ランサムウェア被害の6割は中小企業 ── 今すぐできる5つの防御策
警察庁データで被害の66%が中小企業。専門知識がなくても明日から実践できる5つの防御策を、中小企業の経営者・IT担当者向けにわかりやすく解説します。
「サイバー攻撃なんて、大企業の話でしょう?」そう思っていらっしゃる方、多いのではないでしょうか。
残念ながら、現実は正反対です。警察庁のデータによると、2025年上半期のランサムウェア被害報告116件のうち、中小企業が77件と全体の約66%を占めています。
セキュリティ対策の補助金活用については「サイバーセキュリティ対策の補助金ガイド」もあわせてご参照ください。対策内容を計画書の形にまとめ、国の認定と補助金加点・税制優遇などをセットで狙う場合は「【申請テンプレ付き】事業継続力強化計画(ジギョケイ)完全ガイド」も参照ください。本記事では、中小企業がなぜ狙われるのか、そして専門知識がなくても明日から実践できる5つの防御策について、書いてみようと思います。
想定読者
- 中小企業の経営者・経営層の方
- 情報システムを兼任で担当されている方
- セキュリティ対策をこれから始めたい方
この記事で得られること
- ランサムウェアの基礎知識と最新の攻撃トレンド
- 中小企業が狙われる3つの理由
- 今すぐ始められる5つの具体的な防御策
- インシデント対応計画のテンプレート
目次
- 【現実】ランサムウェアとは?まず敵を知ろう
- 【理由】なぜ中小企業が狙われるのか
- 【数字】被害に遭うとどうなるのか
- 【重要】主な感染経路
- 【本題】今すぐできる5つの防御策
- 【2026年最新】知っておくべき制度変更
- 【まとめ】今日からできることを、今日始めよう
【現実】ランサムウェアとは?まず敵を知ろう
ランサムウェアとは、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。
パソコンやサーバーのデータを勝手に暗号化して使えなくし、「元に戻してほしければお金を払え」と脅迫する悪意あるプログラムということですね。
ランサムウェア攻撃の流れ
flowchart TB
A["🎣 侵入<br/>VPN・メール<br/>リモートデスクトップ"] --> B["🔍 内部探索<br/>社内ネットワークを<br/>調べまわる"]
B --> C["📦 データ窃取<br/>機密情報を<br/>外部にコピー"]
C --> D["🔒 暗号化<br/>ファイルを<br/>ロックする"]
D --> E["💰 身代金要求<br/>支払わなければ<br/>データを公開すると脅迫"]
style A fill:#ff6b6b,stroke:#c92a2a,color:#fff
style B fill:#ffa94d,stroke:#e67700,color:#fff
style C fill:#ffd43b,stroke:#e67700,color:#333
style D fill:#868e96,stroke:#495057,color:#fff
style E fill:#495057,stroke:#212529,color:#fff最新の攻撃トレンド ── 「二重恐喝」「三重恐喝」とは
最近のランサムウェアは、単にデータを暗号化するだけではありません。
| 恐喝の段階 | 攻撃者がやること | 企業への影響 |
|---|---|---|
| 第1の恐喝 | データを暗号化して身代金を要求 | 業務が完全にストップする |
| 第2の恐喝 | 盗んだデータを「公開するぞ」と脅す | 顧客情報の漏えいリスク |
| 第3の恐喝 | 顧客や取引先にも直接脅迫する | 取引先からの信頼を失う |
用語解説:暗号化
データを特殊な鍵(パスワードのようなもの)がないと読めない形に変換すること。ランサムウェアはこの鍵を攻撃者だけが持っているため、お金を払わないとデータを元に戻せなくなります。
【理由】なぜ中小企業が狙われるのか
graph TD
A["中小企業が狙われる<br/>3つの理由"] --> B["💰 理由①<br/>セキュリティ投資が少ない"]
A --> C["👤 理由②<br/>専任の情報システム担当がいない"]
A --> D["🔗 理由③<br/>サプライチェーンの入口になる"]
B --> B1["予算不足でセキュリティ<br/>ソフトが古いまま"]
C --> C1["兼任担当では最新の<br/>脅威への対応が難しい"]
D --> D1["中小企業を踏み台にして<br/>大企業を攻撃する"]
style A fill:#4263eb,stroke:#364fc7,color:#fff
style B fill:#748ffc,stroke:#4c6ef5,color:#fff
style C fill:#748ffc,stroke:#4c6ef5,color:#fff
style D fill:#748ffc,stroke:#4c6ef5,color:#fff理由① セキュリティ投資が少ない
大企業と比べ、中小企業はセキュリティ対策に十分な予算を割けないケースがほとんどです。
「ウイルス対策ソフトを入れているから大丈夫」と考えがちですが、最新のランサムウェアはウイルス対策ソフトだけでは防げないということですね。
理由② 専任のIT担当者がいない
中小企業では、総務の方が「ついでにパソコンの面倒もみている」というケースが珍しくありません。
日々の業務に追われ、セキュリティの最新情報をチェックする余裕がないのが現実かと思います。
理由③ サプライチェーンの入口になる
攻撃者にとって、セキュリティが手薄な中小企業は「大企業への侵入口」として格好のターゲットです。
中小企業のネットワークに侵入し、そこから取引先の大企業のシステムへアクセスする「サプライチェーン攻撃」が急増しています。IPAの10大脅威でも**「サプライチェーンや委託先を狙った攻撃」が4年連続2位**にランクインしています。
【数字】被害に遭うとどうなるのか
ランサムウェア被害は、中小企業の経営を根幹から揺るがします。
graph TB
subgraph 復旧にかかる費用
A["平均被害額<br/>約2,386万円<br/>(JNSA調査)"]
end
subgraph 復旧にかかる時間
B["1週間以上<br/>約53%の企業"]
end
subgraph 事業への影響
C["業務停止期間<br/>平均10.2日"]
end
style A fill:#ff6b6b,stroke:#c92a2a,color:#fff
style B fill:#ffa94d,stroke:#e67700,color:#fff
style C fill:#ffd43b,stroke:#e67700,color:#333警察庁の2025年上半期レポートによると、復旧費用が1,000万円以上と回答した組織は**約58%**に上ります。
中小企業の年間売上高の平均は約2.1億円ですから、1,000万円の復旧費用は**年間売上の約5%**に相当する大きな負担ということですね。
【重要】主な感染経路
攻撃者がどこから侵入するかを知ることが、防御の第一歩です。
pie title ランサムウェアの主な感染経路(2025年・国内)
"VPN機器からの侵入" : 55
"リモートデスクトップ経由" : 28
"フィッシングメール" : 10
"その他" : 7出典: 警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」
感染経路の約83%がVPN機器とリモートデスクトップ経由です。コロナ禍以降のテレワーク普及で、十分なセキュリティ対策をしないまま導入した機器が、そのまま「裏口」になっているのです。
用語解説
- VPN(Virtual Private Network): インターネット上に仮想の専用回線を作り、社外から安全に社内ネットワークに接続するための仕組み。テレワーク時によく使われます。
- リモートデスクトップ: 自宅などから会社のパソコンを遠隔操作できる機能。Windows標準で搭載されています。
- フィッシングメール: 実在する企業や人物を装い、偽のリンクや添付ファイルを開かせてウイルスに感染させるメール。
【本題】今すぐできる5つの防御策
「予算もIT人材も少ない」中小企業でも、明日から始められる5つの具体策を紹介します。
graph TD
A["🛡️ 中小企業のランサムウェア防御策"] --> B["防御策①<br/>VPN機器・ソフトウェアの<br/>アップデート"]
A --> C["防御策②<br/>3-2-1ルールの<br/>バックアップ"]
A --> D["防御策③<br/>多要素認証MFAの<br/>導入"]
A --> E["防御策④<br/>従業員への<br/>セキュリティ教育"]
A --> F["防御策⑤<br/>インシデント対応計画の<br/>策定"]
style A fill:#2b8a3e,stroke:#1b5e20,color:#fff
style B fill:#40c057,stroke:#2f9e44,color:#fff
style C fill:#40c057,stroke:#2f9e44,color:#fff
style D fill:#40c057,stroke:#2f9e44,color:#fff
style E fill:#40c057,stroke:#2f9e44,color:#fff
style F fill:#40c057,stroke:#2f9e44,color:#fff防御策① VPN機器・ソフトウェアを最新の状態に保つ
難易度:★☆☆ 費用:無料〜低コスト 効果:★★★
感染経路の55%を占めるVPN機器対策は、最も優先すべきポイントです。
VPN機器のソフトウェアには、時々「脆弱性(ぜいじゃくせい)」と呼ばれるセキュリティ上の弱点が見つかります。メーカーはこの弱点を修正する「パッチ(修正プログラム)」を公開しますが、これを適用しないまま放置していると、攻撃者に弱点を突かれて侵入されてしまいます。
今日からできるアクション:
| やること | 具体的な手順 | 目安の時間 |
|---|---|---|
| VPN機器のファームウェア確認 | メーカーのサポートサイトで最新バージョンを確認 | 30分 |
| 修正プログラムの適用 | メーカーの手順に従ってアップデートを実行 | 1〜2時間 |
| Windows Updateの確認 | 全パソコンで「設定→更新とセキュリティ」を確認 | 各PC 15分 |
| 自動更新の設定 | VPN機器・OS・ウイルス対策ソフトの自動更新をON | 各30分 |
💡 ワンポイント: 機器の型番がわからない場合は、VPN機器の底面やメーカーの管理画面で確認できます。メーカーのサポート窓口に電話すれば、更新方法を教えてもらえます。
VPN経由の侵入を根本的に減らしたい場合は、VPNそのものから脱却し、SASE/SSE(ゼロトラスト型のリモートアクセス)へ移行する方法も検討に値します。「VPN脱却ガイド ── SASE/SSEで実現するセキュアなリモートアクセス」で段階的な移行手順を解説しています。
防御策② 「3-2-1ルール」でバックアップを取る
難易度:★★☆ 費用:低コスト 効果:★★★
万が一データが暗号化されても、バックアップがあれば復旧できます。ただし、Gartnerの報告によると、ランサムウェア被害企業の85.4%がバックアップからの完全復旧に失敗しているため、正しい方法でバックアップを取ることが重要です。
「3-2-1ルール」とは:
| ルール | 意味 | 具体例 |
|---|---|---|
| 3 | データのコピーを3つ持つ | 元データ+外付けHDD+クラウド |
| 2 | 2種類以上の異なる媒体に保存する | パソコン内蔵ディスク + 外付けHDD |
| 1 | 1つは物理的に離れた場所に保管する | クラウドストレージ、または別の拠点 |
具体的な設定手順や構成例(NAS+クラウド+外付HDD)は「中小企業のデータバックアップ~3-2-1ルール実践法」で詳しく解説しています。オフサイト先にAzure・AWSを使い、リージョンをまたいだ複製やリストア手順まで含めて設計したい場合は「中小企業のクラウドDR入門」が参考になります。
最重要ポイント:オフラインバックアップ
ランサムウェアは、ネットワークにつながっているバックアップも暗号化してしまいます。そのため、**バックアップ完了後はネットワークから切り離す「オフラインバックアップ」**が不可欠です。
防御策③ 多要素認証(MFA)を導入する
難易度:★☆☆ 費用:無料〜低コスト 効果:★★★
IDとパスワードだけでの認証は、もはや安全とは言えません。盗まれたり、推測されたりするリスクが高いためです。
**多要素認証(MFA)**とは、ログイン時に「パスワード」に加えて、「スマートフォンに届く確認コード」や「指紋認証」など、2つ以上の異なる要素で本人確認を行う仕組みです。
Microsoft 365やGoogle Workspaceには、MFAが標準機能として含まれています。管理画面から設定を有効にしてみてください。
💡 ワンポイント: 「退職者のアカウントを停止する」ことも重要です。不要なアカウントが残っていると、攻撃者に利用されるリスクがあります。
防御策④ 従業員へのセキュリティ教育を行う
難易度:★★☆ 費用:無料〜低コスト 効果:★★☆
2025年の世界的な調査では、ランサムウェア攻撃の侵入経路のうち**フィッシングメールが約45%**を占めています。技術的な対策に加え、「人」の対策が重要です。
従業員に伝えるべき4つのポイント:
- 送信者のアドレスを確認 ── 本物に似せた偽アドレスに注意
- 添付ファイルを安易に開かない ── 特にzip・exe・マクロ付きOfficeファイル
- URLをクリックする前に確認 ── リンク先にカーソルを合わせてURLを確認
- おかしいと思ったら報告 ── 恥ずかしがらず、すぐIT担当に連絡
月1回の5分間セキュリティ朝礼から始めてみてはいかがでしょうか。IPAの「情報セキュリティ対策実践」教材は無料で活用できます。年間計画として体系的に進めたい場合は「セキュリティ教育の年間計画の作り方」で、全社教育・階層別教育・標的型メール訓練のテンプレート付き手順を解説しています。
防御策⑤ インシデント対応計画を作っておく
難易度:★★☆ 費用:無料 効果:★★★
100%の防御は不可能です。だからこそ、「もし被害に遭ったらどうするか」を事前に決めておくことが、被害を最小限に抑える鍵になります。
最低限決めておくべき5つの項目:
- 初動対応 ── 感染したPCのLANケーブルを抜く・Wi-Fiを切る
- 連絡体制 ── 誰が・誰に・何を報告するか
- 外部相談先 ── 警察・IPA・セキュリティ業者の連絡先
- 復旧手順 ── バックアップからの復元手順を文書化
- 情報公開判断 ── 顧客・取引先への連絡基準と方法
インシデント対応計画テンプレート:
以下を印刷して、社長・IT担当者の机の引き出しに入れておきましょう(デジタルデータはランサムウェアで見れなくなる可能性があります)。
| 項目 | 内容を記入 |
|---|---|
| 初動対応責任者 | 氏名: 電話: |
| 経営判断者 | 氏名: 電話: |
| 所轄警察署サイバー窓口 | 電話: |
| IPA相談窓口 | 電話:03-5978-7509(情報セキュリティ安心相談窓口) |
| 契約セキュリティ業者 | 会社名: 電話: |
| バックアップ保管場所 | 場所: 最新日時: |
より詳細なテンプレート(5種類)と3大インシデント別の初動対応フローは「インシデント対応マニュアルの作り方」で提供しています。体制づくり(誰が対応するか)については「中小企業のCSIRT構築ガイド」もあわせてご参照ください。
初動に加え、RTO・RPOやバックアップ復旧・機上演習まで事業が止まらない計画としてまとめたい場合は「【テンプレ付き】中小企業のIT-BCP策定ガイド」が参考になります。
5つの防御策チェックリスト
すべてを一度に完璧にする必要はありません。できるところから一つずつ始めましょう。
- 最優先(1週間以内): □ VPN機器のアップデート確認 □ 不要アカウントの棚卸・削除
- 重要(1か月以内): □ バックアップの3-2-1ルール化 □ 多要素認証MFAの導入 □ インシデント対応計画の作成
- 継続(毎月): □ セキュリティ朝礼月1回 □ バックアップの復元テスト月1回 □ ソフトウェアの更新確認
【2026年最新】知っておくべき制度変更
経産省「SCS評価制度」
2026年度下期に運用開始が予定されている、中小企業にとって非常に重要な制度です。
この制度は、企業のセキュリティ対策状況を**★3〜★5の3段階で「見える化」**する仕組みです。今後、大企業が取引条件として「★3以上」を求めるようになる可能性があり、セキュリティ対策が不十分な企業はサプライチェーンから外されるリスクがあります。
IPAの「SECURITY ACTION」で★1・★2の自己宣言を行い、本記事の5つの防御策を実践することで、★3の取得に向けた準備が進められます。
活用できる公的支援・相談窓口
| 窓口 | 内容 | 連絡先 |
|---|---|---|
| IPA 情報セキュリティ安心相談窓口 | セキュリティに関する一般的な相談 | 03-5978-7509 |
| 警察庁 サイバー事案相談窓口 | 被害に遭った場合の相談・届出 | 最寄りの警察署 または #9110 |
| IPA サイバーセキュリティお助け隊サービス | 中小企業向けの安価なセキュリティサービス | IPA Webサイトで検索 |
| No More Ransom プロジェクト | 無料の復号ツール提供(一部のランサムウェアに対応) | https://www.nomoreransom.org/ja/ |
【まとめ】今日からできることを、今日始めよう
本記事の内容をまとめると、こんな感じになります。
- ランサムウェアの被害の6割以上が中小企業に集中しており、その傾向は年々強まっている
- 感染経路の約83%がVPN機器とリモートデスクトップ経由。機器のアップデートが最優先
- 5つの防御策は、いずれも高額な投資や専門知識がなくても始められる
- 完璧を目指す必要はない。まずは「今日できること」を1つだけ始めることが第一歩
ランサムウェアの脅威は、もはや「大企業だけの問題」ではありません。しかし、だからこそ希望もあります。本記事で紹介した5つの防御策は、明日から実践できるものばかりです。
ぜひ、今日やること・今週やること・今月やることを1つずつ決めて、できるところから始めてみてください。
以上となります。
最後まで読んでいただき、ありがとうございました。