2026最新サイバー攻撃トレンド 業務委託リスク対策のための6つの点検ポイント

サイバー攻撃は組織され高度化し続けており、ランサムウェア攻撃を筆頭に巨額にのぼる被害をもたらしている。それらに対し企業はどのように対応すべきなのか、NTTデータ経営研究所の大野博堂氏が語った。

[キーマンズネット]

NTTデータ経営研究所　大野博堂氏

　組織され高度化したサイバー攻撃はランサムウェア攻撃を筆頭に巨額にのぼる被害をもたらし続けている。特に業務委託先などのサプライチェーンを狙う攻撃は自社だけでは対策が難しい。企業はどのように対応すべきなのかをNTTデータ経営研究所の大野博堂氏が語った。

本稿は2026年2月19日のエンカレッジ・テクノロジ主催「SmartIT Forum 2026」での講演内容をもとに編集部で再構成した。

巧妙化・ビジネス化する最新のサイバー攻撃手法

　現在のサイバー攻撃は高度に組織化されており、なかでもランサムウェア攻撃には「Ransomware as a Service」（RaaS）と呼ばれる、中学生のような専門知識がない人物でも容易に扱える攻撃用プラットフォームも利用されるようになった。

　金銭目的の「闇ビジネス」は、不正プログラムの侵入口としてターゲット組織そのものを狙うばかりでなく、ターゲット組織の業務委託先など、サプライチェーンに存在する各企業の弱点から侵入し、正当な通信を装ってターゲット組織に不正侵入する手口が増えている。

　情報処理推進機構（IPA）が毎年発表する情報セキュリティ10大脅威ランキングではこの10年間「ランサム攻撃による被害」が筆頭に挙げており、「サプライチェーンや委託先を狙った攻撃」や「ビジネスメール詐欺」もトップ10の常連だ。

　NTTデータ経営研究所の大野博堂氏は「ランサムウェア攻撃はWebサイトでの簡単な情報入力とクレジットカード決済だけで実行でき、身代金が得られたらその一部（例えば3割）がRaaS側、残りは犯人の収益になる」と言う。

　このようなビジネスが横行して世界で多くの組織が被害を受けた。日本では「犯人と交渉しないこと」が少なくとも建前だが、大野氏は「グローバルでは攻撃を受けた企業の約56％が、システムの早期復旧やデータの公開を防ぐために身代金を支払っている」と指摘した。

　特に米国では、企業がサイバー保険に加入しているケースが多く、保険金を利用して手っ取り早く身代金を支払い、事態を収拾するという文化が定着しつつある。これが結果的に、攻撃者側の資金源となり、ランサムウェア攻撃をさらに加速させる要因となっている。

　大野氏が特に注意が必要な最近の攻撃トレンドとして挙げたのは次の3点だ。

生成AIの悪用によるビジネスメール詐欺（BEC）の高度化

　ビジネスメール詐欺（BEC）は依然として猛威を振るっている。類型としては「取引先との請求書の偽装」「経営者等へのなりすまし」「窃取メールアカウントの悪用」「社内の権威ある第三者へのなりすまし」「詐欺の準備や行為と思われる情報の詐取」がある。

　取引先などを装って緊急の送金を求める手口は古典的だが成功率が高いとされる。2017年には日本航空が二度に渡る「貨物業務委託料」請求の偽メールによって合計3.8億円の損害を受けた。

　さらに近年はこの手口に生成AIが組み込まれており、例えば企業トップの音声を事前に入手してAIで合成し、偽の音声通話で送金を指示するなど、ソーシャルエンジニアリングの手法も極めて巧妙化してきた。中小規模の組織であれば社長の声はなじみがあるため、合成音声により騙されてしまう危険性が高い。

物理的接点を狙う「ジュースジャッキング」と公衆Wi-Fiのわな

　警戒が必要な新しい手口の1つに、米国国家安全保障局（NSA）も警告を発している「ジュースジャッキング」（Juice Jacking）と呼ばれるものがある。その手口は、空港のロビーやホテルのラウンジなどに設置されている無料のUSB充電ポートや充電ケーブルにあらかじめ不正なチップを仕込み、利用者がスマートフォンを接続した瞬間にデータを抜き取ったり、マルウェアをダウンロードさせたりするものだ。

　また、ビジネスホテルなどの無料Wi-Fiを利用した中間者攻撃も身近な脅威だ。暗証番号が電話番号などの単純な設定になっているWi-Fi環境では、悪意のある第三者が隣の部屋から通信を傍受し、利用者がアクセスしているインターネットバンキングのURLや入力したパスワードを盗み見ることが可能だ。攻撃者は発覚を遅らせるため、一度に多額の送金を行うのではなく、数千円程度の少額送金や少額決済を日々繰り返すという手口を使っており、被害者が長期間気付かないケースも散見される。

IoT機器と社会インフラへのサイバー攻撃

　英国政府の調査では、中国製のEV（電気自動車）バスに対するハッキング実験において、外部からネットワーク経由で車両を乗っ取り、アクセルやブレーキを操作できる可能性が実証された。

　さらに深刻なのが、太陽光発電のソーラーパネルやパワーコンディショナー（インバーター）への攻撃だ。これらも外部から不正にコントロールされるリスクがあり、真冬の電力需要がピークに達するタイミングで意図的に発電を停止させられる危険性が指摘されている。これを受け、英国では2027年度以降、太陽光発電設備などに対して厳格なサイバーセキュリティ対策を施すことを義務付け、要件を満たさない機器の電力網への接続を禁止する方針を打ち出している。

業務委託先からの攻撃侵入トレンドとサプライチェーンの死角

　こうした最新トレンドの一方で、業務委託先やサプライチェーンに存在する脆弱（ぜいじゃく）性を悪用する手口も依然として続いている。

　2025年10月には、SNS大手Discordの委託先業者が運営するカスタマーサポートシステムがランサムウェア攻撃を受け、サポートに連絡したことがあるユーザーの運転免許証やパスポートなどのID画像が流出した。対象ユーザーは約7万人にのぼる。すでに退会したユーザーの過去履歴などが適切に破棄せず保持していたことも問題視された。

　これに類したサプライチェーン攻撃は日本でも金融機関や自治体などの業務委託先を狙って相次いでおり、大量の個人情報が漏えいするケースが後を絶たない。だからといって、システム開発や運用、コールセンター業務などの外部委託を止めるわけにもいかない。少なくとも業務委託先のセキュリティ体制を委託元が確認できるようにしなければならないが、大野氏によれば「不完全な場合が多い」という。

　例えば契約書に「契約終了後はデータを速やかに削除・破棄すること」と定めたとしても、実際に削除が行われたかどうかを「委託元が検証しているケースは少ない」（大野氏）。これが本来存在してはいけないデータが残存し、サイバー攻撃によって不正利用される可能性につながっているという。削除手続きのチェックは契約時に失念しがちな部分だが、委託契約書に明記し、継続契約の場合は定期的に訪問監査を実施するような対策が必要だ。

　また攻撃者は委託先などのシステム侵入の前段階で、巧妙なソーシャルエンジニアリングの手法を使って情報を収集している。例えば、組織のキーパーソンを各種公開情報から特定し、SNSを通じて魅力的な異性をかたり「あなたの研究内容に興味がある」などと接近して関係を深める。そして、ターゲットから自社のネットワーク構成図やシステムの仕様書などを騙し取り、脆弱なポイントを探り出す。

　あるいは、担当者の個人的なSNSアカウントから趣味や家族構成、ペットの名前、記念日などを徹底的にモニタリングし、そこから得られたキーワードを組み合わせて、システムの特権IDやパスワードを類推し突破する手口も横行しているという。特にサイバー攻撃者が必要としているのは特権IDとパスワードであり、その情報が得られれば容易にシステム深部に侵入できてしまう。

　単に類推するだけでなく、例えばメモリからの認証情報抜き取りやインフォスティーラー（情報窃取目的のマルウェア）を使った自動収集、設定ファイルからの情報探索、リモートアクセス機器の脆弱性の悪用、ダークウェブでの関連情報購入といった手段も使われており、特権IDとパスワードはあの手この手で盗み出すに値する重要情報といえる。実際にこうした手法で数百億円規模の暗号資産が流出する事件も起きており、喫緊で対策すべき課題となっている。

国家レベルのサイバー攻撃と経済安全保障

　サイバー攻撃対策について、避けて通れないのが「地政学的リスク」とそれに伴う「経済安全保障」の観点だ。サイバー攻撃の背後には、国家の支援を受けた攻撃グループが存在することが多い。特定の国家は、他国の優れた先端技術や機密情報を盗み出すため、国際的な産業スパイ活動を活発化させている。警察の公安部門が強く警戒しているのが、大学などの研究機関を通じた情報流出だ。企業が大学の教授らと共同で基礎研究や新規ビジネスの検証を行う際、教授本人のセキュリティ意識が高くても、その周囲にいる関係者や留学生などを経由して、研究データや知的財産が特定の国や地域へ流出してしまうリスクがある。これはまさに経済安全保障の核心に関わる問題であり、企業は共同研究先や委託先をサイバー攻撃の「入り口」として厳しく点検しなければならない時代に突入している。

　G7では業務委託先などサードパーティーのリスクマネジメントについて、6つの基礎的要素を公表しており、日本の金融庁もこれに準じた対策を指向している。「ガバナンス」「リスクマネジメント」「インシデント対応」「コンティンジェンシープラン」（緊急時対応計画）、「潜在的なシステミックリスクのモニタリング」「セクターを跨る協調」がその基本要素だ。

　日本政府（内閣サイバーセキュリティセンター、経済産業省、総務省など）も、経済安全保障関連法に基づき、企業に対するセキュリティ警告を強化している。具体的には以下の4つのポイントが挙げられている。

1. 部品等の調達先がサイバー攻撃を受けた場合のリスクに備えること
2. 業務委託先からの情報漏えいリスクに警戒すること
3. クラウド基盤を安易に利用せず、適切なセキュリティ設定と監視を実施すること
4. 製品に（特定国製の）不正なチップやバックドアが組み込まれている可能性に留意すること

　特に、近年急速に業務への導入が進んでいる「生成AI」については、深い注意が必要だ。AIシステムの中に特定の国や地域の技術がブラックボックスとして組み込まれていた場合、業務プロセスの効率化と引き換えに、入力した機密データが外部に送信されたり、監視用セキュリティシステム（EDRなど）が誤検知を起こしたりするリスクがある。新技術を導入する際は、その基盤技術の出どころやデータフローを徹底的に検証することが不可欠だ。

組織セキュリティの在り方と多角的なサードパーティー管理体制

　これら複雑化する脅威に対抗するため、企業は組織のセキュリティガバナンスを根本から見直し、サードパーティーを包含した多角的な管理体制を構築しなければならない。

ゼロトラストとパスワード管理

　ゼロトラストアーキテクチャの導入により、社内外のネットワーク境界を区別せず、全ての通信とアクセスを常に検証する仕組みづくりは有効な対策となる。 また、パスワード運用の見直しも必要だ。

　パスワード運用に関して米国国立標準技術研究所（National Institute of Standards and Technology／NIST）は2025年秋に、企業におけるパスワードの設定ポリシーを見直して公表している。

　ポイントはパスワードの複雑性ルールにある。数値とアルファベット大文字・小文字の混在、記号などの組み合わせの強制を不可とし、定期的なパスワード変更は禁止（侵害が確認されたときのみ変更を強制）、パスワードの長さを単一要素認証では最低15文字以上、多要素認証では8文字以上へと見直した。

　これは、従来のルールではユーザーが覚えやすさを優先し、類推しやすいパスワードを設定してしまうといった現実的なリスクを考慮した変更だ。単一要素認証において最低15文字以上という要件をユーザーに強いるのは難しいが、認証システムによって管理すればいくらでも桁数の多い複雑なパスワードが生成できる。もちろん多要素認証を実装すれば8文字以上のパスワードでも安全な運用が期待できる。こうした認証の運用を再考することが、特権IDとパスワードの流出への有効な対策になる。今後は、システムによって自動生成された長大でランダムなパスフレーズを利用するか、多要素認証（MFA）やパスワードレス認証への移行を急ぐべきだ。

業務委託先やクラウドベンダーの選定・管理のポイント

　さらに大野氏は、業務委託先やクラウドベンダーの選定・管理には、単にサイバーセキュリティの観点だけでなく、ビジネスを継続するための多角的な視点が求められるとした。G7をはじめとする国際社会では、以下の「6つの視点」で委託先のリスクを検証することが推奨されている。

1. 財務リスク：委託先が倒産・経営破綻した場合、自社の業務を代替できる手段（エグジットプラン）はあるか
2. オペレーショナルリスク：委託先が重大な事務ミスやオペレーション過誤を起こした場合の対応策が予見されているか
3. 地政学的リスク：委託先が特定の警戒指定国と取引関係にないか。カントリーリスクが顕在化した際の影響を評価しているか
4. 災害リスク：委託先の拠点やデータセンターが自然災害に巻き込まれ、インフラが長期間停止する事態を想定したBCPが組まれているか
5. 過度な集中：特定の委託先や特定のクラウドベンダーにロックインされていないか
6. サイバーセキュリティリスク：委託先自身が最新のサイバー攻撃に耐えうる堅牢なシステムと体制を維持しているか

　こうしたポイントを考慮してセキュリティ体制を再構築するには「金融庁のサイバーセキュリティガイドラインが大いに参考になる」と大野氏は言う。ここにはサードパーティー管理の要件が事細かに規定されている。委託先管理の点検ポイントとして、「委託先の選定」「契約要件」「リスク管理」「モニタリング」といった監督指針が盛り込まれている。

　特に強調されたのが「データの取り扱い・破棄手続きの明文化」「セキュリティインシデント発生時の報告義務」「継続的なモニタリング」だ。これらの仕組みを社内プロセスとして定着させるように体制を点検し、見直すことが急務となる。

　サイバー攻撃が高度化し、自組織だけの対策で安全を確保できなくなった現在、組織は業務委託先（再委託先も含む）やクラウドベンダー、共同研究先を含めたサプライチェーン全体を俯瞰し、地政学的リスクまでも視野に入れた多角的なサードパーティーリスク管理体制を構築しなければならなくなった。自組織だけでなく広い関係先を管理・監視できる新たな体制再構築がいまこそ必要とされている。