2026年06月11日のサイバーセキュリティ動向まとめ

サマリ

2026年の日本企業を取り巻くサイバー脅威は過去最高水準に達しています。ランサムウェアが11年連続で脅威1位を占める中、AIを悪用した高度な攻撃が新たに3位にランクイン。サプライチェーン全体への攻撃が急増し、法制度化への対応が企業の最優先課題となっています。

詳細

ランサムウェア被害の深刻化と多様化

ランサムウェアは組織向け脅威ランキングで6年連続の1位を維持しており、被害の質的変化が明らかになっています。2025年の身代金支払い総額は約1,279億円と前年比8%減少しましたが、被害件数は前年比50%増と増加傾向が続いています。

重要な変化として、「二重恐喝」手法が常態化しました。企業データを暗号化するだけでなく、盗んだ情報を公開することで金銭を要求する手口です。警察庁統計では2026年上半期にランサムウェア被害が116件報告され、高い水準が維持されています。

特に注目すべき点は、攻撃の標的が大企業からサプライチェーン全体へシフトしていることです。中小企業が被害全体の88%を占めており、セキュリティ対策が相対的に弱い企業が狙われています。

AI悪用による攻撃の高度化

IPAの「情報セキュリティ10大脅威2026」で、「AIの利用をめぐるサイバーリスク」が初めて3位にランクインしました。生成AIの普及により、攻撃者側もAIを活用し、高度なフィッシングメール生成や脆弱性自動探索が容易になっています。

攻撃者がDeepSeekやQwenといった生成AIモデルを活用し、マルウェアコードの改変やターゲット分析を自動化する事例が確認されています。かつて専門的なスキルが必要だった攻撃が民主化され、初心者レベルの攻撃者でも高度な攻撃を実行可能になったのです。

AIリスクは3つの側面に分類されます。第1は「利用者側のリスク」で、機密情報をAIツールに誤って入力することによる情報漏えい。第2は「攻撃側のリスク」でAIを使ったフィッシングやディープフェイク詐欺。第3は「AIシステム自体への攻撃」です。

サプライチェーン攻撃と法制度化

サプライチェーンを狙った攻撃が2位に継続ランクインしており、取引先経由での二次・三次被害が急増しています。2026年5月には、YCC情報システムへの攻撃から50万件の健康情報やマイナンバーを含む個人情報が複数の自治体・企業に波及する事案が発生しました。

こうした状況への対応として、経済産業省は「サプライチェーン強化に向けたセキュリティ対策評価制度」を2026年度中の運用開始を予定しています。評価は★3から★5の段階で表示され、取引条件や企業評価に直結する可能性が高く、セキュリティ対策がもはや「技術部門だけの課題」ではなく、経営・ガバナンスの課題に進化していることを示しています。

クラウドセキュリティの市場成長と技術進化

クラウドセキュリティ市場は急速に拡大し、2026年には466億7,000万米ドル規模に達すると予測されています。企業のクラウド採用拡大に伴い、ランサムウェアグループもクラウド環境を侵害経路として活用するケースが増加しました。

技術トレンドとしては、エージェントレス可視化機能とエージェント脅威検知機能の統合、インフラだけでなくアプリやデータ、AI層への対応拡大が進んでいます。従来の「何をどう守るか」から「可視化・運用・脅威対応」まで統合運用する段階へ移行しており、ゼロトラストセキュリティモデルの採用がますます重要になっています。

今後の展望

2026年のサイバーセキュリティ環境は、「守るべき対象」と「守り方」が同時に変わる転換期に入っています。ランサムウェア、AI、クラウド、サプライチェーン対策が複雑に絡み合い、従来の個別対策では対応困難な状況です。

企業に求められるのは、技術的対策と運用・統制をセットで成立させる視点です。2026年中のサイバー対処能力強化法施行、サプライチェーン評価制度の開始により、規制要件への対応が加速します。特に中小企業を含むサプライチェーン全体のセキュリティ底上げが喫緊の課題です。

量子コンピュータ脅威の現実化も見据え、耐量子計算機暗号（PQC）への移行準備が経営リスク対策として位置づけられ始めています。AIによる攻撃の高度化に対抗するため、AIを活用した防御側の検知・対応能力強化も急速に進展し、サイバー脅威に対する技術競争が加速する見通しです。