ニュース

Box Japanが「情報セキュリティ10大脅威 2026」を解説、「ランサム攻撃はBoxで回避できる」と主張

  • 藤本 京子

2026年2月27日 06:00

 株式会社Box Japanは24日、独立行政法人情報処理推進機構(IPA)が1月に発表した「情報セキュリティ10大脅威 2026」をもとに、コンテンツセキュリティに関するメディアセミナーを開催した。

 「情報セキュリティ10大脅威 2026」は、2025年に発生した情報セキュリティ事案から、10大脅威選考会が脅威候補を審議し、投票にて決定する。今回組織向けの脅威として1位になったのは、昨年に引き続き「ランサムウェアによる被害」で、11年連続で10大脅威に選ばれた。2位は「サプライチェーンや委託先を狙った攻撃」で、8年連続の選出となった。3位は「AIの利用をめぐるサイバーリスク」で、今回初めてランクインした。

情報セキュリティ10大脅威 2026

 10大脅威選考会のメンバーでもあるBox Japan ソリューションエンジニアリング本部 パートナーソリューションエンジニアの結城亮史氏は、1位となったランサムウェア被害の深刻さを強調。2025年の被害事例として、アサヒグループホールディングスに対するランサムウェア攻撃で約191万件の個人情報が漏えいしたことや、アスクルへの攻撃では約4ヶ月の潜伏期間を経て約74万件の個人情報が流出したことを挙げた。

Box Japan ソリューションエンジニアリング本部 パートナーソリューションエンジニア 結城亮史氏

 これらの企業は、対策を怠っていたわけではないと結城氏は説明、「高度なセキュリティ対策がなされていても突破されてしまうのが、ランサムウェア攻撃の難しい点だ」と話す。「例えば、EDRは現代では必須のセキュリティ対策だが、万全ではない。攻撃者が防御機能を無効化したり、脆弱性を突いて正当なユーザー権限を奪ったりすることで、EDRの死角を突いた攻撃が成立してしまう」と結城氏。攻撃を100%防御することは難しいため、「侵入されたとしてもデータを保護し、業務を止めないようにするという視点が重要だ」とした。

ランサムウェア攻撃による被害事例

 Boxは一般的にランサムウェアに強いとされるが、その理由はアーキテクチャにあるという。一般的なオンプレミスのファイルサーバーは、Windows OSなどを狙ったマルウェアにとってアクセス性が高く感染が広がりやすいが、「BoxはWebブラウザ経由でアクセスする仕組みのため、マルウェアがそこを飛び越えることは困難。仮にオンプレミス環境が暗号化されても、Box上のファイルは影響を受けなかったという報告を多数受けている」と結城氏。また、Box上に悪意のあるプログラムがアップロードされたとしても、「実行できないただのファイルとして管理されるため、システム全体に被害が及ぶことはない」(結城氏)としている。

Boxがランサムウェア攻撃に強い理由

 さらに、2025年12月にリリースした「Box Shield Pro」には、ランサムウェアアクティビティ検出機能が追加されたことを結城氏は紹介。これは、ファイルの変化や削除イベントを分析し、不審な動きを検知すると即座にユーザーセッションを切断する機能だ。万が一攻撃を受けた場合も、Boxの無制限バージョン管理機能により、感染前のクリーンな状態へ一括でさかのぼることができるという。

Box Shield Pro

 2位のサプライチェーンや委託先を狙った攻撃については、「狙っている組織に直接攻撃するのではなく、セキュリティレベルの低い別の組織に侵入し、そこを経由して業務上つながりがあるグループ会社などへ侵入する手法だ」と結城氏は解説する。アスクルの事例では、委託先に付与した管理者アカウントのIDとパスワードが漏えいし、多要素認証が適用されていなかったことから、攻撃者が正規のユーザーとして本社ネットワークに侵入している。海外子会社などのVPNを足がかりに本社データセンターへ到達し、ランサムウェアを展開するケースもあるという。

組織単位での対策を困難にするサプライチェーン攻撃

 こうした複雑なサプライチェーンのリスクに対しても、「Boxにはアクセス制御や暗号化、そして長期間保管される監査ログなどの機能が備わっている。そのため、経済産業省によるサプライチェーン強化に向けたセキュリティ対策評価制度で定められたガバナンス、取引先管理、リスク特定、防御、検知、対応、復旧というそれぞれの分野にすべて貢献できる」と結城氏は述べている。

 今回初選出で3位となったAIの利用をめぐるサイバーリスクに関しては、Box Japan プロダクトマーケティング部 エバンジェリストの浅見顕祐氏が解説した。浅見氏は、今後想定されるAIの主なリスクとして、未承認ツールの利用による「シャドーAI」、AIが誤った情報を生成する「ハルシネーション」、悪意のある命令を与える「AIの悪用」の3点を挙げる。

Box Japan プロダクトマーケティング部 エバンジェリスト 浅見顕祐氏

 これらのリスクに対しても、浅見氏は「Box AIで回避できる」と主張する。まずシャドーAIについては、Boxの管理機能で利用者ごとの権限設定や監査ログを活用。誰がどのAI機能を使ったのか可視化でき、企業の管理下でAIが利用できるという。

 ハルシネーションに対しては、Box内の一次データのみを根拠に回答を生成するSecure RAGという仕組みを採用し、AIによる勝手な創作を防ぐ。

 AIの悪用については、Boxのコンテンツ管理がそのまま対策になるという。ユーザーが持つアクセス権限をAIが超えることはないと浅見氏は述べ、「AIに勝手に判断させてはいけないコンテンツのコンテキストがある。それは、セキュリティ、ステータス、情報鮮度の3つ。Boxのコンテンツ管理とBox AIにより、このコンテキストを正しく保ったままAIを活用できる」としている。

AIの利用をめぐるサイバーリスク
コンテンツ管理+Box AI