📊 事実
組織が直面する主要な脅威
- 独立行政法人情報処理推進機構(IPA)は2006年から「情報セキュリティ10大脅威」を毎年発表しており、2026年版は2025年に発生した情報セキュリティの事故や攻撃を基に選定されたソース3 ソース6 ソース9。
- 2026年の組織向け脅威ランキングでは、ランサム攻撃による被害が11年連続で1位に選出されたソース3 ソース6 ソース9 ソース10。
- サプライチェーンや委託先を狙った攻撃は8年連続で2位に選出されたソース3 ソース6 ソース10。
- AIの利用をめぐるサイバーリスクは2026年に初めて選出され、組織向け脅威の3位となったソース3 ソース6 ソース9 ソース10。
- システムの脆弱性を悪用した攻撃は6年連続で4位に選出されているソース3 ソース6。
脅威の具体的な事例と経路
- 2025年1月、株式会社モダリスは米国の製造委託先A社からの虚偽の支払依頼により、約1,400万円の損失を公表した(ビジネスメール詐欺事例)ソース1 ソース2 ソース8。
- 2025年12月以降、社長や役員を装った「LINEグループ作成依頼」メールによる詐欺が相次いで発生し、LINEヤフー株式会社や警視庁が2026年1月に注意喚起を行ったソース1 ソース2 ソース8。
- 2025年におけるランサムウェア被害の感染経路は、VPN機器を経由したものが過半数を占めているソース4 ソース5。
- 2025年10月31日、IPAはVPN機器等に対するネットワーク貫通型攻撃のおそれについて注意喚起を公表したソース4。
- 2025年6月、ソフトバンクの委託先UFジャパンから約14万件の顧客情報流出の可能性があると発表されたソース4 ソース5。
推奨される対策
- 情報セキュリティ対策の基本として、インシデント対応体制の整備、サイバー保険の検討、セキュリティ対策のための予算確保が推奨されているソース1 ソース2 ソース8。
- バックアップ運用においては、3-2-1ルール(異なる3種類のコピーを2つの異なる媒体に保存し、1つはオフサイトに保管)に基づくデータ保管が推奨されているソース8。
- 情報セキュリティに関する教育プログラムの定期的な実施が推奨されているソース7。
- パスワードは推測されにくいものを設定し、使い回しを避けるべきであり、多要素認証(MFA)の利用も推奨されているソース7。
- IoT機器を含むシステムの初期設定パスワードは変更する必要があるソース7。
💡 分析・洞察
- 日本企業はランサム攻撃やサプライチェーン攻撃といった直接的な経済的損失と事業継続リスクに直結する脅威に継続的に晒されており、その手口は権威ある第三者へのなりすましやVPN機器の脆弱性悪用など、多様化・巧妙化している。
- AIの利用をめぐるサイバーリスクの初選出は、新たなテクノロジー導入に伴う潜在的な攻撃経路の増加と既存対策の陳腐化を示唆しており、将来的な国益保護には先進的なリスク評価と防御策が不可欠となる。
⚠️ 課題・リスク
- 組織のセキュリティ対策が、年々巧妙化するビジネスメール詐欺やサプライチェーン攻撃に追いついていない現状は、企業間の信頼関係を損ない、日本経済全体の生産性低下と国際競争力の弱体化に繋がる。
- VPN機器などリモートワーク環境の脆弱性を悪用した攻撃がランサムウェア被害の過半数を占める状況は、働き方の変化がセキュリティリスクを増大させていることを示しており、国民生活と企業の安定的な事業活動を脅かす治安上の懸念となる。
- サイバー保険の検討やセキュリティ対策予算の確保が推奨されているにもかかわらず、中小企業を中心に導入が進まない場合、大規模な被害発生時には納税者による公的支援の必要性が発生し、国民負担が増大する可能性が高まる。
- 定期的な教育プログラムの未実施やパスワード管理の不徹底は、従業員のセキュリティ意識の低さを露呈させ、組織内部からの情報漏洩や不正アクセスを誘発し、企業秘密や個人情報の流出を通じて日本の産業基盤と個人の財産を危険に晒す。
主な情報源: IPA
コメント