2026年05月27日のサイバーセキュリティ動向まとめ
サマリ
2026年のサイバー脅威は「ランサムウェア」「サプライチェーン攻撃」「AIを悪用した攻撃」の3つが圧倒的です。昨年は1日1.5件のペースでインシデントが発生し、大企業から中小企業まで業種を問わず被害が相次ぎました。AIが攻撃の高度化を加速させ、セキュリティ制度も一斉に開始される転換点を迎えています。
詳細
ランサムウェア脅威が6年連続で最悪レベル
1日1.5件のペースでインシデント発生
2025年は日本企業にとって「サイバーセキュリティが経営課題」であることを改めて突きつけられた年となりました。トレンドマイクロの集計によると、2025年1月から11月までに国内で公表されたセキュリティインシデントは501件。つまり、毎日およそ1.5件のペースで企業や組織が被害を公表していたことになります。被害総額は数十億円規模に達したケースも複数報告され、経営を揺るがす深刻な事態です。
警察庁の発表によると、2026年上半期におけるランサムウェア被害は116件を記録し、2022年下半期と並ぶ最多となっています。犯行手口としては「二重恐喝」が大半を占めており、データを暗号化するだけでなく、窃取したデータを公開すると脅迫する手法が標準化されました。
象徴的な大型被害の衝撃
2025年9月29日のアサヒグループホールディングスへの攻撃は、サイバーセキュリティの脅威がいかに経営に直結するかを示しました。生産・物流システムが停止し、ビール出荷が滞り、190万件超の個人情報が流出した恐れがあります。注目されたのはCEO自らが「防げた攻撃だった」と述べた点。VPN機器の既知脆弱性が未対策のままだったのです。大企業でさえ基本的なセキュリティ対策の不徹底が致命傷になります。
サプライチェーン攻撃が2位に確定
独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威2026」では、サプライチェーン攻撃が2位にランクインしました。この脅威は、直接的な攻撃対象ではなく、セキュリティ対策が手薄な取引先や委託先を踏み台に侵入する手口です。
2025年9月25日のローレルバンクマシン社のAI-OCRサービス「Jijilla」への攻撃は、この脅威の恐ろしさを示しています。直接契約のない「上流」企業(銀行・証券など)の顧客データが、再々委託先のツール経由で流出した「逆流型サプライチェーン被害」です。単一の侵害が27,000を超える組織に波及する可能性も指摘されており、業界全体で対策が急務です。
初選出「AIの利用をめぐるサイバーリスク」が3位に急上昇
攻撃の民主化が始まった
2026年は新たな脅威が表舞台に登場しました。IPA発表の10大脅威で、「AIの利用をめぐるサイバーリスク」が初選出で3位にランクインしたのです。これはランサムウェアやサプライチェーン攻撃という「新しい脅威」ではなく、既存の攻撃が「AIによって質的に変化している」ことを意味します。
生成AIの普及により、かつては高度な専門知識が必要だった行為が容易になっています。フィッシングメールの自動生成、既存マルウェアコードの改変による検知回避、ビジネスメール詐欺の文面自動生成——これらが技術的な専門知識のない攻撃者にも可能になりつつあります。実際に2025年2月には、生成AIを悪用した中高生3人が不正アクセスで逮捕される事件が発生しました。
攻撃者もAIを「実行主体」として使う時代
より深刻なのは、AIが単なる「補助ツール」ではなく、意思決定を伴いながら攻撃サイクルを完結させる「実行主体(オペレーター)」になりつつある点です。ランサムウェアグループ「Qilin」の内部データからは、攻撃者たちがDeepSeekやQwenLLMといった生成AIモデルに強い関心を寄せ、サイバーセキュリティ特化型AIチャットボット「HackBot」を使用していたことが判明しています。
標的の分析、攻撃コードの最適化、脆弱性スキャンの自動化——AIが攻撃の効率と精度を飛躍的に高める道具として機能し始めているのです。これにより、熟練攻撃者と機会型攻撃者の能力差が急速に縮まっています。
2026年の主要な制度変更と企業への影響
2026年は規制面でも大きな転換点となります。経済産業省が推進する「サプライチェーン強化に向けたセキュリティ対策評価制度」が2026年度中に運用開始予定です。★3から★5の5段階評価により、企業のセキュリティ対策成熟度を可視化します。
同時に、サイバー対処能力強化法は2026年10月に施行予定です。重要電子計算機を管理する事業者に対してセキュリティ対策を義務付けるもので、製造業の重要インフラ関連システムも対象となる可能性があります。さらにEU圏進出企業向けには、EUサイバーレジリエンス
