「うちみたいな小さい会社は狙われないだろう」——もしそう考えているなら、その認識を改めるタイミングが来ています。
IPA(独立行政法人 情報処理推進機構)が2026年1月に発表した「情報セキュリティ10大脅威 2026」で、「AIの利用をめぐるサイバーリスク」が初登場にして3位にランクインしました。1位のランサム攻撃、2位のサプライチェーン攻撃に次ぐ位置づけです。
情報処理安全確保支援士(登録セキスペ)として日頃からセキュリティ動向を追っている立場から見ても、この順位は妥当だと感じています。AIの進化は攻撃者にとっても「業務効率化ツール」になっており、中小企業を取り巻くリスクは確実に変質しています。
本記事では、AIがサイバー攻撃をどう変えているのか、そして経営者として何をすべきかを整理します。
なぜ今「AI×サイバーリスク」が危険なのか
攻撃者にとってもAIは便利な道具
生成AIの登場以降、サイバー攻撃のハードルは大きく下がりました。かつては高度な技術力を持つ攻撃者にしかできなかったことが、AIの力を借りれば素人でも実行可能になりつつあります。
具体的には、次のような変化が起きています。
- フィッシングメールの文面を、ターゲットの業種や立場に合わせて自然な日本語で大量に生成できる
- 企業の公開情報やSNSを自動で分析し、攻撃の切り口を効率的に洗い出せる
- ソフトウェアの脆弱性を自動でスキャンし、攻撃コードを最適化できる
従来、海外からの攻撃メールは不自然な日本語が多く、それが一つの「見破るヒント」になっていました。しかし生成AIの登場で、その言語の壁はほぼなくなっています。
「うちは小さいから大丈夫」が通用しない理由
ランサムウェアの被害件数は、2023年の5,336件から2025年には8,159件へと約1.5倍に増加しています(NTTデータ 2025年サイバーセキュリティ動向)。国内でも警察庁の統計で年間200件前後が報告されており、2025年度上半期だけで116件に達しました。
注目すべきは、攻撃者が特定の企業を狙い撃ちしているわけではないという点です。セキュリティに綻びがある企業であれば規模を問わず攻撃対象になる——これが2026年現在の実態です。むしろ、専任のIT担当者がいない中小企業ほど、脆弱性が放置されやすく狙われやすいとも言えます。
AIが生み出す3つの攻撃パターン
パターン1:ビジネスメール詐欺(BEC)の高度化
ビジネスメール詐欺(BEC)とは、取引先や自社の経営層になりすましたメールで送金を指示する詐欺です。IPA 10大脅威でも10位にランクインしています。
AIの登場で、BECは次のように進化しています。
- 社長や経理部長の文体・口調を学習し、本人そっくりのメールを生成
- 取引先とのやりとりの流れに自然に割り込むタイミングを分析
- SNSの投稿や取材記事からターゲットの行動パターンを把握
実際に国内では、子会社代表を装った第三者からのフィッシングメールとSNSを組み合わせた手口で、約5,000万円が不正送金された事例が報告されています。
パターン2:ディープフェイクによるなりすまし
音声や映像をAIで合成する「ディープフェイク」技術が、詐欺に悪用されるケースが増えています。
2024年に香港で起きた事件は象徴的です。多国籍企業の支社がビデオ会議に参加したところ、画面に映っていたのはAIで合成されたCFO(最高財務責任者)の映像でした。結果、約38億円が不正送金されています(CNN報道)。
これは大企業の話ですが、技術自体は安価に利用できるようになっており、中小企業の社長の声をわずか数秒のサンプルから複製することも技術的には可能です。電話で「社長」から緊急の送金指示が来る——そんなシナリオは、もはやSFの話ではありません。
パターン3:AIを使った脆弱性の自動探索
攻撃者がAIを使い、インターネットに公開されたシステムの脆弱性を自動的にスキャンする手法も確認されています。
中小企業でよくあるのが、古いバージョンのままのWebサイトのCMS(WordPressなど)、サポート切れのOSやソフトウェア、初期設定のまま放置されたVPN機器やルーター——こうしたものがAIによる自動スキャンで検出され、攻撃の入口になります。
人間が一つずつ調べていた時代とは違い、AIは24時間休みなく、膨大な数のサーバーをチェックできます。「見つからないだろう」という期待は、もう成り立ちません。
経営者として今すぐとるべき3つの対策
対策1:社員のリテラシーを「AI時代仕様」にアップデートする
従来のセキュリティ教育は「不審なメールを開くな」が基本でした。しかしAI生成メールは、件名も本文も自然で、従来の「不審さ」では見抜けません。
アップデートすべきポイントは次の3つです。
- 送金・契約変更の依頼は、メール以外の手段(電話・対面)で必ず確認するルールを徹底する
- 「いつもと少し違う」に気づく感度を養うため、定期的な訓練メールの送付を実施する
- 「自分が騙されるわけがない」という過信こそが最大のリスクであることを繰り返し伝える
対策2:多要素認証(MFA)を導入する
パスワードだけの認証は、もはや十分な防御策ではありません。メールアカウント、クラウドサービス、VPN接続——業務で使うあらゆるサービスに多要素認証を導入してください。
多要素認証とは、パスワードに加えて「スマートフォンへの通知」「ワンタイムパスワード」など、もう一つの要素で本人確認を行う仕組みです。これだけで、アカウント乗っ取りのリスクは大幅に下がります。
Microsoft 365やGoogle Workspaceを利用している企業なら、追加費用なしで設定可能です。「まだやっていない」なら、今日中に設定方針だけでも決めてしまいましょう。
対策3:インシデント対応の「初動」を決めておく
完璧な防御は存在しません。重要なのは、何か起きたときに「最初の30分」で何をするかを決めておくことです。
最低限、次の3点を社内で共有しておいてください。
| 項目 | 内容 |
|---|---|
| 連絡先リスト | 社長・IT担当・顧問(税理士・社労士等)の緊急連絡先 |
| 初動対応 | 感染端末のネットワーク切断 → 被害範囲の確認 → 外部通報 |
| 外部相談先 | 警察サイバー犯罪相談窓口、IPA安心相談窓口(☎03-5978-7509) |
「うちはそこまでの体制は無理」と感じるかもしれません。しかし、連絡先リストをA4一枚にまとめて壁に貼っておくだけでも、いざという時の対応速度はまったく変わります。
まとめ
AIの進化は、ビジネスの効率化だけでなく、サイバー攻撃の効率化にも直結しています。2026年のIPA 10大脅威で「AIの利用をめぐるサイバーリスク」が初登場3位になったのは、この現実を反映した結果です。
経営者として押さえておくべきポイントを整理します。
- AIフィッシングやディープフェイク詐欺は、もう「対岸の火事」ではない
- 企業規模に関係なく、セキュリティの弱い企業が無差別に狙われる時代になっている
- 社員教育・多要素認証・初動対応の3つを整備するだけで、リスクは大幅に軽減できる
まずは多要素認証の導入状況を確認するところから始めてみてください。
セキュリティ対策は「何から手をつければいいかわからない」という声をよくいただきます。情報処理安全確保支援士・中小企業診断士として、御社の現状に合わせた優先順位の整理からサポートいたします。
※本記事の情報は2026年4月時点のものです。IPA「情報セキュリティ10大脅威 2026」の詳細はIPAの公式ページでご確認ください。