🌡️ サイバー攻撃の温度計

指標

🎯 情報セキュリティ 2026 大脅威

IPA (独立行政法人 情報処理推進機構) が毎年 1 月末に発表する、社会的影響の大きかったセキュリティ脅威ランキング。 セキュリティ専門家・研究者からなる選考会が前年の実情報・被害事例を踏まえて選出する、国内で最も参照される年次脅威リスト。

🏢 組織編 — 2026 年 Top 10

企業・組織を狙う脅威を順位付き (#1 が最大)。IT 担当者・経営層が最初に押さえるべき年次優先順位。

  1. #1

    ランサム攻撃による被害

    初選出年: 2016年 採択履歴: 11年連続11回目
  2. #2

    サプライチェーンや委託先を狙った攻撃

    初選出年: 2019年 採択履歴: 8年連続8回目
  3. #3

    AIの利用をめぐるサイバーリスク

    ⭐ 初選出
    初選出年: 2026年 採択履歴: 初選出
  4. #4

    システムの脆弱性を悪用した攻撃

    初選出年: 2016年 採択履歴: 6年連続9回目
  5. #5

    機密情報を狙った標的型攻撃

    初選出年: 2016年 採択履歴: 11年連続11回目
  6. #6

    地政学的リスクに起因するサイバー攻撃(情報戦を含む)

    初選出年: 2025年 採択履歴: 2年連続2回目
  7. #7

    内部不正による情報漏えい等

    初選出年: 2016年 採択履歴: 11年連続11回目
  8. #8

    リモートワーク等の環境や仕組みを狙った攻撃

    初選出年: 2021年 採択履歴: 6年連続6回目
  9. #9

    DDoS攻撃(分散型サービス妨害攻撃)

    初選出年: 2016年 採択履歴: 2年連続7回目
  10. #10

    ビジネスメール詐欺

    初選出年: 2018年 採択履歴: 9年連続9回目

👤 個人編 — 2026 年 (五十音順)

IPA は 2024 年から個人編の順位付与を廃止し、五十音順で 10 件を提示。 「どれも同等に注意すべき」という整理に変更されたため、本サイトでも順位なしで掲載。

  • インターネット上のサービスからの個人情報の窃取 7年連続10回目
  • インターネット上のサービスへの不正ログイン 11年連続11回目
  • インターネットバンキングの不正利用 4年ぶり8回目
  • クレジットカード情報の不正利用 11年連続11回目
  • サポート詐欺(偽警告)による金銭被害 7年連続7回目
  • スマホ決済の不正利用 7年連続7回目
  • ネット上の誹謗・中傷・デマ 11年連続11回目
  • フィッシングによる個人情報等の詐取 8年連続8回目
  • 不正アプリによるスマートフォン利用者への被害 11年連続11回目
  • メールやSNS等を使った脅迫・詐欺の手口による金銭要求 8年連続8回目

📅 過去年の組織編 Top 10 (推移)

毎年の組織編 Top 10。脅威名は年により少しずつ表記が変わる (例: 「ランサムウェアによる被害」→「ランサム攻撃による被害」) ため、本サイトでは各年単体で表示。

情報セキュリティ 2025 大脅威 [組織]
  1. #1 ランサム攻撃による被害
  2. #2 サプライチェーンや委託先を狙った攻撃
  3. #3 システムの脆弱性を突いた攻撃
  4. #4 内部不正による情報漏えい等
  5. #5 機密情報等を狙った標的型攻撃
  6. #6 リモートワーク等の環境や仕組みを狙った攻撃
  7. #7 地政学的リスクに起因するサイバー攻撃 ⭐ 初選出
  8. #8 分散型サービス妨害攻撃(DDoS攻撃)
  9. #9 ビジネスメール詐欺
  10. #10 不注意による情報漏えい等
情報セキュリティ 2024 大脅威 [組織]
  1. #1 ランサムウェアによる被害
  2. #2 サプライチェーンの弱点を悪用した攻撃
  3. #3 内部不正による情報漏えい等の被害
  4. #4 標的型攻撃による機密情報の窃取
  5. #5 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
  6. #6 不注意による情報漏えい等の被害
  7. #7 脆弱性対策情報の公開に伴う悪用増加
  8. #8 ビジネスメール詐欺による金銭被害
  9. #9 テレワーク等のニューノーマルな働き方を狙った攻撃
  10. #10 犯罪のビジネス化(アンダーグラウンドサービス)

この指標について

なぜこれが「もっとも参照される脅威リスト」なのか

IPA の 10 大脅威は、業界横断のセキュリティ専門家 200 名以上の選考会が、前年の事案・統計・観測値を踏まえて選出します。 政府・自治体・企業のセキュリティ計画書、教育機関のカリキュラム、内部監査の評価基準でも頻繁に引用される、国内で最も「公式」に近い脅威リストです。

毎年 1 月末に発表、3 月頃に各脅威ごとの詳細解説 PDF (組織編・個人編) が公開されます。 解説 PDF には攻撃手口・被害事例・対策が項目別にまとまっているため、IT 担当者の最初の参照資料として有用です。

本サイトでの位置付け

本サイトの他の指標 (フィッシング件数・KEV・漏えい報告等) が「実際に観測された数字」であるのに対し、IPA 10 大脅威は「専門家が認識する脅威の優先順位」を表します。観測値と専門家認識の両方を見ることで、数字に出ていない /まだ顕在化していない脅威 (新興の攻撃手法等) もカバーできます。

2026 年の組織編で初選出された脅威は、本サイトの他の指標ではまだ充分にトラッキングできていない領域です。継続的に各指標を観測しつつ、IPA の選考結果は「変化点の検出センサー」として読みます。

出典: IPA 情報セキュリティ 10 大脅威

2026 年版の引用元: 情報セキュリティ 2026 大脅威 (2026.html)

最終更新: 2026-05-14