プレス発表「情報セキュリティ10大脅威 2026」を決定

独立行政法人情報処理推進機構
公開日：2026年1月29日


プレス発表「情報セキュリティ10大脅威 2026」を決定

～組織編の3位に「AIの利用をめぐるサイバーリスク」が初めてのランクイン～


(リンク »)

IPAでは、国民の情報セキュリティにおける脅威への関心喚起、対策実施の促進を目的として2006年から、「情報セキュリティ10大脅威」を公表しています。前年に発生した情報セキュリティの事故や攻撃の状況などから、IPAが脅威候補を選定し、情報セキュリティ分野の研究者、企業の実務担当者など約250名のメンバーで構成する「10大脅威選考会」の投票を経て決定したものです。「組織」の立場と「個人」の立場での「10大脅威」はそれぞれ以下のとおりです。

■情報セキュリティ10大脅威 2026 [組織]

(リンク »)

■情報セキュリティ10大脅威 2026 [個人]

(リンク »)

「組織」向け脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位に変わりがありませんでした。2025年もランサムウェアに感染した企業・組織が多く確認され、取引先を含むサプライチェーン全体に深刻な影響を及ぼした事例もあり、こうした情勢がランキングにも反映されていることがうかがえます。また、今回、初めて脅威候補となった「AIの利用をめぐるサイバーリスク」が3位にランクインしました。「AIの利用をめぐるサイバーリスク」で想定されるものは多岐にわたります。AIに対する不十分な理解に起因する意図しない情報漏えいや他者の権利侵害といった問題、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題、AIの悪用によるサイバー攻撃の容易化、手口の巧妙化、などが挙げられます。上位にランクインした背景にはこのような多岐にわたるリスクの存在が考えられます。

一方、「個人」向け脅威（注釈1）では、「インターネットバンキングの不正利用」が2023年以降、圏外となっていましたが、4年ぶりに2026年で復活しました。昨今の被害の状況を踏まえた結果と考えられます。
「組織」向け脅威への対策は、セキュリティ対策情報を継続的に収集し、使用している機器やサービスに適切なセキュリティ対策を講じつつ、各脅威が自組織の事業や体制に、どのようなリスクがあるのかを洗い出すことが重要です。更に委託先を含むサプライチェーン上のリスクの洗い出しや対策状況の確認についても可能な限り同等に行うことが望まれます。

「個人」向け脅威のラインナップに大きな変化はありませんが、脅威の呼称が同じであっても、常に手口は巧妙に変化し続けています。IPAのウェブサイトで、最新の手口に関する情報を確認し、手口の変化に応じた対策を把握することが重要です。

「情報セキュリティ10大脅威 2026」の詳しい解説は、2月下旬以降、順次IPAのウェブサイトで公開する予定です。

※注釈1
「個人」向け脅威は、家庭等でパソコンやスマホ等のデジタル機器を利用する人を対象としており、「10大脅威選考会」の投票で社会的影響が大きかった脅威を決定したものです。「個人」向け脅威は、順位表記をせず五十音順で列挙していますが、全てに十分な注意、対策が必要です。