情報セキュリティ10大脅威 2026年版が発表 — 個人がやるべきAI関連の対策

結論から先に

独立行政法人情報処理推進機構（IPA）は2026年5月21日、「情報セキュリティ10大脅威 2026[個人編]」ハンドブックと対策マッピングシートを公開しました。今年の大きな特徴は、「AIの利用をめぐるサイバーリスク」が個人編で初登場ながら3位にランクインしたこと、そしてフィッシング・偽メール・サポート詐欺など従来からのトップ常連の脅威が、AI技術により巧妙化していることです。

家庭・個人での即時実行対策は3つです。第一に、利用中のすべてのサービス（メール・SNS・銀行・証券・通販）で2段階認証をオンにすること。SMS認証よりも認証アプリ（Google Authenticator・Microsoft Authenticator）の方が安全度が高いです。第二に、パスワード管理アプリの導入。Bitwarden（無料）・1Password（月370円）・Dashlane等が代表的で、すべてのサービスで異なる強固なパスワード（16文字以上）を使えるようになります。第三に、家族間でのルール共有。「家族からの送金依頼は必ず折り返し電話で確認」「URL付きSMS・メールはクリックしない」「不審な連絡は警察相談ダイヤル#9110」、この3つを家族会議で共有することです。

AI悪用詐欺の具体例として、（1）家族・知人の声を生成AIでコピーした「振り込め詐欺」、（2）SNSの著名人画像をAIで生成した投資詐欺、（3）AIで個別最適化されたフィッシングメール（個人の興味・属性を反映した内容）、（4）AIチャットボットを使った遠隔操作型サポート詐欺、などが報告されています。

警察庁の統計では、特殊詐欺の被害額は2025年に過去最高水準となっており、AIを使った巧妙な手口が今後さらに増えると予想されています。

どんな場合に当てはまるか

今回のIPAランキング（個人編）の主な脅威は、（1）インターネット上のサービスからの個人情報の窃取、（2）ネット上の誹謗・中傷・デマ、（3）AIの利用をめぐるサイバーリスク（新規・初登場3位）、（4）フィッシングによる個人情報等の窃取、（5）スマホ決済の不正利用、（6）ネット上のサービスへの不正ログイン、（7）クレジットカード情報の不正利用、（8）偽警告によるインターネット詐欺、（9）メールやSMSなどを使った脅迫・詐欺の手口による金銭要求、（10）ワンクリック請求等の不当請求による金銭被害、というラインナップです。

AIの利用をめぐるサイバーリスクが初登場3位という事実が示すのは、生成AIの民主化が一般家庭にも詐欺リスクを波及させた現実です。これまでプロの詐欺師しか作れなかった「精巧な偽メール」「自然な日本語の偽サイト」「家族の声色を真似た電話」が、誰でも数十分で作れる時代になりました。被害者は普通の家庭の高齢者・主婦・学生で、もはや「自分は引っかからない」と油断できる時代ではありません。

フィッシング被害の典型シーンは、（1）銀行・カード会社・ヤマト・佐川・郵便局・Amazon・楽天を装ったSMSやメールでURLクリックを誘導、（2）「アカウントが停止された」「不正利用検知」など緊急性を煽る文言、（3）公式そっくりの偽サイトでログイン情報を入力させる、（4）入手したID/パスワードで本物のサービスにアクセスして金銭被害、というパターンです。

スマホ決済の不正利用も増加しており、（1）SMS認証コードを詐欺師に教えてしまう、（2）PayPay・楽天ペイなどのアカウントが乗っ取られる、（3）紐付くクレジットカードや銀行口座から数十万円が引き出される、というケースが多発しています。

サポート詐欺は、Webサイト閲覧中に突然「ウイルス感染しました」と警告画面が表示され、表示された電話番号に電話するとサポート詐欺師に繋がる手口です。被害額は1件で10〜30万円、高齢者では100万円超のケースもあります。

例外状況

企業向け脅威（10大脅威 組織編）と個人編は別ランキングです。組織編ではランサムウェア攻撃が4年連続1位、サプライチェーン攻撃が2位、AIサイバーリスクが3位（初登場）です。企業勤務の個人でも、職場での情報セキュリティ意識は個人生活に直結するため、両方を把握しておく価値があります。

子どもや高齢者のサポートで困るパターンとして、（1）スマホに不慣れな高齢者へのなりすまし電話、（2）若年層のSNSフィッシング（マッチングアプリ・ゲーム招待を装う）、（3）小学生のオンラインゲームでの個人情報漏洩、などがあります。世代に応じた説明とルール作りが必要です。

セキュリティソフトのライセンス更新時期に、偽のセキュリティソフト広告（「あなたのPC・スマホは危険です」）が出る場合があります。公式サイト経由でのみ更新・購入し、リンククリックでの購入は避けるべきです。

ブラウザのパスワード自動保存機能は便利ですが、PC・スマホ紛失時のリスクがあります。デバイス暗号化（Windows BitLocker・iOS デバイス暗号化）と画面ロック必須化を組み合わせれば、リスクを大幅に下げられます。

クラウドサービス（Google Drive・iCloud・OneDrive・Dropbox）でファイル共有する場合、リンクの公開範囲設定をミスすると個人情報・写真が誰でもアクセス可能になる事故があります。共有設定は「特定の人のみ」「期限付き」を選ぶのが基本です。

費用・リスク・注意点

セキュリティ対策の費用感は、（1）パスワード管理アプリ無料〜月370円程度（Bitwarden無料、1Password月370円）、（2）2段階認証アプリ完全無料（Google・Microsoft Authenticator）、（3）市販セキュリティソフト年4,000〜8,000円（ノートン・カスペルスキー・ウイルスバスター・ESET）、（4）VPN月500〜1,500円（必要に応じて）、合計で月1,000〜2,000円程度の投資が標準的です。

被害金額の目安として、フィッシング被害は1件あたり数万〜数十万円、AI音声詐欺は数百万円、サポート詐欺は10〜30万円、クレジットカード不正利用は数万〜数十万円、と幅広いです。クレジットカードはカード会社の補償（60日以内申告で全額補償）がありますが、その他は補償対象外のことが多く、損失は自己負担になります。

時間的損失も無視できません。フィッシング被害でカード再発行・各種パスワード変更・関係先への連絡で20〜40時間、口座凍結・再発行で1〜2週間、口座から引き出された金銭の回収はほぼ不可能、と機会損失も大きいです。

予防に時間と少額を投資する方が、被害発生後の対処より圧倒的に効率的です。具体的には、（1）2段階認証設定に1サービスあたり5分、（2）パスワード管理アプリ導入と既存パスワード変更に2〜4時間、（3）家族との情報共有30分〜1時間、合計で1〜2日の作業で被害リスクを大幅に下げられます。

被害発生時の初動対応として、（1）すぐに該当サービスにログインしてパスワード変更、（2）銀行・カード会社に連絡して停止、（3)警察相談ダイヤル#9110（24時間対応）またはサイバー犯罪相談窓口に連絡、（4）国民生活センター（消費者ホットライン188）にも相談、（5）家族・職場に情報共有して二次被害防止、というステップで動きます。

放置リスクとして、漏洩した個人情報は数年〜永続的にダークウェブで売買される可能性があります。一度漏れた情報は完全には取り戻せないため、メールアドレス・電話番号の使い分け・定期的なパスワード変更が長期的防御策になります。

よくある質問

Q: 知らない番号からの電話・SMSは全部無視すべき？ A: 出ない・返信しないが基本です。重要な連絡なら相手から再度公式ルートで連絡があります。緊急性を煽るメッセージは特に詐欺の可能性が高いと考えてください。

Q: 家族からと思われる連絡は信用していい？ A: 「至急」「振込」「URL」などのキーワードがあったら、必ず別の方法（電話番号を自分の電話帳から呼び出して）で確認します。家族の声色も AI で再現できる時代です。

Q: 仕事用のスマホでも対策必要？ A: 必要です。会社支給のスマホでも個人利用に流用すると、個人と会社の両方のリスクが連動します。職場の情報セキュリティポリシーに従ってください。

Q: 子どものスマホはどう保護すべき？ A: 13歳未満は保護者管理機能（Google ファミリーリンク・スクリーンタイム）を必須化、SNS・ゲーム内の見知らぬ人とのDMを禁止、課金は親の承認制、定期的にスマホ画面を一緒に確認、これが基本です。

Q: VPNサービスは必須ですか？ A: 公共Wi-Fi（カフェ・ホテル・空港）を頻繁に使うなら有用です。家庭・職場のWi-Fiが主なら必須ではありません。月500〜1,500円の追加コストと比較して判断してください。

参考資料

• IPA 情報セキュリティ10大脅威 2026
• 総務省 国民のための情報セキュリティサイト
• 警察庁 サイバー犯罪対策
• 国民生活センター 消費生活相談
• 消費者庁 消費者ホットライン188