☑️ IPAが「情報セキュリティ10大脅威 2026」を公表
☑️ 銀行不正利用が4年ぶり復活、AIリスクが組織3位に浮上
☑️ 決済手段の多様化に伴う巧妙な詐欺手口への警戒が必要
情報処理推進機構(IPA)は2026年1月29日、2025年に発生した社会的影響の大きい情報セキュリティ事案から選定した「情報セキュリティ10大脅威 2026」を決定しました。本指標は、専門家ら約250名で構成される選考会の審議を経て決定されたもので、近年のサイバー攻撃の動向を色濃く反映しています。
金融・決済分野において特筆すべき点は、個人向け脅威として「インターネットバンキングの不正利用」が4年ぶりに選出されたことです。本項目は2023年以降、圏外となっていましたが、昨今の被害状況の悪化を踏まえて再びランクインしました。フィッシング詐欺などを通じて盗み取られた認証情報が悪用され、預金が不正に送金される被害が深刻化している実態を浮き彫りにしています。
また、個人向けの脅威では「スマホ決済の不正利用」も7年連続で選出されました。QRコード決済や非接触決済の普及に伴い、アカウントの乗っ取りや、不正に入手したクレジットカード情報を決済アプリに紐付けるといった手口が常態化しています。これらの脅威は「クレジットカード情報の不正利用」や「フィッシングによる個人情報等の詐取」と密接に関連しており、複数の攻撃手法が組み合わされている点が特徴です。
組織向け脅威においては、今回初めて候補となった「AIの利用をめぐるサイバーリスク」が3位にランクインしました。AIの悪用により、フィッシングメールの精巧化や攻撃プログラム作成の容易化が進んでいると説明されています。AIによって言語の壁や技術的なハードルが下がり、金融機関や決済事業者を装った偽サイトへ誘導する手口がより巧妙化している点は、フィンテック業界にとっても大きな懸念材料です。
なお、組織向けの1位は「ランサム攻撃による被害」、2位は「サプライチェーンや委託先を狙った攻撃」となり、上位2位は4年連続で不動の結果となりました。決済システムを運用する事業者にとって、自社のみならず委託先を含めたセキュリティ管理が極めて重要な課題であることを示す結果となっています。
IPAは、脅威の名称自体に大きな変化がなくても、その手口は常に変化し続けていると指摘しています。個人に対しては、最新の詐欺手口を把握し、多要素認証の導入などの対策を講じるよう求めています。また、組織に対しては、自社の事業環境におけるリスクの洗い出しと、サプライチェーンを含めた包括的な防御体制の構築が重要であるとしています。
今回の発表に関する詳細な解説は、2月下旬以降に順次、同機構のウェブサイトで公開される予定です。
発表日時: 2026年1月29日
リリースURL: https://www.ipa.go.jp/pressrelease/2025/press20260129.html
