AIリスクが初登場で3位、IPAが「情報セキュリティ10大脅威 2026」発表：今回も1位はランサムウェア被害

独立行政法人情報処理推進機構（IPA）は2026年1月29日、2025年に社会的影響が大きかった情報セキュリティ関連トピックスを選出した「情報セキュリティ10大脅威 2026」を発表した。

[＠IT]

　独立行政法人情報処理推進機構（以下、IPA）は2026年1月29日、情報セキュリティの脅威において2025年に社会的影響が大きかったトピックスをまとめた「情報セキュリティ10大脅威 2026」を発表した。

　IPAは2006年から10大脅威を公表しており、前年に発生した事故や攻撃状況から候補を選定し、約250人の専門家や実務担当者で構成される「10大脅威選考会」の投票を経て決定している。今回は組織編でAI（人工知能）に関連するリスクが初めて上位に入った他、個人編でも変化が見られた。

今回もランサムウェアが1位、初登場のAIリスクが3位

　IPAが発表した組織の立場での「情報セキュリティ10大脅威 2026」は以下の通り。

• 1位：ランサム攻撃による被害
  • 11年連続11回目、前年（2025年、以下同）1位
• 2位：サプライチェーンや委託先を狙った攻撃
  • 8年連続8回目、前年2位
• 3位：AIの利用を巡るサイバーリスク
  • 初選出
• 4位：システムの脆弱（ぜいじゃく）性を悪用した攻撃
  • 6年連続9回目、前年3位
• 5位：機密情報を狙った標的型攻撃
  • 11年連続11回目前年5位
• 6位：地政学的リスクに起因するサイバー攻撃（情報戦を含む）
  • 2年連続2回目、前年7位
• 7位：内部不正による情報漏えい等
  • 11年連続11回目、前年4位
• 8位：リモートワーク等の環境や仕組みを狙った攻撃
  • 6年連続6回目、前年6位
• 9位：DDoS攻撃（分散型サービス妨害攻撃）
  • 2年連続7回目、前年8位
• 10位：ビジネスメール詐欺
  • 9年連続9回目、前年9位

　組織編の10大脅威のランキングは、1位が「ランサム攻撃による被害」、2位が「サプライチェーンや委託先を狙った攻撃」となり、これらは2023年以降4年連続で同じ順位となった。2025年もランサムウェアに感染した組織が数多く確認され、サプライチェーン全体に深刻な影響を及ぼした事例も多発したことがランキングに反映された。

　今回初めて候補となり、3位にランクインしたのは「AIの利用をめぐるサイバーリスク」。これには、AIに対する不十分な理解による情報漏えいや権利侵害、生成結果の検証不足による問題、AI悪用によるサイバー攻撃の容易化や巧妙化など、多岐にわたるリスクが含まれている。

　4位以下は「システムの脆弱性を悪用した攻撃」（4位）、「機密情報を狙った標的型攻撃」（5位）と続き、「地政学的リスクに起因するサイバー攻撃」は前年の7位から6位に上昇した。

個人編ではネットバンキング不正利用が4年ぶりに選出

　個人の立場での「情報セキュリティ10大脅威 2026」は以下の通り。五十音順となっている。

• インターネット上のサービスからの個人情報の窃取
• インターネット上のサービスへの不正ログイン
• インターネットバンキングの不正利用
• クレジットカード情報の不正利用
• サポート詐欺（偽警告）による金銭被害
• スマホ決済の不正利用
• ネット上の誹謗・中傷・デマ
• フィッシングによる個人情報等の詐取
• 不正アプリによるスマートフォン利用者への被害
• メールやSNS（ソーシャルネットワーキングサービス）等を使った脅迫・詐欺の手口による金銭要求

　個人編の脅威は順位を付けず五十音順で公表されているが、今回の特徴として「インターネットバンキングの不正利用」が2023年以降の圏外から4年ぶりに選出された。これは昨今の被害状況を踏まえた結果とされている。

　その他、「インターネット上のサービスからの個人情報の窃取」や「クレジットカード情報の不正利用」「フィッシングによる個人情報等の詐取」などが選出されており、IPAは脅威の呼称が同じでも手口は常に巧妙に変化し続けていると指摘している。

サプライチェーン全体でのリスク洗い出しが重要

　IPAは組織向けの対策として、セキュリティ情報の収集や機器・サービスへの対策に加え、各脅威が自組織に及ぼすリスクを洗い出すことが重要だとしている。さらに、委託先を含むサプライチェーン上のリスクについても、可能な限り自組織と同等に洗い出しや対策状況を確認することが望まれるという。

　個人向けには、IPAのWebサイトで最新の手口に関する情報を確認し、変化に応じた対策を把握することが推奨されている。