おやシュミ

おやすみの前の趣味の時間

サイバーセキュリティ

2026年06月26日のサイバーセキュリティ動向まとめ

oyashumi 0

サマリ

2026年は、ランサムウェアとAI関連リスクが二大脅威として浮上しています。ランサムウェア被害は6年連続で1位、サプライチェーン攻撃は2位に位置し、AIの利用に関するサイバーリスクが初めて3位にランクインしました。政策面では「サプライチェーン強化に向けたセキュリティ対策評価制度」や「サイバー対処能力強化法」の施行が予定されており、企業のセキュリティ対策が法的義務化される転換点を迎えています。

詳細

ランサムウェア脅威の深刻化

IPA「情報セキュリティ10大脅威2026」の組織向けランキングでは、ランサムウェアによる被害が6年連続で1位をキープしています。警察庁のデータによると、2026年上半期のランサムウェア被害は116件と、過去最多水準を記録しており、対前年比で50%の被害件数増加が報告されています。

特に注目すべきは被害の質的変化です。従来の暗号化だけでなく「二重恐喝」が常態化しており、データを窃取した上で情報公開をちらつかせて身代金を要求する手口が主流となっています。医療機関からスーパーマーケット、製造業まで、業種規模を問わず狙われており、2025年上半期だけで外来患者13万人分以上の個人情報が漏洩した事例も発生しています。

平均被害額は約2.2億円に達し、復旧期間の長期化により企業経営に直接的なダメージを与えるケースが増加。大分県の「トキハ」は約27億円の債務超過に陥るなど、経営破綻に至る事例も出現しています。

AI悪用による攻撃の急速な高度化

生成AIの急速な普及に伴い、攻撃者側もAI技術を積極的に悪用する動きが加速しています。IPA選考会で初めてランクインした「AIの利用をめぐるサイバーリスク」は、3つの側面に分類されます。

第一に「攻撃者によるAI悪用」です。先行指標として機能する「攻撃ツール化されたAI」が急増しており、WormGPTやFraudGPTなどの強化版に加え、HexStrike AIなどの自動偵察・攻撃経路生成機能を備えたツールが闇市場で販売されています。生成AIを利用したフィッシングメールの作成は2024年下期から急増し、被害が倍増しており、従来の日本語の不自然さを生成AIが補完することで、本物と見分けのつかない精巧なメール攻撃が可能になりました。

第二に「AIシステム自体への攻撃」です。CodeRabbitやSalesforceの「Einstein」といったAIアシスタント機能の脆弱性を悪用して、本来アクセス不可のデータベースにアクセスする事例が報告されています。攻撃者が質問を送るだけで顧客データ全体を上書きできるという深刻な脆弱性も検出されています。

第三に「AIを利用する側のリスク」です。企業の約6割がAIセキュリティリスクを認識していますが、規則を明文化している企業は2割未満にとどまっており、AI利用ガイドラインの策定の遅れが深刻化しています。ChatGPTなどの生成AIに機密情報を入力してしまう事例が相次ぎ、韓国メーカーではソースコードが外部に流出した可能性が報じられました。

サプライチェーン攻撃の2位固定と法制度化

IPA10大脅威で4年連続2位となるサプライチェーン攻撃は、単なる取引先経由の被害を超えた段階に進化しています。大手企業がランサムウェア被害を受けると、その影響は取引先や委託先にも波及し、顧客データも二次被害の対象となります。

こうした状況を受け、政策面でも大きな動きが起こっています。経済産業省主導の「サプライチェーン強化に向けたセキュリティ対策評価制度」の運用開始が2026年度中に予定されており、企業のセキュリティ対策の成熟度が「★3〜★5」の5段階で可視化・評価される仕組みが始まります。この評価が取引の可否や条件に直結するため、セキュリティ対策は単なる努力目標から「取引条件」へと転換します。

法制度の急速な整備

2026年は日本企業のセキュリティ対策における「転換点の年」です。2025年9月に成立した「サイバー対処能力強化法」が2026年10月に施行予定であり、国家安全保障や国民生活に重要な電子計算機を管理する事業者に対して、セキュリティ対策の実施が義務付けられます。

同時にEUのサイバーレジリエンス法も適用開始となり、国内企業のセキュリティ環境は急速に「義務化フェーズ」へ突入しています。

検知困難な新型脅威の出現

攻撃者による高度な防御回避手法の進化が加速しています。EDR(Endpoint Detection and Response)導入企業の被害も増加しており、攻撃者がEDRの活動自体を無効化する手法を常套化させています。

また、複数の著名セキュリティ企業による調査では、侵害後のシステム内部での活動時間が平均29分、最速27秒にまで短縮されており、「気づくスピードと対応スピードの逆転」が現実化しています。

今後の展望

2026年のサイバーセキュリティ市場は、従来の「技術部門による防御」から

oyashumi

サイト: https://www.oyashumi.tokyo

5億年前から来た全知全能の絶対神。 アノマロカリ子とハルキゲニ男を従え、 現代のあらゆる知識を手に入れようとしている。 生成AIは神に仇なす敵だと思っているが その情報に踊らされていたりする、愛すべき全知全能のアホ。 カリ子とゲニ男からの信頼は篤い。

Related Story

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA