1. はじめに
情報セキュリティというと、ウイルス対策ソフト、ファイアウォール、パスワード、暗号化などの「技術的な対策」を思い浮かべがちです。
しかし、実際のセキュリティ事故では、システムそのものの弱点だけでなく、人の判断、操作、確認不足、思い込み、焦り、油断、権限の扱い方 が大きな原因になります。
2026年現在、攻撃者は高度な技術だけでなく、以下のような「人間の心理」も狙います。
- 急がされると確認が甘くなる
- 上司や取引先を名乗られると断りにくい
- 警告画面が出ると慌ててしまう
- 便利なAIツールやクラウドサービスを無断で使ってしまう
- 「自分だけは大丈夫」と思ってしまう
- 小さな違和感を報告せず放置してしまう
重要
つまり、人的なセキュリティ侵害とは、
人の行動・判断・運用ミス・不正・教育不足をきっかけに発生する情報セキュリティ上の事故
のことです。
2. 2026年における人的セキュリティ侵害の特徴
2026年の人的セキュリティ侵害は、昔のような「怪しいメールを開いた」だけでは説明できません。現在は、メール、SMS、電話、SNS、チャット、QRコード、クラウド共有、生成AI、スマートフォン、リモートワーク環境など、さまざまな経路から人が狙われます。
特に重要な変化は次の5つです。
① 攻撃が本物に見える
生成AIにより、自然な日本語の文章、実在企業のような案内文、取引先風のメール、上司風のチャットが簡単に作られるようになりました。以前のように「日本語がおかしいから偽物」と判断する方法は、2026年では通用しにくくなっています。
② メール以外からも攻撃される
フィッシングはメールだけではありません。SMS、電話、SNSのDM、チャットツール、QRコード、偽のログイン画面、偽のクラウド共有リンク、偽のWeb会議招待など、利用者が日常的に使う手段がそのまま攻撃経路になります。
③ AIの無断利用が情報漏えにつながる
便利だからといって、社内資料、顧客情報、試験情報、個人情報、契約書、ソースコード、未公開資料などを生成AIに入力すると、情報管理上の問題になります。これを シャドーAI と呼ぶことがあります。会社が許可していないAIサービスを、社員やスタッフが個人判断で使ってしまう状態です。
④ 内部不正と内部ミスの境界が問題になる
情報漏えいには、悪意を持って持ち出すケースだけでなく、「悪気はなかったが、結果として漏えいした」というケースもあります。たとえば、退職前に資料を個人メールへ送る、業務データを私物USBに保存する、共有リンクを全員公開にしてしまう、などです。
⑤ 報告の遅れが被害を拡大させる
危険
セキュリティ事故で最も危険なのは、ミスそのものよりも、隠すこと・放置すること・報告が遅れること です。早く報告すれば止められた被害も、数時間から数日放置されることで、アカウント乗っ取り、情報流出、ランサムウェア感染、取引先への被害拡大につながります。
3. 人的なセキュリティ侵害の代表例
1. フィッシング
銀行、クレジットカード会社、配送業者、ECサイト、クラウドサービス、社内システムなどを装って、ID・パスワード・認証コード・個人情報を盗み取る手口です。
- 典型例: 「アカウントが停止されます」「本人確認が必要です」「荷物の配送に失敗しました」「請求内容をご確認ください」「パスワードを再設定してください」
- 注意点: 2026年では、文章の自然さだけで本物かどうかを判断してはいけません。送信元、リンク先、ログイン画面、依頼内容、緊急性の演出を総合的に確認する必要があります。
2. ビジネスメール詐欺
取引先、経営者、上司、経理担当者などになりすまし、送金先変更や急な支払いを指示する詐欺です。
- 典型例: 「振込先口座が変わりました」「本日中に支払いをお願いします」「社長案件なので至急対応してください」「この件は他の社員に共有しないでください」
- 危険なポイント: 技術ではなく、業務フローの隙を突いてきます。経理・管理部門・現場責任者は特に注意が必要です。
3. 認証情報の使い回し
同じID・パスワードを複数サービスで使い回していると、1つのサービスから漏えいした情報を使って、別のサービスにも不正ログインされる可能性があります。
- 対策: パスワードの使い回し禁止、パスワード管理ツールの活用、多要素認証の導入、重要サービスではパスキーや認証アプリを検討、退職者・異動者のアカウント停止を徹底。
4. 多要素認証疲れ・認証コード詐取
多要素認証を設定していても、攻撃者が何度も認証通知を送って、利用者に誤って承認させる手口があります。また、電話やチャットで「本人確認のため、今届いた6桁のコードを教えてください」と誘導されるケースもあります。
原則
認証コードは、パスワードと同じく秘密情報です。他人に伝えてはいけません。
社内担当者、サポート窓口、銀行、警察、取引先を名乗られても伝えてはいけません。
5. 生成AIへの情報入力
生成AIは便利ですが、入力してよい情報と、入力してはいけない情報を分ける必要があります。
| 入力してはいけない例 | 使ってよい例 |
|---|---|
| 個人情報顧客情報未公開の契約内容試験問題・試験運営情報社内の認証情報ソースコード議事録の原文社外秘資料取引先から預かった資料 | 一般的な文章のたたき台公開情報の要約個人情報を含まない説明文社内ルールに沿って匿名化した文章公開前提のWeb文章の校正 |
重要な考え方
AIに入力する前に、「この内容を社外の人に見せても問題ないか」と考えることが重要です。
6. 誤送信・誤共有
人的ミスによる代表的な情報漏えいです。
- 典型例: メールの宛先を間違える、CCとBCCを間違える、添付ファイルを間違える、クラウド共有リンクを「全員公開」にする、閲覧権限ではなく編集権限を付けてしまう、退職者や外部協力者に共有権限が残る。
- 対策(送信前の4点確認): 宛先は正しいか、添付ファイルは正しいか、共有範囲は必要最小限か、個人情報・機密情報が含まれていないか。
7. 私物端末・私物アカウントの利用
業務データを私物PC、私物スマホ、個人Gmail、個人クラウド、私物USBなどに保存すると、会社の管理が届かなくなります。
危険な例
業務ファイルを個人メールに送る、自宅PCに顧客情報を保存する、私物USBでデータを持ち運ぶ、個人Google DriveやDropboxに業務資料を置く、私物スマホで顧客情報を撮影する。
原則
業務データは、会社が許可した端末・アカウント・保存場所で扱います。
8. 内部不正
内部不正とは、社員、元社員、委託先、アルバイト、外部協力者など、正当なアクセス権を持つ人が、その権限を悪用して情報を持ち出したり、不正利用したりすることです。
- 典型例: 顧客名簿の持ち出し、営業情報のコピー、退職前の資料保存、管理者権限の不正利用、ログの削除、外部への情報提供、不必要なデータ閲覧。
- 対策: 最小権限の原則、操作ログの取得、退職時のアカウント停止、USBや外部ストレージの制限、管理者権限の分離、定期的な権限棚卸し。
9. 物理的な人的侵害
ITセキュリティは、画面の中だけの話ではありません。紙、机、受付、試験会場、教室、共有スペース、ロッカー、スマートフォン画面なども対象です。
- 典型例: 机の上に個人情報の書類を放置する、画面をロックせず離席する、ログイン済み端末を他人が使える状態にする、メモ用紙や印刷物を回収しない、来訪者が執務スペースに入る、会話内容を周囲に聞かれる、監視カメラやスマホに画面が映り込む。
- 基本動作: 離席時は画面ロック、紙資料は放置しない、不要な印刷はしない、機密情報は声に出さない、来訪者・外部者の動線を管理する、廃棄時はシュレッダーまたは安全な廃棄方法を使う。
10. 報告しないことによる被害拡大
セキュリティ事故では、「怒られたくない」「自分のせいにされたくない」「大ごとにしたくない」「たぶん大丈夫だと思いたい」「忙しいので後回しにしたい」という心理が働きます。しかし、報告が遅れるほど被害は拡大します。
| 報告すべき例 |
|---|
| 怪しいリンクを開いたID・パスワードを入力してしまった認証コードを伝えてしまった添付ファイルを開いた後にPCの動きがおかしいメールを誤送信したUSBや書類を紛失した個人情報を含む資料を外部に送った可能性がある見覚えのないログイン通知が来た取引先から不審なメールを受け取った |
重要
報告は責任追及のためではなく、被害を止めるために行います。早い報告は、会社・顧客・取引先・本人を守る行動です。
4. 攻撃者が使う心理テクニック
人的なセキュリティ侵害では、攻撃者は人間の心理を利用します。
緊急性
「本日中」「今すぐ」「アカウント停止」「支払期限」などで焦らせます。
権威性
「社長」「上司」「警察」「銀行」「システム管理者」「取引先」を名乗ります。
希少性
「限定」「今だけ」「残りわずか」などで冷静な判断を奪います。
恐怖
「不正利用されています」「ウイルスに感染しました」「法的措置」などで不安にさせます。
親切心
「困っているので助けてほしい」「急ぎで確認してほしい」と協力させます。
慣れ
普段使っているサービスや取引先名を使い、疑いにくくします。
5. ケーススタディ
ケース1:配送業者を装ったSMS
状況:スマートフォンに「荷物をお届けできませんでした。再配達はこちら」というSMSが届いた。リンクを開くと、配送業者に似た画面が表示され、氏名、住所、電話番号、クレジットカード番号の入力を求められた。
考えるポイント
- SMSのリンクをそのまま開いてよいか
- 本物の配送業者サイトから確認できないか
- クレジットカード番号の入力が必要な場面か
- 急がされていないか
ケース2:上司を名乗る急な送金依頼
状況:経理担当者に、社長名義のメールで「急ぎでこの口座に振り込んでください。先方との関係があるので他の社員には共有しないでください」と連絡が来た。
考えるポイント
- 通常の支払フローを外れていないか
- 口座変更や急な送金依頼は別経路で確認したか
- 「共有しないで」という指示自体が不自然ではないか
- メールだけで判断していないか
ケース3:生成AIに議事録を貼り付けた
状況:会議の議事録を要約するため、社員が個人契約の生成AIサービスに議事録全文を貼り付けた。議事録には、顧客名、契約金額、未公開の計画が含まれていた。
考えるポイント
- AIに入力してよい情報か
- 社内で許可されたAIサービスか
- 匿名化・要約前処理をしているか
- 顧客や取引先との契約に違反しないか
ケース4:退職前の資料持ち出し
状況:退職予定者が「自分が作った資料だから問題ない」と考え、業務資料を個人クラウドへ保存した。
考えるポイント
- 作成者と所有者は同じか
- 業務で作成した資料は会社の情報資産ではないか
- 個人クラウドへの保存は許可されているか
- 退職時の権限停止・データ返却は行われているか
6. 個人が守るべき基本行動
- 怪しいリンクは開かない
- ID・パスワード・認証コードを他人に教えない
- 同じパスワードを使い回さない
- 多要素認証を設定する
- 重要な依頼は別経路で確認する
- 業務データを私物端末・私物アカウントに保存しない
- AIに機密情報・個人情報を入力しない
- メール送信前に宛先・添付・共有範囲を確認する
- 離席時は画面ロックする
- 違和感があればすぐ報告する
7. 組織が整備すべき対策
技術対策
- 多要素認証の導入
- パスキーや認証アプリの活用
- メールセキュリティ対策
- EDR・アンチウイルス
- ログ監視
- 権限管理
- USB・外部ストレージ制御
- クラウド共有設定の管理
- 退職者アカウントの即時停止
- バックアップ
運用対策
- 情報セキュリティルールの明文化
- AI利用ルールの整備
- 誤送信時の報告フロー
- フィッシング訓練
- 新入社員・アルバイト・委託先向け教育
- 権限棚卸し
- 退職時チェックリスト
- 委託先管理
- インシデント対応手順の整備
文化対策
- 報告者を責めない
- 小さな違和感を歓迎する
- 「確認する人」を評価する
- 現場が相談しやすい空気を作る
- ルールを守れない構造を放置しない
- セキュリティを根性論にしない
8. やってはいけないセキュリティ教育
- 犯人探しを前面に出す
ミスをした人を責めすぎると、次から報告されなくなります。結果として、事故の発見が遅れます。 - 「気をつけましょう」で終わる
注意喚起だけでは再発防止になりません。確認手順、報告先、禁止事項、判断基準を明確にする必要があります。 - 難しい専門用語だけで説明する
現場の人が理解できなければ意味がありません。「何をしてはいけないのか」「何をすればよいのか」を具体的に伝える必要があります。 - IT部門だけの問題にする
人的セキュリティ侵害は、経営、総務、経理、営業、受付、現場スタッフ、アルバイト、委託先すべてに関係します。 - AI利用を禁止するだけで終わる
AIを全面禁止しても、現場で隠れて使われる可能性があります。禁止だけでなく、使ってよい範囲、使ってはいけない情報、承認されたツールを明確にする必要があります。
9. 2026年版 重点チェックリスト
個人向け
- パスワードを使い回していない
- 多要素認証を設定している
- 認証コードを他人に伝えない
- 怪しいリンクを開かない
- 送信前に宛先と添付を確認している
- AIに機密情報を入力しない
- 私物端末に業務データを保存しない
- 離席時に画面ロックしている
- 紛失・誤送信・不審操作をすぐ報告できる
- 相談先を知っている
管理者向け
- 退職者アカウントを即時停止している
- 共有リンクの公開範囲を定期確認している
- 管理者権限を必要最小限にしている
- 操作ログを確認できる
- AI利用ルールを整備している
- 委託先のアクセス権限を管理している
- フィッシング訓練を行っている
- バックアップから復旧できる
- インシデント対応手順がある
- 報告しやすい組織文化がある
10. まとめ
人的なセキュリティ侵害は、単なる「人のミス」ではありません。攻撃者は、人の心理、業務の忙しさ、確認フローの弱さ、権限管理の甘さ、教育不足、報告しにくい雰囲気を狙っています。
2026年のセキュリティでは、次の考え方が重要です。
- 人は必ずミスをする
- 攻撃者は人間の心理を狙う
- AIにより偽物はさらに本物らしくなる
- メールだけでなくSMS・電話・チャット・QRコードも危険
- 便利なツールの無断利用が情報漏えいになる
- 内部不正と内部ミスの両方に備える
- 事故は早く報告するほど被害を小さくできる
- セキュリティはIT部門だけでなく全員の仕事である
「少しでも違和感があれば、自分だけで判断せず、すぐ確認・報告する」
この行動が、会社、顧客、取引先、そして自分自身を守ります。
出典メモ
- IPA「情報セキュリティ10大脅威 2026」は、2026年1月29日公開・2026年5月21日最終更新で、2025年に発生した社会的影響の大きい事故や攻撃をもとに選定されています。組織向けではランサム攻撃、サプライチェーン、AI利用リスク、脆弱性悪用、内部不正、ビジネスメール詐欺などが挙げられています。
- Verizon DBIR 2026は、2024年11月1日から2025年10月31日までのインシデントを対象にしており、人的要素、ソーシャルエンジニアリング、フィッシング、盗まれた認証情報、脆弱性悪用、ランサムウェアを主要論点として扱っています。
- ENISAは、ソーシャルエンジニアリングを「人間のエラーや行動を悪用して情報やサービスへのアクセスを得る活動」と説明し、フィッシング、スミッシング、ビッシング、なりすまし等を含めています。
- フィッシング対策協議会は、月次で国内のフィッシング報告件数・URL件数・悪用ブランド数を公表しており、2026年3月は報告件数122,381件、2026年2月は57,096件と月ごとの差も大きい状況です。
- CISAは、認証情報の悪用対策として多要素認証、とくにフィッシング耐性のあるMFAを重要な対策として位置づけています。