スタッフブログ

2026年1月29日、独立行政法人情報処理推進機構（IPA）より「情報セキュリティ10大脅威 2026」が公表されました。組織向け脅威には長年継続して選出されている項目が多く、実際のインシデント対応や診断支援の現場でも同様の傾向が見られます。本記事では、各脅威を整理し、実務で押さえるべきポイントを解説します。

【2026年版】情報セキュリティ10大脅威の全貌

IPAによる「情報セキュリティ10大脅威 2026 組織編」を見ると、ランサム攻撃や標的型攻撃、内部不正など、長年にわたり選出され続けている項目が多く含まれています。

攻撃手法は高度化・多様化していますが、実際のインシデント対応やログ解析の現場で確認される侵入経路の多くは、認証情報の管理不備や未対策の脆弱性といった基本的な弱点に起因しています。

被害が拡大するケースでは、初期侵入そのものよりも、その後の検知の遅れやログ監視体制の不足が影響していることも少なくありません。
今年は「AIの利用をめぐるサイバーリスク」が初選出されるなど新たな論点も加わりましたが、脅威の本質は共通する構造にあります。表面的な順位の上下に目を奪われがちですが、個別の順位だけでなく、その背景にある要因を読み解くことが重要です。

①ランサム攻撃による被害

概要：ランサム攻撃は11年連続で選出されており、依然として企業活動に最も深刻な影響を与える脅威です。世界的に被害は増加傾向にあり、2025年の日本国内においても大手企業から中小企業まで規模を問わず被害が報告されています。攻撃は暗号化に加え、窃取したデータの公開を示唆する多重恐喝型が主流となっていますが、侵入の起点は依然として未対策の脆弱性や認証情報の悪用といった基本的な弱点に集中しています。

被害：VPN機器などを足掛かりに侵入し、内部で横展開を行った後、一斉暗号化と情報窃取を実行します。発覚時には業務停止と情報漏えいが同時に発生している事例も少なくありません。

対策：侵入を防ぐための定期的な脆弱性診断や設定確認に加え、認証情報管理の徹底が不可欠です。また、ログの常時監視や不審挙動の検知体制を整備し、侵入初期段階で封じ込めることが重要です。さらに、侵害を前提としたインシデント対応手順の整備と復旧訓練を行い、被害の最小化を図る必要があります。

②サプライチェーンや委託先を狙った攻撃

概要：サプライチェーン攻撃は、直接侵入が難しい企業を狙い、委託先や関連会社、グループ企業を経由して侵入する手法です。8年連続で選出されている背景には、企業単体では管理しきれない“接続の広がり”という構造的課題があります。

被害：委託先のシステムが侵害され、その接続経路や共有アカウントを通じて本体環境へ侵入されます。自社側の管理下にない領域が起点となるため、発覚が遅れやすく、影響範囲の特定に時間を要する事例も見られます。

対策：自社対策に加え、委託先を含めたセキュリティ基準の明確化と定期的なリスク評価が不可欠です。契約上の管理項目だけでなく、実効性のある診断や設定確認を通じて接続点を可視化することが重要です。また、ログを横断的に確認できる体制を整備し、影響範囲を迅速に特定できる仕組みを構築する必要があります。

③AIの利用をめぐるサイバーリスク

概要：「AIの利用をめぐるサイバーリスク」は2026年に初めて選出されました。生成AIの普及により、攻撃者は自然な日本語によるフィッシングメールや偽サイトを短時間で大量生成できるようになり、攻撃の効率と精度が大きく向上しています。一方で、企業内部でもAIツールの業務活用が進み、入力データの管理や利用統制が追いついていない実態も見られます。

被害：攻撃者は巧妙なメールや音声なりすましを用いて認証情報を窃取する手口を高度化させています。一方で、企業内部では社内資料や顧客情報を外部AIに入力してしまい、意図せず情報が保持・学習されるリスクもあります。技術的な攻撃だけでなく、利用ルールの不備が被害を拡大させる要因となります

対策：利用可能なAIサービスを明確化し、未承認ツールの利用を徹底することが重要です。情報分類に応じた入力制限などを設けるとともに、生成AIの悪用を想定した標的型攻撃メール訓練を実施し、従業員が“自然な文章”に惑わされない判断力を養うことが求められます。

④システムの脆弱性を悪用した攻撃

概要：公開サーバやネットワーク機器の未対策脆弱性を悪用した攻撃は依然として多く、パッチ未適用や設定不備が侵入の起点となるケースが続いています。脆弱性情報の公開直後から悪用が始まる事例もあり、対応の遅れが直接的な被害につながります。

対策：IT資産の棚卸しを行い、自社がどの機器・ソフトウェアを保有しているかを正確に把握することが出発点となります。その上で、脅威インテリジェンスを活用し、自社環境に関連する脆弱性情報や悪用動向を継続的に把握することが重要です。定期的な脆弱性診断や設定確認と組み合わせ、優先度に基づいた迅速な対応体制を整備する必要があります。

⑤ 機密情報等を狙った標的型攻撃

概要：特定の企業や部署を狙い、巧妙なメールや偽装サイトを用いて機密情報や認証情報を窃取する攻撃です。近年は生成AIの活用により文章の自然さが増し、従来よりも判別が困難になっています。

対策：メールフィルタリングなどの技術的対策に加え、標的型攻撃メール訓練や情報セキュリティ研修を継続的に実施し、従業員の判断力を高めることが重要です。あわせて、脆弱性診断やペネトレーションテストを通じて侵入経路を事前に洗い出すことが重要です。

⑥地政学的リスクに起因するサイバー攻撃

概要：国際情勢や政治的対立を背景とした攻撃は、特定の業界や重要インフラだけでなく関連企業にも波及します。長期的・継続的に侵入を試みるケースもあります。

対策：自社業界に関連する脅威動向を継続的に把握し、攻撃手法の変化に応じた防御設計を行うことが重要です。外部公開資産の設定診断やアタックサーフェスの見直しを実施し、侵入経路を最小化する取り組みが求められます。

⑦内部不正による情報漏えい等

概要：内部不正は、悪意ある持ち出しだけでなく、権限管理やアカウント統制の不備に起因して発生するケースも少なくありません。特権IDの管理が十分にできておらず、意図しない情報漏えいにつながる事例も見られます。内部統制の甘さが、結果として重大なリスクを招く構造となっています。

対策：特権IDの利用状況を監査するとともに、内部からの不正行為を想定した検証（ペネトレーションテスト等）を行うことも有効です。また、不要となったアカウント管理の徹底や、定期的に妥当性を確認することが不可欠です。さらに、情報セキュリティ研修を通じて内部不正のリスクと責任を周知することが求められます。

⑧リモートワーク等の環境や仕組みを狙った攻撃

概要：VPNやクラウド環境の設定不備や、端末管理の甘さを起点とした不正アクセスが多く見られます。特に、設定不備は外部から直接侵入されるリスクがあります。

対策：VPN機器やクラウド環境に対する設定診断を実施し、不要な公開設定や過剰な権限付与を是正することが重要です。多要素認証の徹底と端末管理の強化もあわせて行う必要があります。

⑨DDoS攻撃（分散型サービス妨害攻撃）

概要：大量の通信を送り付けてサービス停止させる攻撃で、脅迫と組み合わされるケースもあります。事業継続に直接影響します。

対策：通信の冗長化や対策サービスの導入に加え、監視体制を整備し、異常なトラフィックを迅速に検知・遮断できる仕組みを構築することが重要です。

⑩ビジネスメール詐欺

概要：経営層や取引先を装い、不正送金を狙う詐欺です。生成AIの活用により文面の自然さが増し、従来の見分け方が通用しにくくなっています。実在の取引情報を事前に収集したうえで行われるケースもあります。

対策：送金プロセスにおける多段階承認や確認フローの徹底が基本です。加えて、標的型攻撃メール訓練を通じて疑似体験させることが有効です。また、メールサーバやドメイン設定の確認、なりすまし対策も実施する必要があります。

まとめ｜脅威は変わっても、弱点は変わらない

情報セキュリティ10大脅威2026は、新たな論点としてAIリスクが加わった一方で、侵入の起点となる要因は大きく変わっていません。

実際のインシデント対応や診断の現場でも、資産管理の不備や権限管理の甘さが被害拡大につながる事例が見られます。脅威ごとの対策に加え、診断・検証・監視・教育を一体で整備することが、持続的なセキュリティ強化につながります。

ファイブドライブでは、脆弱性診断やペネトレーションテスト、設定診断に加え、ログ分析や標的型攻撃メール訓練などを通じて、多層的な対策整備を支援しています。「まず何から取り組むべきか分からない」といった段階からのご相談も含め、お気軽にお問い合わせください。