JSSECが『スマートフォン利用シーンに潜む脅威 TOP10 2026』を公開 – 最新のセキュリティリスクと対策を徹底解説

脅威選定のプロセス
注目の脅威TOP3とその詳細
利用者とサービス提供者に求められる対策

脅威選定のプロセス

「スマートフォン利用シーンに潜む脅威 TOP10 2026」の選定にあたっては、まず選定委員が24項目の脅威候補を作成しました。その後、利用部会でのワークショップを通じてJSSEC会員企業との意見交換を実施。この結果を踏まえ、利用者にとって分かりやすい「利用シーン」の観点から13項目に整理し、再度ワークショップで議論が行われました。最終的には参加者による投票に加え、2026年2月27・28日に開催されたサイバーセキュリティシンポジウム道後2026のJSSECブースでの投票結果も総合して選定されました。

注目の脅威TOP3とその詳細

投票結果と最近の動向を踏まえ、特に注目すべき脅威として以下の3つが挙げられています。

第1位：生成AIによるフェイク動画・音声

最も注目された脅威は、「生成AIによるフェイク動画・音声」でした。近年、本人の声や顔に似せた動画・音声を短時間で作成できるようになり、だましの説得力が飛躍的に向上しています。これにより、ロマンス詐欺、投資詐欺、SNSを使った勧誘型詐欺（リクルーティング詐欺）だけでなく、家族や勤務先になりすまして緊急送金を促したり、本人確認（KYC）を突破しようとしたりするなど、複数の脅威が同時に高度化している点が重要です。今後は、通話、ビデオ通話、音声メッセージといった身近な連絡手段が「だましの入口」として悪用される可能性が高まると考えられます。

第2位：フィッシングメール・偽メール

長年にわたり代表的な脅威である「フィッシングメール・偽メール」が第2位となりました。近年では「だまし方」が大きく変化しており、特にログイン情報だけでなく認証コードまでその場で奪い取る「リアルタイムフィッシング」により、二要素認証を利用していても被害につながるケースが問題視されています。また、生成AIの活用により日本語が自然になり、メールやSMS、SNSのDMでも不審さを見抜きにくくなっています。証券口座、銀行口座、ECアカウントなど、資産に直結するサービスが狙われやすいことも近年の特徴です。

第3位：QRコードを用いた詐欺（クイッシング）

第3位は「QRコードを用いた詐欺（クイッシング）」です。QRコードはQR決済の普及に加え、店舗での注文、ログイン、各種手続き、キャンペーン応募など、日常のさまざまな場面で利用されています。しかし、QRコード自体は見た目でリンク先を判断しにくく、偽のサイトへ誘導されても気づきにくいという課題があります。たとえば、チラシや店頭掲示、宅配物の案内、駐車場の精算機など、「その場で読み取ってしまう」ような導線があると、被害が拡大しやすくなります。今後も生活の中でQRコードの利用が増えるほど、詐欺に悪用される機会も増えるでしょう。

利用者とサービス提供者に求められる対策

今回選定された多くの脅威は、利用者の注意だけで完全に防ぐことが難しいとされています。利用者には「不審なリンクを開かない」「急かされても送金・ログイン・個人情報入力をしない」といった基本的な行動が有効ですが、それだけでは限界があります。

そのため、サービス提供者側（SNS、金融、決済、EC、通信、アプリ配信、広告事業者など）にも、以下のような取り組みが強く求められています。

なりすまし・詐欺広告への対策強化：SNSや広告配信において、著名人や企業をかたる広告や投稿が被害の入口となることがあります。広告審査や出稿者確認の強化、通報対応の迅速化、なりすましアカウントの検知・凍結の徹底が必要です。
フィッシング耐性の高い認証への移行：SMS認証や「入力させるタイプの認証コード」は狙われやすくなっています。パスキーなどの導入支援、異常ログイン検知、リスクに応じた追加認証、ログイン・送金時の注意喚起など、多層的な設計が重要です。
不正送金・不正利用の検知と被害抑止：金融・決済・EC分野では、端末変更、短時間での高額取引、通常と異なる地域・時間帯の操作など、異常兆候を前提に検知・保留・確認を行う仕組みが求められます。
QRコード悪用への設計面の配慮：利用者がリンク先を確認しやすい表示、短縮URLの適切な扱い、正規ドメインの明確化、偽サイトの迅速な遮断など、QRコードを「読み取らせるだけで完了しない」安全設計が必要です。
正規マーケット・アプリ配布の管理強化：正規の配布経路であっても、悪意あるアプリや不適切な広告が混入しうることを前提に、審査・監視・削除の強化と、被害時の迅速な周知が重要です。