2026年07月04日のサイバーセキュリティ動向まとめ
サマリ
2026年上半期、ランサムウェア被害が4年連続で最大脅威を占めるなか、AIを活用した攻撃の民主化が急速に進展しています。政府による規制強化やSCS評価制度の運用開始が企業に新たな対応を迫るとともに、攻撃の多様化・高度化により、個別対策から統合的リスク管理へのシフトが急務となっています。
詳細
ランサムウェア被害の深刻化と多様な脅威
ランサムウェア攻撃はIPAの「情報セキュリティ10大脅威2026」で4年連続1位に選定されています。警察庁データによると、2026年上半期のランサムウェア被害は116件を記録し、依然として最大級の脅威です。
注目すべきは攻撃の質的変化です。単なるデータ暗号化から、情報窃取後にリークサイトで公開すると脅す「ノーウェアランサム」や「二重脅迫」など、複数の恐喝手段を組み合わせた手口が常態化しています。2025年の支払い総額は約1,279億円で微減したものの、攻撃件数は前年比50%増と拡大。攻撃者は支払い減少に直面し、より強硬な脅迫へシフトしています。
AI技術が変える攻撃と防御の構図
今年最大の変化は「AIの利用をめぐるサイバーリスク」が初登場で脅威ランキング3位に入選したことです。これまでAIは防御技術として活用されてきましたが、攻撃者もAIを悪用する時代へ移行しています。
Googleの脅威インテリジェンスチームが5月に報告した「AI生成ゼロデイ」は、AIモデルが脆弱性を発見・武器化した初の事例として記録されました。AIファジングやプロンプトインジェクション、ディープフェイクを悪用した詐欺など、攻撃の参入障壁が劇的に低下しています。一方、AIによる異常検知や脅威予測などの防御技術も進化していますが、攻撃者側の進化速度がそれを上回る状況が続いています。
サプライチェーン攻撃の拡大と規制強化
サプライチェーン攻撃は脅威ランキング2位を占めています。大企業のセキュリティが強化される中、攻撃者は取引先や委託先といった相対的に防御が手薄な企業を標的化。これにより被害が自社を超えてエコシステム全体に波及するため、復旧期間や経営への影響が深刻化しています。
政府もこの課題に対応する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」を2026年10月の運用開始を予定しており、セキュリティ対策が取引条件に直結する時代へ突入しつつあります。
クラウドセキュリティの脆弱性
クラウドサービスへの攻撃が急増しています。2026年上半期だけでも、クラウドメールサービスの不正ログイン、クラウドストレージからの個人情報流出、SaaSプラットフォーム経由の二次被害など、多くのインシデントが報告されています。
業務のクラウド化により、データは複数の場所に分散保管される一方で、一元的な可視化・管理が困難になっています。テスト環境への不正アクセス、特権アクセスの管理不備、バックアップ戦略の不備といった基本的なセキュリティ対策の欠落が、大規模被害につながるケースが目立ちます。
今後の展望
2026年は日本企業にとってサイバーセキュリティが経営課題である現実が益々明確になっていく転換点です。
第一に、従来の「防ぐ」セキュリティから「検知し、復旧する」レジリエンス重視へのシフトが加速します。AIやクラウドの普及で攻撃面が激増する中、完全な防御は不可能という認識が定着しています。企業には侵入前提での検知・隔離・復旧体制の整備が必須です。
第二に、セキュリティが技術部門だけの課題ではなく、経営層・ガバナンスレベルの課題となります。SCS評価制度や各種規制により、セキュリティ対策の実装状況が企業価値評価に直結するようになるからです。
第三に、サプライチェーン全体の可視化・管理が急務です。委託先のセキュリティ評価、定期的な監査、インシデント発生時の共同対処フロー確立といった施策が競争力を左右します。
攻撃の多様化・高度化に対応するには、単一の製品やソリューションではなく、技術・運用・統制をセットで機能させた統合的アプローチが必要です。企業は今、自社のセキュリティ現状を正確に把握し、優先順位を付けた計画的な対応を開始する時期にあります。
