独立行政法人情報処理推進機構(IPA、情報セキュリティ政策を担う公的機関)は、2025年に社会的影響が大きかった情報セキュリティ上の脅威を整理した「情報セキュリティ10大脅威 2026」を公表した。
本ランキングは、情報セキュリティ分野の研究者や企業の実務担当者など約250名で構成される「10大脅威選考会」による審議および投票を経て決定されたもので、2006年から毎年公表されている。
詳細な解説資料については、2026年2月下旬以降、IPAのウェブサイト上で順次公開される予定とされている。
組織向け脅威の1位に「ランサムウェアによる被害」が選出された。
これは2016年に初めて選出されて以降、11年連続11回目のランクインとなり、2025年も感染事例が相次ぎ、取引先を含むサプライチェーン全体に影響が及ぶケースが確認された。
実際の事例として、アサヒグループホールディングス社は、2025年9月下旬にランサムウェア攻撃を受け、注文および出荷関連のシステムに障害が発生したことを公表している。
また、アスクル社では、ランサムウェア攻撃を受けて顧客情報が外部に流出した可能性があるとして調査を進め、業務に影響が生じたことが報告された。
これらの事例は、ランサムウェア被害が特定の企業にとどまらず、取引関係や事業継続に広範な影響を与えることを示している。
2位には「サプライチェーンや委託先を狙った攻撃」が選出された。
サプライチェーンとは、原材料の調達から製造、物流、販売に至る一連の供給網を指し、その一部に存在するセキュリティ対策の弱い企業や委託先を足掛かりに、最終的な標的である本社や中核システムへ侵入する手口が特徴とされる。
本脅威は2019年以降、継続して10大脅威にランクインしており、2025年も事業継続リスクを高める要因として警戒が求められる状況が続いた。
3位には「AIの利用をめぐるサイバーリスク」が初めて選出された。
IPAによると、AIに対する不十分な理解による意図しない情報流出、著作権や権利侵害、生成結果の検証不足に加え、AIを悪用した攻撃手法の高度化や巧妙化など、多岐にわたるリスクが顕在化しているという。
2025年には、生成AIを利用したフィッシングなどの詐欺的手口が確認され、企業活動におけるAI活用とリスク管理の両立が課題として浮上した。
4位は「システムの脆弱性を悪用した攻撃」であった。
脆弱性とは、ソフトウェアやシステムに存在する設計上・実装上の弱点を指し、修正プログラムが適用される前に悪用されるケースでは被害が拡大しやすい。
2025年には、VPN製品であるIvanti Connect Secure(遠隔接続を行うためのネットワーク機器)に関する脆弱性を悪用した攻撃が国内外で問題となり、パッチ未適用の組織で影響が確認された。
また、クラウド環境における設定不備や正規機能を悪用する攻撃手法も引き続き注意が必要とされている。
5位には「機密情報を狙った標的型攻撃」が入った。
これは特定の組織や分野を狙い、長期間にわたり侵入や情報窃取を行う攻撃手法で、2025年には、日本の研究機関や先端産業分野を標的とした攻撃事例が複数報告されており、国家レベルの関与が疑われる高度な攻撃への警戒が続いている。
6位は「地政学的リスクに起因するサイバー攻撃」で、国際情勢や外交・安全保障上の対立を背景とした情報戦や妨害行為が含まれる。
特定の国や組織の政策・立場に対する抗議や影響力行使を目的とした攻撃が確認されており、日本国内の組織や個人も標的となる可能性があるとIPAは指摘している。
7位には「内部不正による情報流出」が選出された。
組織内部の関係者が権限を悪用し、意図的または不注意により情報を外部に流出させる行為が該当する。
国外では、電子商取引企業において元従業員が関与した大規模な個人情報流出事案が報告されており、アクセス権管理や監査体制の重要性が改めて示された。
8位は「リモートワーク等の環境や仕組みを狙った攻撃」だった。
在宅勤務や遠隔業務の普及に伴い、VPNやクラウドサービスを介した業務環境が攻撃対象となりやすくなっており、特にリモートアクセス機器の脆弱性を突いた攻撃は、システム侵害や業務停止につながるリスクがあるとされる。
9位には「分散型サービス拒否(DDoS)攻撃」がランクインした。
DDoS攻撃とは、複数の機器から大量の通信を送り付け、サーバーやネットワークに過負荷をかけてサービスを停止させる攻撃手法となる。
金融機関や公共性の高いサービスを狙った事例が報告されており、社会的影響の大きさが改めて認識された。
10位は「ビジネスメール詐欺」であった。これは、取引先や経営層を装った偽のメールを送り、送金や支払いを誘導する詐欺手口であり、依然として企業にとって大きなリスクとなっている。
一方、個人向け脅威については順位付けを行わず、五十音順で公表された。
選出された脅威には、インターネット上のサービスからの個人情報の窃取、不正ログイン、インターネットバンキングの不正利用、クレジットカード情報の不正利用、サポート詐欺、スマートフォン決済の不正利用、インターネット上の誹謗・中傷やデマ、フィッシングによる個人情報詐取、不正アプリによる被害、メールやSNSを悪用した脅迫・詐欺が含まれている。
このうち、インターネットバンキングの不正利用は、数年ぶりに再び選出された。
IPAは、同じ名称の脅威であっても攻撃手法は常に変化し続けているとした上で、企業・個人の双方に対し、最新の情報を踏まえた継続的な対策の重要性を呼びかけている。
【参考記事】
https://www.ipa.go.jp/security/10threats/10threats2026.html
https://industrialcyber.co/ransomware/qilin-hackers-claim-responsibility-for-asahi-cyberattack-allege-theft-of-27-gb-of-data-amid-ongoing-investigation/
https://www.niandc.co.jp/tech/20260115_69062/
https://www.trendmicro.com/ja_jp/jp-security/25/l/expertview-20251225-01.html
https://www.darkreading.com/cyberattacks-data-breaches/japanese-firms-suffer-long-tail-ransomware-damage
https://www.nri-secure.co.jp/blog/ipa-10-major-threats-2025