AIの利用をめぐるサイバーリスクが初登場3位 〜IPAのセキュリティ10大脅威2026が発表された
毎年IPAから発表される、情報セキュリティ10大脅威 2026。最近変わり映えしないんだよなあ・・とおもっていたところ・・・
目次
組織編の脅威TOP10
ほとんどの脅威が○年連続○回目。多少順番が入れ替わるだけですし、ランサムウェアの攻撃による被害はずっと1位です。6年連続1位ですね。
そんな中、赤丸急上昇で「AIの利用をめぐるサイバーリスク」が3位にランクインしています。まだ詳しい内容は出ていないので、どのあたりに重点が置かれているかわかりません。ただ、サイバーリスクなので、AIに機密情報を入れて流出ってのがメインテーマでは無いような気もします。攻撃されているわけではないですし。
逆に何がランク外になったのでしょうか?
2025年のTOP10を確認してみると、「不注意による情報漏洩等」ですかね。。ま、でも不注意による情報漏洩が減ってるんでしょうかね。
AIの利用をめぐるサイバーリスクとは
AI利用を巡るサイバーリスクについて確認します。以下の4つに分類されるでしょうか
1. AIに対する理解不足による情報漏えい・権利侵害リスク
- 利用者や組織が AIの仕組みやデータの扱いを正しく理解していない ことで発生。
- たとえば、機密情報や個人情報をAIに入力した結果、意図せず外部に送信される・蓄積されるリスク。
- また、第三者の著作権・肖像権などを侵害するコンテンツ生成の可能性。
2. AIが生成・加工した結果を検証せずに利用するリスク
- 生成AIの出力(文章・判断・回答)には 誤りや偏った内容が含まれることがある ため、
- それを十分に検証せず業務や判断に使うと誤情報の拡散や意思決定ミスにつながる。
- IPAはこの点を「生成AIが加工・生成した結果を十分に検証せず鵜呑みにすることによる問題」と指摘しています。
3. AI技術の悪用によるサイバー攻撃の容易化・巧妙化
- 攻撃者側がAIを使うことで、サイバー攻撃が より簡単かつ巧妙に行われるようになっている。
例:- AIによる高度な フィッシングメールの自動生成
- ディープフェイク を用いたソーシャルエンジニアリング
- 大量のカスタマイズされた攻撃文面(スピアフィッシング)
- 攻撃シナリオの自動化・高速化
4. その他の関連リスク(解説例)
IPAの一次説明を補う解説では、AIリスクが複合的・多面的に増大している背景 を示すものもあります(IPA資料を直接言及したものではありませんが、一般的にも報告されている傾向):
- AIによる 攻撃ツールの自動化(MaaS×AI)
- AIそのものに対する攻撃(プロンプトインジェクション、モデル侵害)
- 組織内部での AI利用が情報漏えいにつながるケース
→ 無許可のAIツール使用(シャドーAI)によるデータ流出
| リスクカテゴリ | 内容 |
|---|---|
| 理解不足・誤用 | 機密情報漏えい、権利侵害 |
| 出力結果の信頼性 | 誤情報・誤判断による業務リスク |
| AI悪用攻撃 | フィッシング、偽情報生成、攻撃自動化 |
| 組織内ガバナンス不足 | 利用ポリシー欠如による情報流出 |
個人編の脅威TOP10
個人編では、「インターネットバンキングの不正利用」が4年ぶりにランクインですね。不正利用が増えているのでしょうか?
インターネットバンキングの不正利用件数をGeminiに聞いてみました。これがあってるなら、増えていますね。
| 年度(和暦) | 発生件数(件) |
|---|---|
| 令和元年(2019年) | 1,872件 |
| 令和2年(2020年) | 1,734件 |
| 令和3年(2021年) | 584件 |
| 令和4年(2022年) | 1,136件 |
| 令和5年(2023年) | 5,578件 |
| 令和6年(2024年) | 4,369件 |
そんなところで
