JSSEC『スマートフォン利用シーンに潜む脅威 Top10 2026』を公開

2026年5月18日

報道関係各位

一般社団法人日本スマートフォンセキュリティ協会

 

JSSEC、『スマートフォン利用シーンに潜む脅威 TOP10 2026』を公開

 

一般社団法人日本スマートフォンセキュリティ協会（JSSEC：会長 佐々木 良一）の利用部会（部会長：松下 綾子）は、「スマートフォン利用シーンに潜む脅威 TOP10 2026（スマホ利用10大脅威2026）」を発表します。

近年、生成AIの普及に伴う、なりすまし・詐欺手口の高度化に加え、QR決済やウォレット、パスキー等の普及によりスマホの利用シーンも大きく変化しています。こうした状況を踏まえ、利用者視点で「今、優先して注意すべき脅威」を整理し、「スマートフォン利用シーンに潜む脅威 TOP10 2026（以下、スマホ利用10大脅威2026）」を選定しました。
3年前には「スマートフォン利用シーンに潜む脅威 TOP10 2023」（スマホ利用10大脅威 2023）[1]を選定しましたが、発表から3年が過ぎ、新たな脅威を啓発すべく取り組みました。

[1] https://www.jssec.org/smartphone-use-10threats2023

 

選定方法について

選定方法について
スマホ利用10大脅威 2026の選定にあたっては、まず選定委員が脅威候補24項目を作成しました。次に、利用部会としてワークショップを実施し、JSSEC会員企業の参加者と意見交換を行いました。その結果を踏まえて、利用者にとって分かりやすいよう「利用シーン（実際に起きる場面）」の観点で候補を13項目に整理し、再度ワークショップで議論しました。最終的には参加者による投票を行い、さらに多くの意見を反映するため、2026年2月27・28日に開催されたサイバーセキュリティシンポジウム道後2026（以下、SEC道後）のJSSEC出展ブースでも投票を実施し、結果を総合して選定しました。

 

投票結果（TOP3）と、最近の動向を踏まえたポイント

投票の結果、特に注目された脅威は次の3つでした。

第1位：生成AIによるフェイク動画・音声～さまざまな脅威への悪用～

最も脅威として注目されたのは「生成AIによるフェイク動画・音声」でした。近年は、本人の声や顔に似せた動画・音声を短時間で作れるようになり、だましの説得力が大きく上がっています。
この影響で、ロマンス詐欺・投資詐欺・SNSを使った勧誘型の詐欺（いわゆるリクルーティング詐欺）だけでなく、「家族や勤務先になりすまして急いで送金させる」「本人確認（KYC）を突破しようとする」など、複数の脅威が同時に高度化している点が重要です。今後は、通話・ビデオ通話・音声メッセージなど、身近な連絡手段が“だましの入口”として悪用される可能性が高まります

第2位：フィッシングメール・偽メール

第2位は「フィッシングメール・偽メール」でした。これはJSSEC発足当時から続く代表的な脅威ですが、最近は“だまし方”が大きく変わっています。
特に、ログイン情報だけでなく認証コードまでその場で奪い取る「リアルタイムフィッシング」により、二要素認証を使っていても被害につながるケースが問題になっています。また、生成AIによって日本語が自然になり、メールやSMS、SNSのDMでも不審さを見抜きにくくなっています。証券口座・銀行口座・ECアカウントなど、資産に直結するサービスが狙われやすい点も近年の特徴です。

第3位：QRコードを用いた詐欺（クイッシング）

第3位は「QRコードを用いた詐欺（クイッシング）」でした。QRコードはQR決済の普及に加え、店舗での注文、ログイン、各種手続き、キャンペーン応募など、日常のさまざまな場面で使われています。
一方で、QRコード自体は見た目でリンク先を判断しにくく、偽のサイトへ誘導されても気づきにくいという課題があります。たとえば、チラシや店頭掲示、宅配物の案内、駐車場の精算機など「その場で読み取ってしまう」導線があると、被害が拡大しやすくなります。今後も、生活の中でQRコードの利用が増えるほど、詐欺に悪用される機会も増えると考えられます。

 

利用者への注意点に加え、サービス提供者側に求められる対策

今回選定された脅威の多くは、利用者の注意だけで完全に防ぐことが難しい点が重要です。利用者には「不審なリンクを開かない」「急かされても送金・ログイン・個人情報入力をしない」といった基本行動が役立ちますが、それだけでは限界があります。
そのため、サービス提供者側（SNS、金融、決済、EC、通信、アプリ配信、広告事業者等）にも、次のような取り組みを強く求めます。

• 　-なりすまし・詐欺広告への対策強化：SNSや広告配信では、著名人・企業をかたる広告や投稿が被害の入口になります。広告審査や出稿者確認の強化、通報対応の迅速化、なりすましアカウントの検知・凍結の徹底が必要です。
• 　-フィッシング耐性の高い認証への移行：SMS認証や“入力させるタイプの認証コード”は狙われやすくなっています。パスキー等の導入支援、異常ログイン検知、リスクに応じた追加認証、ログイン/送金時の注意喚起など、多層的な設計が重要です。
• 　-不正送金・不正利用の検知と被害抑止：金融・決済・ECでは、端末変更、短時間での高額取引、通常と異なる地域・時間帯の操作など、異常兆候を前提に検知・保留・確認を行う仕組みが求められます。
• 　-QRコード悪用への設計面の配慮：利用者がリンク先を確認しやすい表示、短縮URLの扱い、正規ドメインの明確化、偽サイトの迅速な遮断など、QRを“読み取らせるだけで完了しない”安全設計が必要です。
• 　-正規マーケット・アプリ配布の管理強化：正規の配布経路であっても、悪意あるアプリや不適切な広告が混入しうることを前提に、審査・監視・削除の強化と、被害時の周知を迅速に行うことが重要です。

スマートフォンを安全に利用するうえで、技術だけで被害を100%防ぐことは難しくなっています。だからこそ、利用者が「よくある手口」を知り、迷ったときに立ち止まれるような情報提供が必要です。同時に、被害の入口を減らすためには、サービス提供者側が設計・運用の両面で対策を強化することが欠かせません。

JSSEC利用部会は、今後も利用者視点で安心・安全なスマートフォン利用環境を目指した議論を継続し、具体的で分かりやすい情報発信を行っていきます。

 

＜スマートフォン利用シーンに潜む脅威 TOP10 2026＞

スマートフォン利用シーンに潜む脅威 Top10 2026 解説

 
＜スマートフォン利用シーンに潜む脅威 TOP10 2026 選定委員＞

委員長　松下綾子（アルプス システム インテグレーション株式会社）
　　　　本間輝彰（KDDI株式会社）
　　　　北村裕司（サイバートラスト株式会社）
　　　　中村丈洋（株式会社SHIFT SECURITY）
　　　　小林幸司（株式会社SHIFT SECURITY）
　　　　三池聖史（NPO日本ネットワークセキュリティ協会）
　　　　※順不同

【日本スマートフォンセキュリティ協会について】
2011年5月 設立され、2012年4月に法人化された日本スマートフォンセキュリティ協会は、個人ならびにビジネス分野での普及、利活用が進む一方、さまざまなセキュリティ上の課題に直面しており、それらを解決し安心安全な普及促進を目指しています。今やスマートフォンなどの社会と人を繋ぐという重要な役割を果しています。これまでのスマートフォン自体の安心安全な利活用における普及啓発をはじめ、その先のクラウド、IoTや未来にあるICTの安心安全な普及啓発を行ってまいります。

【お客様からのお問い合わせ先】
日本スマートフォンセキュリティ協会　事務局
Tel: 03-6757-0159　 E-mail: sec@jssec.org

【報道機関からのお問い合わせ先】
日本スマートフォンセキュリティ協会　事務局
Tel: 03-6757-0159　 E-mail: sec@jssec.org