プレス発表「情報セキュリティ10大脅威 2026」を決定
独立行政法人情報処理推進機構
公開日:2026年1月29日
公開日:2026年1月29日
プレス発表「情報セキュリティ10大脅威 2026」を決定
~組織編の3位に「AIの利用をめぐるサイバーリスク」が初めてのランクイン~
| 独立行政法人情報処理推進機構(IPA、理事長:齊藤裕)は、情報セキュリティの脅威において、2025年に社会的影響が大きかったトピックスを「情報セキュリティ10大脅威 2026」として発表しました。詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開する予定です。 |
IPAでは、国民の情報セキュリティにおける脅威への関心喚起、対策実施の促進を目的として2006年から、「情報セキュリティ10大脅威」を公表しています。前年に発生した情報セキュリティの事故や攻撃の状況などから、IPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約250名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「組織」の立場と「個人」の立場での「10大脅威」はそれぞれ以下のとおりです。
■情報セキュリティ10大脅威 2026 [組織]
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い (2016年以降) |
前年 順位 |
| 1 | ランサム攻撃による被害 | 2016年 | 11年連続11回目 | 1 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 8年連続8回目 | 2 |
| 3 | AIの利用をめぐるサイバーリスク | 2026年 | 初選出 | なし |
| 4 | システムの脆弱性を悪用した攻撃 | 2016年 | 6年連続9回目 | 3 |
| 5 | 機密情報を狙った標的型攻撃 | 2016年 | 11年連続11回目 | 5 |
| 6 | 地政学的リスクに起因するサイバー攻撃 (情報戦を含む) |
2025年 | 2年連続2回目 | 7 |
| 7 | 内部不正による情報漏えい等 | 2016年 | 11年連続11回目 | 4 |
| 8 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 6年連続6回目 | 6 |
| 9 | DDoS攻撃(分散型サービス妨害攻撃) | 2016年 | 2年連続7回目 | 8 |
| 10 | ビジネスメール詐欺 | 2018年 | 9年連続9回目 | 9 |
■情報セキュリティ10大脅威 2026 [個人]
| 「個人」向け脅威 (五十音順) |
初選出年 | 10大脅威での取り扱い (2016年以降) |
| インターネット上のサービスからの個人情報の窃取 | 2016年 | 7年連続10回目 |
| インターネット上のサービスへの不正ログイン | 2016年 | 11年連続11回目 |
| インターネットバンキングの不正利用 | 2016年 | 4年ぶり8回目 |
| クレジットカード情報の不正利用 | 2016年 | 11年連続11回目 |
| サポート詐欺(偽警告)による金銭被害 | 2020年 | 7年連続7回目 |
| スマホ決済の不正利用 | 2020年 | 7年連続7回目 |
| ネット上の誹謗・中傷・デマ | 2016年 | 11年連続11回目 |
| フィッシングによる個人情報等の詐取 | 2019年 | 8年連続8回目 |
| 不正アプリによるスマートフォン利用者への被害 | 2016年 | 11年連続11回目 |
| メールやSNS等を使った脅迫・詐欺の手口による金銭要求 | 2019年 | 8年連続8回目 |
「組織」向け脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位に変わりがありませんでした。2025年もランサムウェアに感染した企業・組織が多く確認され、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例もあり、こうした情勢がランキングにも反映されていることがうかがえます。また、今回、初めて脅威候補となった「AIの利用をめぐるサイバーリスク」が3位にランクインしました。「AIの利用をめぐるサイバーリスク」で想定されるものは多岐にわたります。AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害といった問題、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化、などが挙げられます。上位にランクインした背景にはこのような多岐にわたるリスクの存在が考えられます。
一方、「個人」向け脅威(注釈1)では、「インターネットバンキングの不正利用」が2023年以降、圏外となっていましたが、4年ぶりに2026年で復活しました。昨今の被害の状況を踏まえた結果と考えられます。
「組織」向け脅威への対策は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制に、どのようなリスクがあるのかを洗い出すことが重要です。更に委託先を含むサプライチェーン上のリスクの洗い出しや対策状況の確認についても可能な限り同等に行うことが望まれます。
「個人」向け脅威のラインナップに大きな変化はありませんが、脅威の呼称が同じであっても、常に手口は巧妙に変化し続けています。IPAのウェブサイトで、最新の手口に関する情報を確認し、手口の変化に応じた対策を把握することが重要です。
「情報セキュリティ10大脅威 2026」の詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開する予定です。
※注釈1
「個人」向け脅威は、家庭等でパソコンやスマホ等のデジタル機器を利用する人を対象としており、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものです。「個人」向け脅威は、順位表記をせず五十音順で列挙していますが、全てに十分な注意、対策が必要です。
