2026年05月24日のサイバーセキュリティ動向まとめ
サマリ
2026年のサイバーセキュリティは、ランサムウェアとAIの悪用が主要脅威です。組織向けの脅威ランキングではランサムウェアが11年連続1位、AIリスクが初選出で3位となりました。同時に経産省のセキュリティ対策評価制度が運用を開始し、企業は規制対応と技術防御の両面で大きな変革を迫られています。
詳細
ランサムウェアの進化と二重恐喝の猛威
ランサムウェアは11年連続で脅威ランキング1位を占め続けています。警察庁の2026年上半期レポートによると、報告件数は高い水準で推移しており、2026年第1四半期の恐喝被害は2,122組織に達しました。
特に注目すべき変化は、攻撃手法の進化です。従来の単なるデータ暗号化から、データを盗んだ上で「公開しないことと引き換えに身代金を要求する」二重恐喝へシフトしています。さらに最近は、攻撃成功後の交渉強硬化や、データなし恐喝など多様な手口が登場しました。中小企業が全被害の3分の2を占める点も見逃せません。
攻撃者側の組織化も顕著です。個別の攻撃者グループから、Qilin、The Gentlemen、LockBitといった強力なグループへの集約が進み、個々の攻撃の精度と被害規模が高まっています。
AIによる攻撃の民主化と高度化
2026年の最大の注目点は「AIの利用をめぐるサイバーリスク」が脅威ランキング3位に初選出されたことです。これは新しい脅威というより、既存の攻撃がAIで質的に変化していることを示唆しています。
攻撃者がAIを活用する理由は「攻撃の民主化」です。生成AIの普及により、従来は高度な技術知識が必要だった攻撃が誰でも実行可能になりました。プロンプト一つで自然な日本語のフィッシングメールが秒速で作成でき、既存マルウェアの改変も容易になりました。攻撃コードそのものまで実行ごとに自動再生成するAI連動型マルウェアも出現しています。
さらにディープフェイク技術が悪用され、ビジネスメール詐欺や経営幹部なりすまし詐欺が急増しています。2025年の香港での事例では、CFO詐欺で約37億円が詐取されました。音声や顔の偽造技術も多要素認証を突破する手段となりつつあります。
制度変更とサプライチェーン対応の急務
2026年は企業のセキュリティ対応に転換点をもたらす規制が多数施行されます。最大の柱は経産省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」で、2026年度中の運用開始が予定されています。
この制度は企業のセキュリティ対策を★3から★5で可視化するもので、★3(自己評価)と★4(第三者評価)が2026年10月頃に運用開始予定です。取引先から★3以上の取得を求められるケースが増加すると見込まれており、サプライチェーン全体の対策が義務化される流れが加速しています。
同時にサイバー対処能力強化法が2026年中に施行され、重要インフラ事業者にインシデント報告義務が課されます。EUのサイバーレジリエンス法も適用が進み、日本企業も対応が必須となります。
ゼロトラストとIDセキュリティの本格展開
2026年のセキュリティ技術トレンドでは、AIエージェント時代に対応するため、ゼロトラスト(境界防御を前提としない厳格なアクセス制御)の導入が加速しています。調査では81%の組織が2026年までにゼロトラスト導入を計画しており、VPN依存から脱却する傾向が顕著です。
IDセキュリティ(ユーザー・デバイス・アプリケーションの認証基盤)の強化も重要になります。生成AIを悪用したなりすまし攻撃が増加する中、多要素認証の徹底とアイデンティティ中心のセキュリティ戦略への転換が求められています。
今後の展望
2026年のサイバーセキュリティは、攻撃側と防御側の「AI軍拡競争」が本格化する過渡期です。攻撃者はAIで処理速度と判断能力を飛躍的に高める一方、防御側もAIを活用したSOC(セキュリティ運用センター)の自動化で対抗する流れが加速します。
最大の課題は「既知脅威への基本対策の欠如」です。ランサムウェアが11年連続1位という状況は、わかっている脅威を防ぎきれていない現実を示唆しています。VPN脆弱性の放置、パッチ未適用、多要素認証の未導入といった基本対策を見直すことが、どの企業にとっても最優先事項です。
2027年に向けては、量子コンピュータが既存の公開鍵暗号を解読するリスクも視野に入れ、耐量子暗号への移行準備も開始する必要があります。セキュリティ人材の不足(2030年目標に対し現在は約48%)も深刻化するため、AIツールを使いこなせる人材育成が急務となっています。
企業が生き残るには、制度対応と技術防御の両立、サプライチェーン全体での対策強化、そして「侵入前提」の意識改革が不可欠です。セキュリ
