ガートナー、日本企業のインシデントパターンを分析 10個の脅威・リスクを公表：ランサムウェアだけ見ている企業は危ない？

見えている脅威だけを追い続けていては、もう守りきれない。ガートナーは国内におけるセキュリティインシデントの傾向として「10の発生パターン」を公開した。ランサムウェア攻撃だけでなく、AIやSNS時代ならではのリスクが判明している。

[田渕聖人，＠IT]

　ガートナージャパン（以下、ガートナー）は2026年4月14日、国内におけるセキュリティインシデントの傾向を発表した。直近のセキュリティインシデントがどのような経路（外部／内部脅威やリスク）から発生しているかを10パターンに分類している。

ランサムウェア対策だけでは不十分　SNS時代ならではのリスクとは？

　ガートナーの発表では、ランサムウェアといった典型的なインシデント発生パターンだけでなく、AIやSNSの普及に伴う新たな傾向も見えてきた。

1．サプライチェーン・サイバーリスクの拡大

　ガートナーはサプライチェーンのサイバーリスクが急速に拡大しており、2030年までにセキュリティインシデントの60％以上がサードパーティー／サプライチェーンに起因するものとなると予測している。

　企業はサードパーティー／サプライチェーンに起因するインシデントがさまざまな影響を及ぼすことを前提に、セキュリティ対策をデザインする必要がある。

2．AIエージェントのリスクと脅威

　ガートナーによると、AIエージェントが普及する中、そのリスクや脅威に関する問い合わせが増加しているという。AIエージェントに起因する内部脅威として、データ消失／漏えいや間違った取引の他、実際にビジネス損失につながるプロセス停止を引き起こしたインシデントも発生している。

　外部脅威の側面では、ラボでの実験検証や関連ベンダーによるブログ発信など、現実的な観察事例としても増えつつある。AIブラウザやPCインストール型のAIエージェントも注目を浴び、新たなリスクを生み出している。

3．ランサムウェア攻撃

　ランサムウェア攻撃は、2026年に入ってからも頻発している。業務委託先がランサムウェア攻撃を受けたことで、自社の個人情報が漏えいしたケースもある。

　この攻撃は、攻撃者による既存機器の脆弱（ぜいじゃく）性の悪用や正規のツールを悪用する「LotL」（Living off the Land：環境寄生型攻撃）攻撃、マルウェア使用など、複数の攻撃手法を組み合わせて目的達成を図る傾向がある。拠点やVPNの脆弱性や認証情報の管理不足といった問題を抱えている企業はいまだに多いため、当面は被害が継続する可能性が高いとガートナーはみている。

4．DDoS攻撃

　クラウドサービスやWebメールサービス、レンタルサーバなどを狙ったDDoS攻撃が散見されている。直近で大きな被害はないが、過去、生活インフラに影響する企業が短期集中的にDDoS攻撃を受けた事例もあり、そのような兆候には留意する必要がある。

5．外部公開アプリケーションへの攻撃

　攻撃によってECサイトが数カ月にわたって停止する事例が見られる。ECサイトへの攻撃では、過去に使われたクレジットカード情報が不正利用された可能性がある事例があった一方、ECサイトやサーバ内にクレジットカード情報を保管していないと明確に公表した事例もあった。

　企業は「情報を保有するリスク」の観点からシステムとセキュリティのデザイン再考が求められている。

6．ビジネスメール詐欺（BEC）／フィッシング詐欺

　インターネット証券口座を悪用したフィッシング詐欺被害が、顧客や企業の双方に多大な影響を及ぼしている。これに加えてボイスフィッシング詐欺も頻発している。

　BECは、AIで自然な電子メールの文面を生成する、不正アクセスを通じて事前に業務内容を把握して巧みに偽装するなど手法が進化しており、被害は後を絶たない。

　全てのBECやフィッシング詐欺を技術的に防御することは困難であるため、1人の従業員が多額の送金をできないようにワークフローを強化し、それを順守する対策が必要だ。

7．内部不正／組織ガバナンスの崩壊

　転職先での営業利用を目的とした退職者による顧客情報持ち出しの内部不正は継続的に発生している。業務委託先が発注元に無断で契約した再委託先が不正を実行したケースや、セキュリティ監査に虚偽の報告をしていたケースなど、組織ガバナンスの崩壊が見られる。

　情報漏えいの経路は、物理的な立ち入りやUSBメモリ、クラウドサービスの外部連携機能による個人メール、アドレスへのリンク送信など、高度な手法というより何年も前から変わらないものだ。サードパーティーやAIなど情報の移動範囲が増える中で情報漏えいのリスクポイントは明確かどうか、適時に検知できるかどうかをあらためて確認する必要がある。

8．作業や設定のミス

　臨時作業時のミスに気が付かず、インターネットで個人情報が長期間閲覧可能になっていたケースや、電子メールの誤送信など、作業や設定のミスが情報漏えいにつながる事例も継続的に発生している。業務委託先社員がミスの発覚を恐れ、アクセスログを削除した事例もある。

　1つのミスが重大なセキュリティインシデントにつながる業務においては、ミスを防止・検知できるよう複数名が関与する業務フローが必要だ。ミスの発覚時に業務委託先を含めて従業員がどのようなアクションを取るかのセキュリティアウェアネスも求められているという。

9．プライバシー問題／デジタル倫理

　画像／映像のAI分析において発生するプライバシーへの不適切な対応やデータ漏えいなどのセキュリティインシデント、当事者が意図しないところで情報が利用されるリスク、第三者への提供など、プライバシー問題とデジタル倫理については、しばしば議論が起きている。

　事前の説明や周知は十分かどうか、法規制上の問題の有無を確認する他、問題がなくても倫理的に社会が許容するかどうかを、慎重に検討する必要がある。

10．フェイクインシデント

　実際は起きていないセキュリティインシデント情報の拡散や、事実と異なる企業の公表内容が結果的にフェイクインシデントとなる事例が見られる。

　セキュリティインシデントの対外的な公表の範囲やタイミングは企業によってさまざまであり、正解はない。方針や判断フローを定めておき、サイバー攻撃やレピュテーションリスクに過度に敏感にならず、冷静に十分な事実確認が必要だ。

〜記者の目：ニュースをちょっと深堀り〜

今回のガートナーの10分類を見て感じたのは、リスクは“外部から侵入するもの”だけでなく“業務の流れに内在するもの”でもあるという点だ。特にサプライチェーンやAIエージェントなどのセキュリティ対策を考える上で、もはや企業単体での対処は困難になっている。

加えて、これらの10分類は独立した事象ではなく往々にして複合的に発生する点にも注意したい。例えば、生成AIを悪用したBECがサプライチェーン経由で侵入し、内部不正や設定ミスと連鎖する――といったシナリオは十分現実的だが、分類上は分断されているように見える。企業がこの分類をそのまま対策リストとして扱うと、かえって実態から乖離（かいり）するリスクがあるだろう。

10分類の中でも記者が特に気になったのは、10個目の「フェイクインシデントの増加」だ。ランサムウェアに対する世間の認知が拡大した影響か、「X」をはじめとしたSNSで真偽不明な企業の情報漏えい被害などが拡散されるようになった。直近でも日本の大手不動産ポータルサイトから利用者情報が流出したという海外報道がSNSで話題になっている。攻撃そのものよりも「どう見えるか」「どう伝わるか」が企業価値を左右する局面では、広報や法務、セキュリティの統合的な意思決定がより重要になる。

情報収集ツールとしてSNSは非常に有効であり、もちろん記者も利用しているが、今後は真偽不明の情報をいかにして見極めるか、あるいは全てを信頼しないか、どちらにせよ“うまい付き合い方”が必須になるだろう。偽情報だけでなく、確証バイアスやエコーチェンバー現象などにも十分に気を付けていきたいものだ。（田渕聖人）