PACIFICサイバーセキュリティ研究所

コラム

26年2月号 情報セキュリティ10大脅威2026を見てみよう

著者:PACIFICサイバーセキュリティ研究所 研究員 S.A
公開日:2026年2月27日(金)
コラムテーマ:セキュリティトレンド

情報処理推進機構(IPA)は、毎年発表している情報セキュリティ10大脅威の2026年版である「情報セキュリティ10大脅威2026」を2026129日に発表しました。解説書や簡易説明資料等の詳細情報は、まもなく(2026年2月下旬以降)公開される見込みですが、先だって発表されたランキングについてみていこうと思います。なお、2026年2月26日現在の情報をもとに作成しておりますので、今後IPAより公表される解説書の内容とは一部解釈が異なる可能性があります。「こういう考え方もあるのか」程度にとらえていただけますと幸いです。

初選出「AIの利用をめぐるサイバーリスク」

組織編の第3位にAIに関する項目が初選出されました。
初選出で3位ということで、関心の高さがうかがえます。まず「AIの利用をめぐるサイバーリスク」として一番に考えられることは、やはり機密情報等を生成AIに入力し、その内容が学習に利用されるリスクが挙げられると思います。法人向け契約であれば「入力された内容を学習に利用しない」というサービスも増えてきましたが、個人向けのサービスでは、初期設定や利用開始時の選択内容によって入力内容がモデル改善(学習)に利用されるものも少なくないため、従業員がそのようなサービスを利用した場合、利用条件や設定によっては入力内容が学習のために保存され、再利用されるおそれがあります。データの取り扱い(学習利用の有無、保持期間、管理者設定可否)はサービスごとに異なるため、利用前に契約条件・管理設定を確認することが重要です。また、合わせて従業員のリテラシー向上、生成AIサービスの法人契約やDLP(Data Loss Prevention)・CASB(Cloud Access Security Broker)製品等の導入を検討しましょう。さらに、「利用をめぐる」とは違う視点になりますが、AIは攻撃者側も積極的に活用しています。生成AIを使用して作成したマルウェアについての報道も出てきていますし、特にこれまで「変な日本語」として気づけていたフィッシングメール等も生成AIによる自然な日本語生成により見分けることが難しくなってきています。生成AI等の新しい技術の登場により便利になる一方、様々なリスクも増えていることに注意が必要です。
※DLPは情報の持ち出し(外部送信)の防止、CASBはクラウドサービスの利用状況の可視化・制御に有効です。

4年ぶり選出「インターネットバンキングの不正利用」

個人編では、「インターネットバンキングの不正利用」が4年ぶり8回目の選出となりました。
特に2025年は、証券会社のインターネット取引サービスを狙った不正アクセス・不正取引被害が急増し、大きく報道されたことも背景の一つではないかと筆者は考えました。証券会社各社は対策を取り、「多要素認証」や「パスキー認証」の導入が進められていますので、積極的に利用し、自己防衛を図ることが大切です。多要素認証やパスキー認証は個人のインターネットバンキング利用を守るだけではなく、業務で使うアカウントでも有効ですので、積極的に設定し、フィッシングや不正アクセスへの防御力を上げましょう。特にパスキーはパスワードと違いユーザーが「覚える」「入力する」ことがないため、パスワードに代わる仕組みとして注目されています。ただし、認証情報が端末やクラウドアカウント上に保存されるため、端末の故障・紛失やクラウドアカウントへのアクセス喪失等でサインインできなくならないよう、復旧手段(予備端末、バックアップコード、復旧用メール/電話番号等)を定期的に確認するようにしましょう。

圏外となった項目

初登場となった組織編の「AIの利用をめぐるサイバーリスク」や、4年ぶりの選出となった個人編の「インターネットバンキングの不正利用」が出てきたということは、一方で圏外になった項目もあります。そちらにも注目してみましょう。
2025年組織編10位「不注意による情報漏えい等」は、設定ミスや不注意による情報漏えいに関する項目でした。「外部サイトへの安易な機密情報の入力」等も内容に含まれており、一部「AIの利用をめぐるサイバーリスク」にも関係する部分があります。また、そのほかにも「メールの誤送信」や「Webサイトの設定不備」「ノートパソコンの紛失」等も含まれており、これらの脅威がなくなったわけではありません。
2025年個人編「ワンクリック請求等の不当請求による金銭被害」は、Webサイト閲覧中やメールに記載のリンクを開いた際に、急に請求画面を表示し、金銭の支払いを要求するものでした。確かに以前に比べて「ワンクリック請求」を聞く機会は減ってきました。しかし、継続して個人編には「サポート詐欺(偽警告)による金銭被害」や「メールやSNS等を使った脅迫・詐欺の手口による金銭要求」が、組織編にも「ビジネスメール詐欺」がランクインしています。2025年末には企業(組織)を狙ったビジネスメール詐欺の一種である「CEO詐欺」(社長等を騙る詐欺)の被害も報道される等、日々新たな手口の詐欺が発生しています。今後も様々な詐欺が発生することが予想されるため、個人・組織問わず詐欺に対する警戒も継続していきましょう。

最後に

今回のコラムでは、「情報セキュリティ10大脅威2026」の内容について見てきました。
「AIの利用をめぐるサイバーリスク」が初選出され、確かに対応を検討しなければならない重要な事項ですが、圏外となった項目もそのリスクがなくなったわけではありませんし、10大脅威にそもそも挙げられていないリスクはいくらでもあります。基本的な対策をしっかりと行い、新たなリスクの情報を取り入れながら、セキュリティ向上のための取り組みを行っていくことが大切です。こちらのコラムがそのきっかけになれば幸いです。

出典:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2026」
   https://www.ipa.go.jp/security/10threats/10threats2026.html
参考:IPAプレス発表「情報セキュリティ10大脅威 2026」を決定
   https://www.ipa.go.jp/pressrelease/2025/press20260129.html
参考:金融庁「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」
   https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html

一覧へ戻る