独立行政法人情報処理推進機構(IPA)は1月29日、「情報セキュリティ10大脅威 2026」を発表した。
IPAでは、国民の情報セキュリティにおける脅威への関心喚起と対策実施の促進を目的として、2006年から「情報セキュリティ10大脅威」を公表しており、「情報セキュリティ10大脅威 2026」では、IPAが2025年に発生した情報セキュリティの事故や攻撃の状況などから脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約250名のメンバーで構成する「10大脅威選考会」の投票を経て決定している。
「組織」の立場と「個人」の立場での「10大脅威」はそれぞれ下記の通り。
・情報セキュリティ10大脅威 2026 [組織]
1:ランサム攻撃による被害(11年連続11回目)
2:サプライチェーンや委託先を狙った攻撃(8年連続8回目)
3:AIの利用をめぐるサイバーリスク(初選出)
4:システムの脆弱性を悪用した攻撃(6年連続9回目)
5:機密情報を狙った標的型攻撃(11年連続11回目)
6:地政学的リスクに起因するサイバー攻撃(情報戦を含む)(2年連続2回目)
7:内部不正による情報漏えい等(11年連続11回目)
8:リモートワーク等の環境や仕組みを狙った攻撃(6年連続6回目)
9:DDoS攻撃(分散型サービス妨害攻撃)(2年連続7回目)
10:ビジネスメール詐欺(9年連続9回目)
・情報セキュリティ10大脅威 2026 [個人](五十音順)
インターネット上のサービスからの個人情報の窃取(7年連続10回目)
インターネット上のサービスへの不正ログイン(11年連続11回目)
インターネットバンキングの不正利用(4年ぶり8回目)
クレジットカード情報の不正利用(11年連続11回目)
サポート詐欺(偽警告)による金銭被害(7年連続7回目)
スマホ決済の不正利用(7年連続7回目)
ネット上の誹謗・中傷・デマ(11年連続11回目)
フィッシングによる個人情報等の詐取(8年連続8回目)
不正アプリによるスマートフォン利用者への被害(11年連続11回目)
メールやSNS等を使った脅迫・詐欺の手口による金銭要求(8年連続8回目)
IPAでは、「組織」向け脅威への対策として、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制に、どのようなリスクがあるのかを洗い出し、更に委託先を含むサプライチェーン上のリスクの洗い出しや対策状況の確認についても可能な限り同等に行うことが望まれるとしている。
「情報セキュリティ10大脅威 2026」の詳しい解説は、2月下旬以降に順次IPAのウェブサイトで公開予定。
