2026年06月07日のサイバーセキュリティ動向まとめ
サマリ
2026年のサイバーセキュリティは、ランサムウェアとサプライチェーン攻撃が依然として最大の脅威である一方、AIを悪用した攻撃が新たに3位にランクインしました。同時に、セキュリティ対策の法制化が進み、企業には新たな義務と対応が求められています。
詳細
1位・2位の脅威:ランサムウェアとサプライチェーン攻撃
IPAの「情報セキュリティ10大脅威 2026」によると、ランサムウェア攻撃は4年連続で1位です。警察庁のレポートでは、2026年上半期のランサムウェア被害は116件に達し、過去最多水準を記録しています。
特に深刻なのは「二重恐喝」という手口です。攻撃者がシステムを暗号化して身代金を要求するだけでなく、盗み出したデータを公開することで、支払い圧力を高めています。さらに仮想化基盤や基幹システムといった、企業の生命線を狙う傾向が強まっています。
サプライチェーン攻撃が2位にランクインしたのは、大企業のセキュリティが強化されたため、攻撃者が弱い中小企業を経由して大企業にアクセスする戦略に転換しているためです。こうした状況に対応するため、経済産業省は2026年度中に「セキュリティ対策評価制度」の運用を開始する予定です。このシステムでは、企業のセキュリティ成熟度を★3から★5で評価し、特に★3は「サプライチェーンに関わるすべての企業が最低限到達すべき水準」とされています。
AIを悪用した攻撃が3位に初登場
2026年版で最も注目すべきは、「AIの利用をめぐるサイバーリスク」が初登場ながら3位にランクインしたことです。攻撃者はAIを複数の方法で悪用しています。
一つは「プロンプトインジェクション」です。巧妙に設計された指示文を使用して、AIシステムから本来アクセスできない情報を抽出する手法が急速に進化しています。別の例として、音声を再現して経営幹部やIT担当者になりすます攻撃も報告されています。
さらに深刻なのは、生成AIを使ってフィッシング攻撃やマルウェアコードを自動生成する動きです。フィッシング・アズ・ア・サービス(PhaaS)という、専門的な技術がなくても金銭を支払えばフィッシング攻撃を実行できるサービスが登場し、攻撃のハードルが大きく下がっています。2026年には世界的にフィッシングがすべての成功したサイバー侵入の42%を超えると予測されています。
法制度の大転換:セキュリティが取引条件に
2026年は日本企業にとってセキュリティ対策の転換点です。複数の制度が同時に施行・運用開始されます。
EU圏での大きな変化は「サイバーレジリエンス法」です。2026年9月11日から、脆弱性とインシデントの報告義務が適用開始されます。EUで製品を販売する日本企業も対象となるため、国際展開している企業への影響は甚大です。
また、日本国内では「サイバー対処能力強化法」が2026年中に施行予定です。これは電力・ガス・水道などの重要インフラ事業者はもちろん、製造業の生産管理システムまで対象とする可能性があります。
何より重要なのは、セキュリティがもはや「あると良い」ではなく「取引のための必須条件」に変わったということです。大企業との取引を希望する企業は、セキュリティ対策評価制度で★3以上を取得することが求められるようになります。
最新の脅威トレンド:ディープフェイクと自動攻撃
AIを活用したディープフェイク攻撃も急増しています。2024年から2025年にかけて、ディープフェイクがサイバー攻撃の約10%に関与し、詐欺による損失は1件あたり25万ドルから2000万ドルの範囲に及んでいます。金融機関の55%がディープフェイク関連インシデントを報告しており、攻撃の実現性が確認されています。
さらに懸念されるのが「自律型AIエージェント」の登場です。人間の介入なしにリアルタイムで脆弱性を特定・悪用できるAIが出現し、従来の防御体制では対応不可能な局面が近づいています。
今後の展望
2026年のサイバーセキュリティ市場は、防御側がAIを手に入れ同時に攻撃側もAIを活用する、という「AI軍拡」の時代に突入しています。企業のセキュリティ支出は2028年までに3,770億ドルに向けて成長すると予測されており、その多くがAI関連技術に投資されます。
企業が取るべき戦略は大きく3つです。第一に「ゼロトラスト」の導入です。従来のVPN依存型から、あらゆるアクセスを厳格に検証する仕組みへの転換が急務です。特に侵入後の横展開を防ぎ、被害を最小化する点で重要です。
第二に「AIセキュリティ」の組織化です。攻撃者がAIを使う時代、防御側もAIを使わねば対抗できません。異常検知や脅威予測、自動インシデント対応にAIを活用する企業が競争優位を得ます。
第三に「サイバーレジリエンス」の強化です。完全な防御は不可能
