2026年06月05日のサイバーセキュリティ動向まとめ

サマリ

2026年は「制度義務化」「ランサムウェア多様化」「AI対AI時代」の3つのキーワードで押さえるべき年です。国内ではセキュリティ対策評価制度が始まり、企業に対応が義務化される一方で、ランサムウェアは被害件数が増加、さらにAIを悪用した攻撃が主流化しています。

詳細

① 制度義務化で企業対応が急務

2026年は日本企業にとって「セキュリティの転換点」と言える年です。複数の制度が同時進行しています。

最大のポイントはセキュリティ対策評価制度（SCS評価制度）の運用開始です。経済産業省が主導するこの制度は、企業のセキュリティ対策を★3～★5で段階的に可視化するもの。★3（基礎的な対策）が自己評価で取得できる一方、★4以上は第三者評価が必要になります。重要なのは、取引先から★3以上の取得を求められるケースが増えることです。サプライチェーン全体の底上げが目的で、特に大企業との取引を持つ企業は対応が不可欠です。

加えて、2026年に施行されるサイバー対処能力強化法は、電力・ガス・金融・交通など重要インフラ事業者にインシデント報告義務を課します。さらにEUサイバーレジリエンス法は2026年9月から脆弱性報告義務が先行適用されます。EU市場にデジタル製品を販売する日本企業も対象になる可能性があり、国際展開企業は早急な準備が求められます。

② ランサムウェア被害、引き続き猛威

ランサムウェア攻撃は4年連続で脅威第1位です。2025年上半期だけで被害報告が116件、2026年は被害件数が前年比50%増と報告されており、量的拡大が顕著です。

特に注目すべき変化が2つあります。第一は「二重恐喝」の常態化です。従来の「データ暗号化で身代金要求」だけでなく、盗んだ情報を公開すると脅す手法が一般的になりました。身代金の支払い率は約25%と過去最低ですが、支払わない企業に対しても情報流出で脅迫が続く、という被害の長期化が問題です。

第二は攻撃対象の変化です。セキュリティ対策が強化された大企業から、中小企業やサプライチェーン全体へシフトしています。2026年3月にはトヨタやトキハなど大手企業が被害を受けましたが、これらは取引先の脆弱性を突いた攻撃でした。また医療機関や港湾など「止められない領域」が狙われています。

侵入経路の大半はVPN機器やリモートデスクトップ経由です。脆弱性未修正、漏洩した認証情報、設定不備が主な原因で、フィッシングメールも約45%の侵入経路となっています。

③ AIエージェント時代、攻撃と防御の新ステージへ

最も注目すべき新しい脅威が「AIの利用をめぐるサイバーリスク」で、初登場ながら脅威第3位にランクインしました。

攻撃側の進化が劇的です。従来、攻撃には人間の介入が必要でしたが、マルチエージェント型AIの登場により「24時間365日、休むことなく自動で実行」が可能になりました。複数のAIエージェントが「標的特定→脆弱性探索→攻撃実行→権限奪取→横展開→情報窃取」といった各プロセスを分担し、人間より圧倒的に高速で攻撃を遂行します。

具体例として、プロンプトインジェクション（AIを攻撃者の意図に従わせる）や、音声を再現して経営幹部になりすます攻撃が既に深刻化しています。また、3月には次世代AIモデル「Mythos」がソフトウェア脆弱性の検出で83.1%のスコアを記録したと報じられ、トップセキュリティ研究者を上回るパフォーマンスを示しています。

防御側も「AI対AI」の構図へシフトしています。AIを搭載したセキュリティシステムで、未知の攻撃のリアルタイム検知、脆弱性予測、インシデント対応の自動化が研究開発段階で進められています。ただし対策技術は発展途上であり、今後攻撃側と防御側の技術競争は激化する見通しです。

今後の展望

2026年は単なる「脅威が増える年」ではなく、セキュリティ環境そのものが大きく変わる転機です。三つの重要な展開が予想されます。

第一に、セキュリティが経営課題から取引要件へ転換します。SCS評価制度により、セキュリティ対策の不備は単に自社リスクではなく、取引継続の障壁になります。特に中小企業にとって対応負荷が大きくなり、業界全体での協力体制や政府支援が期待されます。

第二に、ランサムウェアは「感染しない」から「感染したら被害を最小化」へシフトします。完全防御は困難という認識の下で、バックアップ戦略（オフライン保管、イミュータブルストレージ）やインシデント対応計画の事前策定が経営リスク管理として必須になります。

第三に、AI時代のセキュリティは「AIを正しく理解」することが鍵になります。