-
- エスカ&レン:
- 今月もやってきました!「エスカとレンのセキュリティ通信」のお時間です。
-
- エスカ:
- 新年度が始まりましたね!環境が変わった方も多いのではないでしょうか?4月は新しい出会いやスタートが多くて、少しドキドキする季節ですね。
-
- レン:
- 最初はちょっと緊張するけど、新しいことに挑戦するにはいいタイミングだよね。
-
- エスカ:
- そうですね。無理せず自分のペースで、新しい日々を楽しんでいきたいですね。
さて、今回ご紹介するトピックスはこちらです!
●IPA「情報セキュリティ10大脅威 2026」発表
-
- エスカ:
- 定番の脅威が引き続き上位に入る一方で、新たにAIに関するリスクもランクインしています。
情報処理推進機構(IPA)は1月29日、2026年版の「情報セキュリティ10大脅威」を発表しました。
組織部門では、昨年大きなインシデントが発生し話題となった「ランサム攻撃による被害」や「サプライチェーンや委託先を狙った攻撃」が引き続き1位と2位に選出されており、これらの脅威が依然として猛威を振るっていることがうかがえます。
さらに今年は、新たな脅威として3位に「AIの利用をめぐるサイバーリスク」が初めて選出されました。生成AIの急速な普及に伴い、業務効率化といったメリットが広がる一方で、新たなリスクも顕在化しています。
例えば、AIに入力した情報が意図せず外部に漏洩してしまうリスクや、生成された内容を十分に検証せずに利用することで誤情報が拡散するリスク(ハルシネーション)などが指摘されています。
また、攻撃者側もAIを活用することで、より自然なフィッシングメールの作成や多言語での攻撃展開が容易になるなど、サイバー攻撃の高度化・巧妙化が進んでいます。これにより、従来よりも見分けがつきにくい攻撃が増加し、被害の拡大が懸念されています。
個人部門では、4年ぶりに「インターネットバンキングの不正利用」が選出されました。
特に2025年は、証券会社のオンライン取引サービスを標的とした不正アクセスや不正取引が相次いで発生し、広く報道されたことも背景の一つとみられます。
IPAは組織向けの脅威について、「順位の高低にかかわらず、自組織の環境に照らして優先すべき脅威を整理し、その優先順位に沿って対策を実施する必要がある」としています。
また個人向けの脅威については、IPAのWebサイトで最新の手口に関する情報を確認し、変化に応じた対策を把握するよう呼びかけています。
出典:IPA(https://www.ipa.go.jp/security/10threats/10threats2026.html)
■推奨する対応策
- 最新の脅威に備え、継続的な情報収集を行う
- 自組織の業務やシステムにどのようなリスクがあるかを把握する
- 侵入されることを前提にセキュリティ体制を整備する(ログの取得・分析、バックアップの確保、権限管理の見直し、インシデント対応手順の整備など)
■関連サービス
・
SCSmart ASM
:外部公開資産や漏洩している認証情報の管理・監視
・
Security FREE
:不審なログのリアルタイム検知・報告
・
SCSmart セキュリティ評価
:現状のセキュリティ対策の可視化、改善案の提示
・セキュリティ教育:従業員に対するセキュリティ意識の向上
-
- エスカ:
- 入力してよい情報の範囲、出力内容の根拠の確認手順、使用可能なツールの種類や利用条件など、AIを使用する際の社内ルールを明確にしたほうがいいね。
-
- レン:
- ランクインしなかった脅威でも被害が発生するリスクがあるから、自組織のリスクの洗い出しや対策の見直しを定期的に行うことが大事だよ。
-
- そふくリス:
- それに、企業のセキュリティ対策状況を客観的に評価・可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度」の整備が経済産業省で進められているから、自組織がサプライチェーンの一部としてどんな対策を取っているかを説明できる状態にしておくことが、これからますます重要になるよ。
●生成AIを悪用した楽天モバイル不正契約事案について
-
- エスカ:
- 続いては、実際にAIを用いたサイバー攻撃の事例を紹介します。
2024年夏ごろ、生成AI(人工知能)を悪用して作成したプログラムを使い、携帯通信サービス「楽天モバイル」のシステムへ不正に接続して回線を契約するという事案が確認されました。本事案では、中学生および高校生の計3人が不正アクセス禁止法違反などの容疑で逮捕されています。
警視庁によると、犯行に用いられたプログラムは、IDとパスワードを自動的かつ高速に入力するものでした。そして、契約情報が一致した場合には、回線数の上限まで追加契約を行う仕組みだったとされています。処理速度の向上や試行回数を増やすために、生成AIが悪用されたとみられています。
3人は秘匿性の高い通信アプリを通じて、海外の違法サイトから大量のID・パスワード情報を入手し、不正ログインを繰り返していた模様です。その結果、楽天モバイルのeSIM回線が不正に契約されたうえ、その一部は第三者に販売されていたことも判明しています。
また、このグループは通信回線の不正契約にとどまらず、他人名義のクレジットカード情報を違法に入手し、ゲーム機の購入などに不正利用していたことも明らかになっています。
本事案で特に注目すべきは、不正行為に用いられたプログラムの作成に生成AIが利用されたという点です。報道によれば、プログラムの開発経験が限られた中高生であっても、対話型生成AIを活用することで、処理速度の速い自動化プログラムを作成できていたとされています。
従来、このような不正アクセスや自動化攻撃は、高度な専門知識を有する一部の技術者に限られていました。しかし、生成AIの普及により、年齢や専門性にかかわらず、誰でも一定水準のプログラムを短時間で作成できる環境が整いつつあります。
その結果、攻撃の「難易度」は下がり、「規模」と「スピード」は増大するという、新たなサイバーリスクが顕在化しているのです。本件は、生成AIが業務効率化や学習支援に有用である一方、悪用されれば深刻な被害につながることを示す象徴的な事例と言えるでしょう。
■推奨する対応策
- ID/パスワードの漏洩対策として、フィッシング攻撃の周知を従業員に実施する。
- 不正ログイン対策のため各金融機関から案内されている多要素認証(MFA)を導入する。
■関連サービス
・
SCSmart ASM
:外部公開資産や漏洩している認証情報の管理・監視
・標的型メール訓練:トレンドのフィッシングメールへの対策・教育
-
- そふくリス:
- 最近はAIの発展によって、不正アクセスやサイバー攻撃などを行うハードルが以前よりも下がっている可能性があるということだね。
-
- エスカ:
- 実際に、AIを使ってランサムウェアが開発された事例もあるよ。
-
- レン:
- 企業としては今後、セキュリティインシデントへの対策をより一層強化していく必要がありそうだね。
-
- エスカ:
- ということで、今月の「エスカとレンのセキュリティ通信」はここまでです。
バナーから、セミナーやサービス紹介ページもご覧いただけますので、ぜひチェックしてみてください。
お役立ち資料
前回の記事はこちら!
【2026年版】4月の新人研修に間に合う!中小企業情シス向け「情報セキュリティ研修資料」完全ガイド -セキュリティ通信-
無料セミナーのご案内
関連サービス
記事内でご紹介したサービスは下記からご覧いただけます。
