本記事は セキュリティ速報シリーズ第25回 です。
「うちは大丈夫」と思っているうちが、一番危ない。——そんな言葉が、もはや大げさではなくなってきました。
2026年に入っても、サイバー攻撃の脅威は引き続き高い状態が続いています。各種レポートでも指摘されているとおり、攻撃の手口はますます巧妙になり、狙われる範囲も広がっている状況です。
この記事では、2023〜2025年の国内統計データと、2026年2月時点の最新トピックをもとに、「いま何が起きていて、何から手をつければいいのか」を整理します。
1. 2026年のセキュリティ、何が変わったのか
AIが「攻撃側の武器」にもなりつつある
生成AIが一気に普及したことで、セキュリティの風景も変わりつつあります。
一部の調査機関は、2026年のトップトレンドとして「AIの急拡大」や「地政学リスク」がセキュリティ戦略に大きく影響すると指摘しています。また、国内の「情報セキュリティ10大脅威 2026」では、組織向けの脅威に「AIの利用をめぐるサイバーリスク」が新たにランクインしました。
具体的には、AIを使った精巧なフィッシングメールや、偽情報の拡散などが懸念されています。「日本語が不自然だから見分けられる」という時代は、そろそろ終わりかもしれません。
サイバー犯罪が「産業」になっている
もうひとつの大きな潮流が、攻撃の「ビジネス化」です。
ランサムウェアや恐喝型攻撃は、もはや一匹狼の犯行ではありません。攻撃ツールの開発者、感染担当、交渉担当……と役割分担された「アフィリエイト制」の組織が、攻撃ツールやインフラをサービスとして提供しています。
この結果、専門知識がそれほどなくても攻撃が可能になり、標的も大企業だけでなく、中小企業や個人まで広がっているのが現状です。
2. 国内の被害状況(2023〜2025年)
「実際にどれくらい被害が出ているのか」を、国内の統計で確認してみます。
(※以下の数字はサンプル構成です。正確な値は『確認できません』)
具体的な件数や人数はレポートにより定義や集計範囲が異なりますが、「インシデントの公表件数は増加傾向にある」「不正アクセスやマルウェア、サプライチェーン起点の被害が目立つ」といった点は複数の統計に共通しています。
| 指標 | 2024年 | 2025年 |
|---|---|---|
| インシデント総数 | 1,344件 | 1,782件 |
| うち不正アクセス | — | 782件(約4割) |
| 公表件数 | 121件 | 165件(約1.4倍) |
| 漏えい人数 | 約1,500万人 | 約3,000万人(約2倍) |
漏えいの原因の多くが「ウイルス感染・不正アクセス」。ランサムウェアを含むシステム側の脆弱性だけでなく、メールや認証情報を起点とした侵入が大きな問題になっています。
公表件数が増えているのは、実際の被害増に加えて、情報開示の重要性が認識され始めた影響もありそうです。いずれにせよ、「他人事」と言える数字ではなくなっています。
3. 2026年2月、いま気をつけたいこと
「サイバーセキュリティ月間」真っ最中
毎年2月は「サイバーセキュリティ月間」です。各省庁や関連団体が啓発キャンペーンを展開しています。
政府の会見などでも、セキュリティとデジタル基盤の強化が重要施策として取り上げられています。
パッチチューズデーと祝日が重なる
2026年2月は、Windowsなどの月例セキュリティパッチ公開日が日本の祝日と重なるタイミングです。
運用担当の方は、適用スケジュールを早めに確認しておくのがよさそうです。連休前後は、パッチ未適用の環境が狙われやすいという指摘は毎年あります。
クラウドを狙うフィッシングが活発化
2026年2月時点のニュースでは、Dropboxなどクラウドストレージの認証情報を狙うフィッシングが報告されています。
手口は、調達依頼や請求書通知メールを装い、添付PDFやリンクから偽ログインページに誘導するもの。業務メールやクラウドアカウントの乗っ取りが目的なので、とくにWeb制作・運用に関わる方は注意が必要です。
モバイル・CMSの脆弱性にも注意
Google Pixel の2月アップデートでは、VPUドライバの権限昇格脆弱性(例:CVE-2026-0106)など、高リスクの修正が含まれています。
また、WordPressプラグイン「List category posts」では、過去数年にわたって複数の脆弱性が報告されており、修正版へのアップデートが推奨されています。WordPressを運用されている方は、一度プラグイン一覧を確認しておくと安心です。
4. なぜここまで被害が広がっているのか
攻撃側の「効率化」
先述のとおり、サイバー犯罪は分業制の「ビジネス」として回っています。
攻撃ツールがサービスとして売買され、専門知識がなくても攻撃が可能という状況が、インシデント急増の大きな要因になっています。
サプライチェーンへの依存
クラウドやSaaS、外部委託先への依存が高まった結果、1社の脆弱性がサプライチェーン全体に波及するケースが増えています。
自社のガードが固くても、取引先や委託先が突破されると、自社まで被害が波及する——そんな構造的なリスクが見えてきます。
認証情報の価値がさらに上がっている
不正アクセスが全体のかなりの割合を占めるという数字が示すとおり、IDとパスワードは攻撃の主要な入口です。
フィッシングメール、偽サイト、過去の漏えいデータベースの再利用などを通じて認証情報が集められ、メール・クラウド・管理画面の乗っ取りに使われています。
5. 今日からできる対策(2026年2月版)
最後に、個人や中小規模の組織を想定して、いま優先度が高い対策をまとめます。
ソフトウェア・プラットフォームの更新
- OSや主要ソフトの2月の月例パッチを、可能な範囲で早めに適用する
- Android/Pixel端末は、2月のセキュリティアップデートを放置しない
- WordPress利用者は、プラグインが脆弱性対象バージョンでないか確認する
認証とパスワード管理
- メール・クラウド・管理画面には、必ず多要素認証(MFA)を設定する
- パスワードの使い回しをやめ、パスワードマネージャーの導入を検討する
メール・ファイルの扱い方を見直す
- 請求書・調達依頼・共有通知のメールは、すぐにログイン情報を入力せず、送信元・ドメイン・文面の不自然さを確認する
- 「ログインし直してください」系の画面が出たら、一度閉じて、ブックマークや公式URLからアクセスし直す習慣をつける
まとめ
2026年2月時点のセキュリティ動向を俯瞰すると、キーワードは「インシデントの急増」「攻撃の産業化」「AI・サプライチェーン・認証情報」の3つです。
全部を一度に対応するのは現実的ではありません。まずは「ソフトのアップデート」「多要素認証の設定」「メールの扱いの見直し」という3つの基本から始めるのがよさそうです。
※本記事は、当社が2025年2月に社内およびクライアント様へご案内したメール内容を基に、Web読者の皆さまにも有益な情報となるよう加筆・編集のうえ公開しています。
