独立行政法人情報処理推進機構(以下、IPA)は1月29日、情報セキュリティの脅威において、2025年に社会的影響が大きかったトピックスを「情報セキュリティ10大脅威 2026」として発表した。
IPAでは、国民の情報セキュリティにおける脅威への関心喚起、対策実施の促進を目的として2006年から、「情報セキュリティ10大脅威」を公表している。前年に発生した情報セキュリティの事故や攻撃の状況などから、IPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約250名のメンバーで構成する「10大脅威選考会」の投票を経て決定したもの。「組織」の立場と「個人」の立場での「10大脅威」はそれぞれ以下のとおりである。
「組織」向け脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位に変わりはない。
2025年もランサムウェアに感染した企業・組織が多く確認され、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例もあり、こうした情勢がランキングにも反映されていることがうかがえる。
また、今回、初めて脅威候補となった「AIの利用をめぐるサイバーリスク」が3位にランクインした。
「AIの利用をめぐるサイバーリスク」で想定されるものは多岐にわたる。AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害といった問題、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化、などが挙げられる。上位にランクインした背景にはこのような多岐にわたるリスクの存在が考えられる。
一方、「個人」向け脅威では、「インターネットバンキングの不正利用」が2023年以降、圏外となっていたが、4年ぶりに復活した。昨今の被害の状況を踏まえた結果と考えられる。
「組織」向け脅威への対策は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制に、どのようなリスクがあるのかを洗い出すことが重要である。
さらに委託先を含むサプライチェーン上のリスクの洗い出しや対策状況の確認についても可能な限り同等に行うことが望まれる。
「個人」向け脅威のラインナップに大きな変化はないが、脅威の呼称が同じであっても、常に手口は巧妙に変化し続けている。IPAのウェブサイトで、最新の手口に関する情報を確認し、手口の変化に応じた対策を把握することが重要である。
[i Magazine・IS magazine]
