2026年06月29日のサイバーセキュリティ動向まとめ
サマリ
2026年のサイバーセキュリティ環境は三つの大きな変化が特徴です。ランサムウェア攻撃は6年連続で最大の脅威として君臨し、サプライチェーン全体への波及が深刻化しています。さらに生成AIの普及に伴い、AI関連リスクが初めて3位にランクインするなど、攻撃の質的変化が加速しています。同時に、2026年度中の新規制度施行により企業のセキュリティ対応義務が大幅に強化される転換点となっています。
詳細
ランサムウェア被害の拡大と進化
情報セキュリティ10大脅威において、ランサムウェア被害が6年連続で1位に君臨しています。注目すべきは、身代金支払い件数は減少傾向にあるものの、データ窃取量や業務停止の規模は確実に拡大している点です。
2025年のランサムウェア身代金総額は約8.2億ドルで約8%減少しましたが、攻撃件数は50%以上増加しました。被害内容の質が変わり、単なるデータ暗号化ではなく、窃取したデータの公開をちらつかせる「暴露型」攻撃が全体の96%を占めるようになりました。国内では2025年上半期だけで42件のランサムウェア被害が報告されるなど、引き続き高止まり状態が続いています。
さらに懸念すべき進化として、マルウェアを使わず、窃取した認証情報でクラウドストレージ上のファイルを直接削除する「マルウェアレス攻撃」が主流化しています。これは攻撃者にとって工数が少なく、防御側にとって従来の対策が効きにくいため、2026年以降の主要な攻撃手法として確立される可能性があります。
サプライチェーン攻撃の深刻化
サプライチェーン攻撃は脅威ランキングで2位を占め続けており、単なる取引先への被害にとどまらず、多段階の波及が問題になっています。
2025年には、委託先・グループ会社経由でランサムウェア被害が波及する事例が相次ぎました。特に2026年5月には、YCC情報システムへの攻撃で山形市の健康情報50万件やマイナンバーを含む情報が複数の自治体や企業に波及し、被害把握が数ヶ月続く事態となりました。また東証プライム上場のデンソーなど大手製造業への攻撃も相次ぎ、サプライチェーン川上の重要企業が狙われるトレンドが明確になっています。
この背景に対応すべく、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度中の運用開始を予定しており、企業間取引におけるセキュリティ成熟度の可視化が求められる時代になりました。
AI時代の脅威の顕在化
AIの利用をめぐるサイバーリスクが、初選出ながら脅威ランキング3位にランクインしました。これは既存の脅威が新たな次元に進化していることを示す重要な信号です。
攻撃者側のAI活用は、フィッシングメール生成の自動化、脆弱性スキャンの高速化、攻撃コード最適化など、攻撃の参入障壁を大幅に低下させています。国家支援APTグループも、Geminiなどの生成AIツールを偵察やフィッシング、C2サーバー開発に用いていることが確認されています。
一方、企業側のAI運用リスクも深刻です。従業員が機密データをChatGPTに入力してしまう情報漏洩や、生成AIの脆弱性を悪用した攻撃など、AIそのものがアタックサーフェスとなる事態が急速に増えています。2026年は攻撃側・防御側ともにAIを前提とした対策設計が不可欠な時代へ突入しました。
規制強化とセキュリティ義務化
2026年は日本企業のセキュリティ対策における大きな転換点です。サイバー対処能力強化法の施行により、国の安全保障に関わる重要電子計算機の管理事業者に対して、セキュリティ対策の実施が法的義務となります。
加えて、経済産業省が主導するセキュリティ対策評価制度が2026年度中に運用開始される予定で、大企業との取引を持つ企業には最低限の評価水準(★3レベル)への到達が実質的に求められることになります。これらの制度は単なる努力目標ではなく、サプライチェーン全体に波及する実質的な義務として機能する可能性が高く、特に中小企業の対応準備が急務です。
今後の展望
2026年後半から2027年にかけてのサイバーセキュリティ環境は、さらに一層複雑化する見通しです。
まず技術面では、AIとランサムウェアの融合が加速し、個別組織の防御を超えた業界横断的な脅威が増加するでしょう。VPN脆弱性の悪用やゼロトラスト実装の不備などの「足元の基本対策」の重要性が、むしろ一層高まります。復旧力強化の観点からも、オフラインバックアップの整備やイミュータブルストレージの導入といった、従来の対策の徹底が勝敗を分ける要因になります。
規制面では、セキュリティ対策義務化への対応が企業の生存戦略に直結する時代になります。大企業主導のサプライチェーンセキュリティ対応が、取引先企業にカスケード式に波及し、業種
