2026年06月10日のサイバーセキュリティ動向まとめ

サマリ

2026年のサイバーセキュリティは「脅威の多層化」と「責任の拡大」が特徴です。ランサムウェアが6年連続1位の脅威となる一方、AI関連リスクが初めてランクイン。さらに企業間の取引にセキュリティ対策が条件となる新制度が本格化し、単なる技術対策から「経営とガバナンスの課題」へと重心が移りました。

詳細

圧倒的に深刻化するランサムウェア脅威

ランサムウェアは一年を通じて最大の脅威です。警察庁の統計によれば、2026年上半期のランサムウェア被害報告件数は116件に達しており、令和4年下半期と並ぶ最多水準です。驚くべきは、身代金の中央値が2024年の約199万円から2025年には約929万円へと、約4倍近く跳ね上がったことです。

攻撃者の手口も進化しています。「二重恐喝」が大半を占めており、データを暗号化するだけでなく、盗んだ情報を公開すると脅す戦術が定着しています。さらに恐ろしいのは「RaaS」（Ransom as a Service）というビジネスモデルです。ダークウェブで月額制のランサムウェアキットが販売され、技術知識を持たない人でも攻撃者になれる環境が整ってしまいました。

侵入経路は明確です。VPN機器やリモートデスクトップの脆弱性が全体の大半を占め、テレワーク拡大に伴う「セキュリティの穴だらけの入口」が攻撃者に狙われています。

サプライチェーン攻撃が業界全体を麻痺させる

ランサムウェアに次ぐ脅威がサプライチェーン攻撃です。2026年5月の事例では、「YCC情報システム」への攻撃により、山形市の健康情報50万件とマイナンバーを含む人事給与情報が複数の自治体・企業に波及しました。

さらに衝撃的だったのは、新日本検定協会へのランサムウェア攻撃が、東京海上日動、三井住友海上、損保ジャパンなど損保6社に同時に個人情報漏洩をもたらした事例です。1社への攻撃が業界全体に波及する時代になったのです。

こうした状況を受け、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度中の運用開始を目指しています。セキュリティ対策が取引条件となり、一定水準に達していない企業は取引の土俵に上がれなくなる可能性が現実化しています。

AI時代の新たなサイバーリスク

最大の変化は「AIの利用をめぐるサイバーリスク」が初めてランクインしたことです。情報セキュリティ10大脅威2026で3位を占めるこのリスクは、三つの側面から構成されています。

第一に「攻撃者によるAIの悪用」。国家支援グループが中国のAPT31や北朝鮮のUNC2970がAIツールを偵察・フィッシング生成に使用していることが報告されています。第二に「AIシステムへの攻撃」。生成AIサービス自体が攻撃対象となるリスクです。第三に「AIの運用」時に生じる情報漏えい。従業員が機密データをChatGPTに入力してしまうケースが実際に報告されています。

攻撃側がAIで脆弱性情報を解析し、PoCコード作成から対象探索・自動化まで数時間で完成させる時代に突入しました。従来の「パッチを当てる」という防御だけでは限界があります。

組織の自社努力だけでは防げない時代へ

単なる数字の増加ではなく、被害の構造が根本的に変わっています。サプライチェーン被害が多発し、バックアップも暗号化される事例が増えました。警察庁のレポートでは、バックアップ復元できなかった要因として「バックアップが暗号化された」という回答が有効回答37件中25件に達しています。

経営への直接的な影響も鮮明です。大分県の「トキハ」がサイバー攻撃を契機に債務超過に陥り、アサヒグループでは190万人超の個人情報流出とサプライチェーン全体の麻痺により、社会的混乱までもたらしました。

今後の展望

セキュリティが経営・ガバナンスの課題へ移行

2026年の最大の転換点は、サイバーセキュリティが「技術部門だけの課題」から「経営・ガバナンス・事業継続」の問題へと昇華したことです。セキュリティ対策評価制度により、「企業の対応レベルが数値化・可視化」される世界がやってきます。

技術対策と運用体制、統制をセットで成立させる必要があります。「侵入前提」の時代にあって、検知・封じ込め・復旧までの流れを設計し、AIやクラウドの利用をルール・ログ・運用プロセスとして管理できるか否かが企業の生き残りを分けるでしょう。

量子コンピュータという遠い脅威の現在化

一見遠い話に思えた「量子コンピュータによる暗号解読リスク」が、2026年に「具体的な経営リスク」へと変わります。量子コンピュータはRSA/ECCといった現在の公開鍵暗号を数時間から数分で解読できる可