2026年4月14日、ガートナージャパン(以下、Gartner)は、日本国内におけるセキュリティインシデントの傾向を発表した。同社は直近のセキュリティインシデント傾向を10パターンに分類。詳細は以下のとおり。
1. サプライチェーンサイバーリスクの拡大
サプライチェーンサイバーリスクが急速に拡大しており、Gartnerは2030年までに、サイバーセキュリティインシデントの60%以上がサードパーティサプライチェーンに起因するものになるとみているという。組織は、サードパーティサプライチェーンに起因するインシデントがさまざまなパターンのセキュリティインシデントに影響を及ぼすことを前提に、セキュリティ対策をデザインする必要があるとのことだ。
2. AIエージェントのリスクと脅威
企業におけるAIエージェントの取り組みが増えつつある中、リスクや脅威に関するGartnerへの問い合わせが増加傾向にあるそうだ。AIエージェントに起因する内部脅威として、データ消失・漏洩や間違った取引のほか、実際にビジネス損失につながるプロセス停止を引き起こしたインシデントも起こっているという。外部脅威の側面(例:エージェントハイジャック)では、ラボでの実験検証や関連ベンダーによるブログ発信など、現実的な観察事例としても増えつつあるとのことだ。AIブラウザやPCインストール型のAIエージェントも注目を浴び、新たなリスクを生み出しているという。
3. ランサムウェア攻撃
ランサムウェア攻撃は、2026年に入ってからも頻発している。業務委託先がランサムウェア攻撃を受けたことで、自社(業務委託元)の個人情報が漏洩したケースも見られるとしている。ランサムウェア攻撃は、攻撃者による既存機器の脆弱性悪用、正規のツールを悪用するLoTL(Living off the Land)攻撃、マルウェア使用など、複数の攻撃手法を組み合わせて目的達成を図る傾向があるとのことだ。拠点やVPNの脆弱性や認証情報の管理不足といった問題を抱えている企業はいまだに多いと考えられるため、当面は被害が継続する可能性が高いだろうと同社は述べている。
4. DDoS攻撃
クラウドサービスやWebメールサービス、レンタルサーバなどを狙ったDDoS攻撃が散見されるという。直近で被害の大きなものはないものの、過去に生活インフラに影響する企業が短期集中的にDDoS攻撃を受けた事例もあり、そのような兆候には留意する必要があるとしている。
5. 外部公開アプリケーションへの攻撃
ランサムウェア以外にもE-Commerce(EC)サイトが数ヵ月にわたって停止する事例が見られる。ECサイトへの攻撃では、過去に使われたクレジットカード情報が不正利用された可能性があると公表されたケースがある一方で、ECサイトサーバ内にクレジットカード情報は保管していないと明確に公表した事例も存在したという。組織は「情報を保有するリスク」という観点からシステムとセキュリティのデザインを再考することが求められるとしている。
6. ビジネスメール詐欺/フィッシング詐欺
インターネット証券口座を悪用したフィッシング詐欺の被害が、顧客および企業の双方に多大な影響を及ぼした。ボイスフィッシング詐欺も頻発しているという。ビジネスメール詐欺(BEC)は、AIで自然なメール文面を生成する、不正アクセスを通じて事前に業務内容を把握し巧みに偽装するなど、手法は進化しているとのことだ。すべてのBECやフィッシング詐欺を技術的に防御することはできないため、多額の送金を1人の従業員で行えないようにワークフローを強化し、それを遵守する対策が必要だと同社は述べている。
7. 内部不正/組織ガバナンスの崩壊
転職先での営業利用を目的とした退職者による顧客情報持ち出しの内部不正は継続的に発生しているという。また、業務委託先が発注元に無断で契約した再委託先が不正を行ったケースや、セキュリティ監査に虚偽の報告を行っていたケースに代表される、組織ガバナンスの崩壊とも言える状況が見られているとのことだ。
8. 作業や設定のミス
臨時作業時のミスに気づかず、インターネット上で個人情報が長期間閲覧可能になっていたケースやメール誤送信など、作業や設定のミスが情報漏洩につながる事例も継続的に発生している。業務委託先社員がミスの発覚を恐れ、アクセスログを削除した事例もあるという。
1つのミスが重大なセキュリティインシデントにつながるような業務においては、ミスを防止、検知できるよう複数名が関与する業務フローが必要だと同社は述べる。ミスの発覚時に社員(業務委託先を含む)がどのようなアクションを取るかのセキュリティアウェアネスも必要だとした。
9. プライバシー問題/デジタル倫理
画像/映像のAI分析において発生するプライバシーへの不適切な対応やデータ漏洩などのセキュリティインシデント、当事者が意図しないところで情報が利用されるリスク、第三者への提供など、プライバシー問題とデジタル倫理については、しばしば議論が起こっているという。
10. フェイクインシデント
実際は起こっていないセキュリティインシデント情報の拡散や、事実と異なる企業の公表内容が結果的にフェイクインシデントとなる事例が見られるとのことだ。
セキュリティインシデントの対外的な公表の範囲やタイミングは企業によってさまざまであり、正解はない。方針や判断フローを定めておき、サイバー攻撃やレピュテーションリスクに過度に敏感にならず、冷静に十分な事実確認を行うことが必要だとしている。
【関連記事】
・2028年までに80%の政府機関がAIエージェントを導入、日常的な意思決定を自動化──Gartner
・最大の情報漏洩リスクは「AIエージェント」に 企業には難しい判断が求められる──Gartner調査
・2027年までに、75%の人材採用プロセスに「AI習熟度」テストが実施される──Gartner展望
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
