IPA｢情報セキュリティ10大脅威｣､トップ3に割り込んだ"新顔"《Gemini､ChatGPT､GitHub､Copilot…1人で複数使うのが当たり前》で対策不可避

26年の10大脅威（組織編）を昨年からの変動を加えた表に示す。

1位には「ランサム攻撃による被害」が選出された。ランサム攻撃による被害は16年以降に11年連続で選出され、21年以降は6年連続でトップに選出されており、もはや誰もが認める重大な脅威と認識されている。

2位には「サプライチェーンや委託先を狙った攻撃」が選出された。これも前年同様の順位である。セキュリティ対策水準の高い本社組織を狙うよりも、グループ会社や取引先が狙われ被害に遭う傾向にある。

1位のランサム攻撃も自社ではなく、業務を委託していたサプライチェーンが被害に遭うことも多く、自社だけでなく、グループ会社や取引先を含めた全体的な対策水準の向上が不可欠である。

経済産業省が取引先のセキュリティ水準を評価する共通の物差しとして「サプライチェーン強化に向けたセキュリティ対策評価制度」の施行を来年度から段階的に進める方針で動いている。

今回、最も特筆すべきは、3位に初選出された「AIの利用をめぐるサイバーリスク」である。AIが一般的なビジネスツールとなった今、攻撃者によるAI利用や、従業員による不用意な利用に伴うリスクを無視することはできない。

地政学的リスクの順位が上昇

「AIの利用をめぐるサイバーリスク」が3位に初選出され、他の項目が順位を下げる中で、唯一上昇したのが6位の「地政学的リスクに起因するサイバー攻撃（情報戦を含む）」である。これは昨年初選出され、今回で2回目の選出となった。

昨年選出される契機となったのは、24年から25年にかけて発生した国内の金融機関、通信事業者、交通機関へのDDoS攻撃である。犯行グループや動機については依然として解明されていない点も多いが、近年、DDoS攻撃は地政学的な対立と結びつき「サイバー空間における報復手段」として利用される傾向にある。

事実、ロシアによるウクライナ侵攻以降、ウクライナ支援を表明した西側諸国に対し、ロシア系の攻撃グループが報復措置としてDDoS攻撃を仕掛け、犯行声明を公開する事案が頻発している。