用する目的で、退職者による顧客情報の不正取得といった内部不正や、組織ガバナンスの機能不全が続出している。加えて、業務委託先が発注元に無断で契約した再委託先による不正や、セキュリティ監査への虚偽報告も発生している。木村氏は、情報漏えいの経路は、物理的な立ち入りやUSBメモリ、クラウドサービスの外部連携機能による個人メールアドレスへのリンク送信など、昔から大きく変わっていないと説明した。その上で、サードパーティーやAIの活用で情報の移動範囲が広がる中、漏えいリスクの発生点が明確か、適時に検知できるかを再点検すべきだと述べた。

作業や設定のミス

　臨時作業時の誤りに気付かず、個人情報が長期間インターネットで閲覧可能だった事案や電子メールの誤送信が継続して発生するといった、作業や設定のミスが発生している。業務委託先従業員が発覚を恐れてアクセスログを削除した例もあった。重大事故につながる業務ではミスを防止、検知できるよう複数人が関与する業務フローが必要であり、発覚時に従業員や委託先従業員が取るべき行動についてのセキュリティ教育も必要だとした。

プライバシー問題／デジタル倫理

　画像や映像のAI分析を巡っては、不適切なプライバシー対応やデータ漏えい、本人の意図しない情報利用、第三者提供などを巡る議論が起きている。木村氏は、AI活用による事業推進や従業員起因のリスク抑止策について、事前説明や周知が十分か、法規制上の問題がないかの確認だけでなく、法的に問題がなくても社会が倫理的に許容するかを慎重に見極める必要があるとした。

フェイク・インシデント

　実際には起きていないインシデント情報の拡散や、企業の公表内容が事実と異なった結果としてフェイク化する事例が見られるという。インシデント公表の範囲や時期に一律の正解はなく、各社が方針と判断フローを定め、サイバー攻撃やレピュテーション・リスクに過敏になり過ぎず、冷静に確認することが必要だとしている。