情報セキュリティーに関する重大インシデントが相次いでいる。情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2026」の組織向け脅威では、大きな被害があったランサムウェアやサプライチェーンを狙った攻撃が例年通り上位に入ったほか、AIに関するリスクが初めてランクイン。AI利活用の浸透による警戒感が反映された。10大脅威を参考に、代表的な事例や対策を解説する。
(取材・文/春菜孝明)
25年秋以降に大規模被害
前年の情報セキュリティーの事故や攻撃の状況などから選ばれる10大脅威は、IPAが候補を選定し、情報セキュリティー分野の研究者、企業の実務担当者など約250人が審議し、投票を経て決めた。順位を併記した「組織向け」と、五十音順の「個人向け」を発表している。
2025年に発生した事故を振り返りながら、組織向けの脅威の順位を見ていこう。1位は6年連続で「ランサム攻撃による被害」だった。ランサムウェアを巡っては、飲料大手のアサヒグループホールディングス(アサヒGHD)で9月に攻撃によるシステム障害が発生した。グループ内拠点のネットワーク機器を経由して侵入され、データが暗号化されたことで、受注・出荷業務のシステムを長期間停止する事態となり、同社発表によると26年2月18日時点で漏えいが確認された従業員情報は5117件、取引先の個人情報は11万396件に上った。アスクルも10月にランサムウェア感染を確認し、システム障害が発生。多要素認証を適用していなかった認証情報が窃取され、不正に社内ネットワークに侵入されたという。
25年秋に相次いだセキュリティーインシデントは、2位にランクインした「サプライチェーンや委託先を狙った攻撃」にも当てはまる。製造や流通をつかさどる企業が標的となり、グループ会社などにも影響が及んだ。エンドユーザーにまで波紋が広がる中、被害企業は情報公開に積極的な姿勢を見せた。アサヒGHD、アスクル両社は被害を確認した同日中に第一報を発出後、復旧状況や今後の対策について断続的に発表した。被害を隠すよりも、迅速で透明性の高い対応がステークホルダーの信頼醸成につながることを示唆している。企業には、有事の際にどう対応するかをあらかじめ策定することが求められる。
委託先への攻撃では、東海ソフト開発のサーバーに11月、不正アクセスがあり、ランサムウェア被害が発生。委託元の一つの東海大学は同法人で取り扱う個人情報が漏えいしたと発表した。学生や卒業生、教職員など最大で延べ19万人余りの情報で、電話番号やメールアドレスを含んでいる。委託先社内にデータを持ち帰るなど、順守すべき運用ルールと異なる対応が行われていたとして、同大学は個人情報管理の体制を見直した。
サプライチェーンリスクには「ソフトウェアサプライチェーン」もある。ソフトウェア開発ライフサイクルのプロセス全体を指す言葉で、オープンソースソフトウェアに不正プログラムが仕込まれるなどの攻撃類型がある。12月には、テキストエディター「EmEditor」の公式サイト上のダウンロードボタンのリンク先URLが改ざんされていた。不正なインストーラーパッケージが配布され、実行するとマルウェアに感染してしまう。被害を防ぐには、SBOM(Software Bill of Materials)などでソフトウェアの構成要素や納品物を可視化し、信頼性を検証できる体制を構築することが望ましいとされる。
AI利用のリスクが初選出
「AIの利用をめぐるサイバーリスク」が3位に入り、初のランクインとなった。現時点では、ランサムウェアやサプライチェーンのような大規模な攻撃や被害は明らかになっていないものの、AIの“普段使い”が広がることで、危機感が高まっているようだ。
利用者側のリスクとしては、機密情報の漏えいや、AIの生成物が他者の権利を侵害する恐れなどが挙げられる。ハルシネーションや過剰に依存する懸念もある。
AIを悪用する事例は徐々に現れている。通信事業者・楽天モバイルの通信回線の不正契約容疑で少年らが摘発された事件は、生成AIで回線契約のプログラムをつくったとみられている。このケースでは、不正なID・パスワードの入手には海外の匿名チャットツールが用いられたと報じられているが、生成AIで作成したプログラムによって契約手続きを自動化し、大量の回線を契約した。高いプログラミング技術がなくても、大規模なサイバー犯罪を引き起こすことが可能になりつつある。
攻撃を仕掛ける側がAIを駆使する危険性も高まっており、米Anthropic(アンソロピック)は、攻撃者が「Claude Code」のエージェント機能を使い、全体の作業の80~90%をAIが担うかたちで大規模なサイバー攻撃が行われたとする実例を11月に公表した。人間では不可能な速度や規模での攻撃が明らかになった。
AIの利用ポリシーの策定や教育、適切なツール選定などの基本的な対策を行った上で、情報収集を続けることも脅威把握のかぎとなる。一方で、これまで同様のサイバー攻撃をAIで高度化している側面も大きいため、従来のセキュリティー対策を徹底することも優先される。
4位の「システムの脆弱性を悪用した攻撃」を巡っては、未発見や対策前の脆弱性を悪用する「ゼロデイ攻撃」「Nデイ攻撃」が繰り返されている。インターネットイニシアティブ(IIJ)は4月、顧客情報の漏えいを発表したが、原因はメールセキュリティーサービスで利用していたソフトウェアの脆弱性を悪用したゼロデイ攻撃だった。日鉄ソリューションズは7月、ネットワーク機器の脆弱性を狙ったゼロデイ攻撃による被害を公表。また12月に米Meta(メタ)は、JavaScriptライブラリーで使用される「React Server Components」に重大な脆弱性があることを発表し、これを突いた攻撃も国内外で確認されている。
日頃の情報収集や対策の優先順位付け、修正パッチがないことを前提とした多層防御を進めることで、リスクを下げられる。
「リモートワーク等の環境や仕組みを狙った攻撃」は8位に。警察庁によると、ランサムウェア被害の感染経路のうちVPN機器とリモートデスクトップで8割以上を占める。リモートワーク環境ではVPN接続や私用端末の利用など、アタックサーフェスが広くなる傾向にある。IPAでは「テレワークを行う際のセキュリティ上の注意事項」を公開し、注意事項を解説している。
25年初めてランクインした6位の「地政学的リスクに起因するサイバー攻撃」には、各国の大統領選などで偽情報が相次いで拡散されたことを踏まえ、括弧書きで「情報戦を含む」と付記された。国家支援型や国家機関の職員とみられるグループの活動も報告されており、社会的なインパクトが大きい組織や重要インフラ企業が狙われている。5位の「機密情報を狙った標的型攻撃」も政府機関などの特定の団体をターゲットにするものの、サプライチェーン上の関連組織への攻撃の踏み台として利用されるなど、組織の規模や業種を問わずに攻撃される恐れがあるという。
前回5年ぶりにランクインした「DDoS攻撃(分散型サービス妨害攻撃)」は9位だった。大量のアクセスを仕掛けてシステムを高負荷にする手法で、6~7月にナード研究所やカゴヤ・ジャパンのシステムで確認された。
人為的要因にも注意
人為的な要因に絡む被害も後を絶たない。7位は「内部不正による情報漏えい等」。ソフトバンクは業務委託先のUFジャパンから顧客情報が流出した可能性があると明らかにした。UFジャパンの協力会社の元社員が、UFジャパンの事務所に立ち入りUSBメモリーを使い情報を持ち出した疑いがあるという。ソフトバンクは委託先向けのセキュリティールールを定めていたものの、UFジャパンは個人情報を扱うフロアに第三者が入れたり警備員が未配置だったりと、ずさんな運用だったとしている。
10位の「ビジネスメール詐欺」では12月以降、社長や役員をかたったメールで、LINEグループの作成を求める事案が相次いでいる。メッセージのやりとりで口座情報の提出や振り込みを依頼し、現金をだまし取る手口だ。判断を急がせるなど文面に特徴がある。LINEヤフーは電話や口頭といった別の手段で本人に確認するなどの対策を求めている。内部不正もビジネスメール詐欺も、ガバナンスの徹底で防げる可能性が高まる。
25年に10位だった「不注意による情報漏えい等」は圏外となったが、同様にヒューマンエラーに起因する事案で、情報リテラシーの向上などの予防と備えが引き続き不可欠だ。
「対策の基本」にバックアップが追加
10大脅威解説書冒頭の「情報セキュリティ対策の基本」は、組織が最低限守るべき対策をIPAが簡潔にまとめた「情報セキュリティ5か条」に対応しているが、六つめとして「バックアップの取得」が加わった。ランサムウェアのデータ暗号化に備えることを促している。このようにセキュリティー対策の標準は攻撃の防止だけでなく、侵害後のレジリエンスまで広がってきている。
対策の基本はほかに▽ソフトウェアの更新▽セキュリティソフトの利用▽パスワードの管理・認証の強化▽設定の見直し▽脅威・手口を知るーとなっている。「+α」として、クラウドサービスを利用する際の▽選定前の事前調査▽責任範囲の明確化(理解)▽代替案の準備▽設定の見直しーも促している。多くのサイバー攻撃は不正な侵入に起因する。そのリスクを少しでも減らす基本動作と言える。
IPA 井上佳春氏
解説書の副題では「当たり前を確実に、基本の徹底と継続的な見直しで被害の最小化を」と、日常的な取り組みの必要性を打ち出した。IPAセキュリティセンターサイバー情勢分析部調査グループの井上佳春氏は、OSの最新版へのアップデートや権限の設定などを例に挙げた。
