ご相談・お問い合わせ
1 分で読むことができます

シャドーAIと最新サイバー攻撃の実態

執筆者 Sophy 更新日時 2026年7月06日

ごきげんよう、Sophyです。

最近、生成AIがないと日本語すらおぼつかなくなってきました。
「あれ、この日本語の表現って問題ないかな?」なんてちょっとしたことにもすぐAIに手が出てしまう、一種の依存かと思って恐怖を覚えます。

この記事では、そんなAI利用に関する脅威と最新のサイバー攻撃の動向について調べていきたいと思います。

 

はじめに


「うちの会社は小さいから、サイバー攻撃なんて関係ない」——そう思っていませんか?

実は今、企業規模に関係なく深刻な被害が広がっています。しかも最近は、外部からの攻撃だけでなく、社員が良かれと思って使ったAIツールが情報漏洩の原因になるケースが急増中。

こうした「シャドーAI」と呼ばれるリスクは、IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威 2026」で初登場にして3位にランクインしました。

 

シャドーAIって何?

シャドーAIとは、会社のIT部門等が把握・許可していないAIツールを、従業員が無断で業務利用してしまうことを指します。

たとえば、こんな場面に心当たりはないでしょうか。

- 議事録の要約を、個人アカウントのChatGPTに貼り付けて処理した
- お客様への提案書を、無料のAIライティングツールで作成した
- 翻訳が必要な社内文書を、よく知らないAIサービスにアップロードした

「便利だから」「業務が早く終わるから」と、悪気なく使っているケースがほとんどです。
しかしこれらの行為によって、入力した情報がAIの学習データに使われたり、サービス提供元から外部に漏れるリスクが発生します。

IBMの2025年の調査によると、シャドーAIの利用に関連して情報漏洩が起きた場合、通常のインシデントと比較して、追加コストが約67万米ドルにのぼるとされています。
また、ガートナージャパンの2026年6月の調査では、国内企業の7割超がシャドーAIへの有効な対策を取れていないと回答しました。

2026年4月には、米国のIT企業で従業員が個人で利用していたAIツールを経由して社内システムに侵入される事件が発生し、シャドーAIが実際の攻撃の入り口になった深刻な事例として注目を集めました。

 

知っておきたい最新サイバー攻撃の動向

シャドーAIだけでなく、サイバー攻撃そのものも年々巧妙化しています。2026年に押さえておくべきポイントを整理していきましょう。

IPAの「情報セキュリティ10大脅威 2026」組織向けトップ3は次のとおりです。

1位 ランサムウェア(身代金要求型ウイルス)による被害 ※5年連続首位
2位 サプライチェーンや委託先を狙った攻撃 
3位 AIの利用をめぐるサイバーリスク ※初選出

特に注意すべきトレンドは以下の3つです。

1.ランサムウェアの被害が止まらない
パソコンやサーバーのデータを暗号化して「元に戻してほしければお金を払え」と脅す攻撃です。
最近では会社の基幹システムそのものを狙い、業務を完全にストップさせる手口が増えています。

2. AIを悪用した攻撃の高度化
攻撃者がAIを使って、本物そっくりの偽メールや偽サイトを大量に作るケースが急増しています。CrowdStrike社の調査では、犯罪者向けフォーラムでのAI活用の言及が前年比550%も増加しました。従来の「日本語が不自然だから怪しい」という見分け方が通用しなくなりつつあります。

3.中小企業が「踏み台」にされるリスク
大企業を直接攻撃するのではなく、セキュリティが手薄な取引先の中小企業を経由して侵入する「サプライチェーン攻撃」が増えています。自社だけでなく、取引先にまで被害が及ぶ可能性があるため、会社の規模に関わらず対策することが必要です。

 

今日から始められる対策

「対策が必要なことは分かったけれど、何から手を付ければ?」という方のために、すぐにでも始められる対策をまとめていきます。

対策1:社内のAI利用状況を把握する
「誰が」「どんなAIツールを」「どんな目的で使っているのか」を確認しましょう。アンケートやヒアリングで十分です。AIを使うこと自体を禁止するのではなく、まずは、実態を把握することが第一歩です

対策2:AIの利用ルールを作る
業務で使用する際のルールを明確にしましょう。最初は「顧客名を入力しない」など、シンプルなもので問題ありません。徐々に対策項目を増やすなど強化していきましょう。また、使用するAIツールを統一することも対策の一つとなります。

対策3:OSやソフトの更新を徹底する
WindowsやMacの更新プログラム、業務ソフトのアップデートを徹底し、最新の状態を保ちましょう。 攻撃者は「修正プログラムが出ているのに適用していない弱点」を狙います。まずは、自動更新の設定を確認することから始めるのをおすすめします。

対策4:社員向けのセキュリティ教育を行う
セキュリティ対策への意識づけが重要です。特にAIへの情報入力リスクや、偽メールの見分け方は全社員に共有しておきたい内容です。また、単発ではなく、定期的な実施をおすすめします。IPAが無料で公開している教材や動画を活用すれば、コストをかけずに始めることも可能です。

 


最後に

日常生活に浸透している生成AI、何気なく使うことも多いですが、入力する情報には気を付けなければいけないですね。特に、個人が特定されるような情報や外部に流出してはいけない情報の入力は避けましょう!一人一人の意識が、セキュリティ対策に大きな影響を与えると感じます。

出典・参考情報:
・IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2026」

・経済産業省「中小企業のための実例で学ぶサイバーセキュリティリスク事例集」(2026年3月公表)
・ガートナージャパン「シャドーAI対策に関する国内企業調査」
・IBM「2025年データ侵害コストレポート」
・CrowdStrike「2026 Global Threat Report」
・警視庁「シャドーAIに関する注意喚起」(2026年5月)
・トレンドマイクロ「2025年の国内セキュリティインシデントを振り返る」
・キヤノンITソリューションズ / ESET「シャドーAIは最大のセキュリティの盲点になり得る」

Sophy

執筆者 Sophy

経理事務職・営業職を経て、2022年7月1日からINSIGHT LABに入社。現在は、DX推進グループに所属し、デジタルの力で新潟の活性化を目指します!

 

こちらの記事もおすすめです

3 分で読むことができます。

ワールドカップを支えるテクノロジーとは?IMUとVAR技術について

3 分で読むことができます。

【ご紹介】やる気と作業興奮の関係について