「うちには盗まれるような情報はない」 「小さな会社だから狙われない」 「セキュリティは大企業やIT企業の問題だ」 そう考えている中小企業は、まだ少なくありません。

しかし、ランサムウェア被害が増えている今、その考え方はとても危険です。 攻撃者は、会社の知名度や規模だけを見ているわけではありません。 弱いパスワード、古い機器、放置されたアカウント、外部から入れる入口などを探しています。

本記事では、なぜ中小企業がランサムウェアに狙われるのかを整理します。 そして、サプライチェーンの中で自社が止まると何が起きるのか、どこから点検すべきなのかを、できるだけわかりやすく解説します。

もし今日から基本対策に着手できれば、被害の可能性を下げるだけでなく、取引先に対して「会社として備えている」と説明しやすくなります。 SCS評価制度への備えも、まずはこうした現実的なリスクへの対策から始まります。

ランサムウェアとは何か

ランサムウェアとは、会社のパソコンやサーバーに入り込み、データを使えない状態にして、元に戻す代わりに金銭を要求する攻撃です。 「身代金」を意味する言葉から、ランサムウェアと呼ばれています。

たとえば、受発注データ、請求書、配送先リスト、顧客名簿、勤怠データ、給与データ、図面、契約書などが突然開けなくなることがあります。 パソコンが動いていても、必要なファイルが使えなければ、仕事は止まります。

最近では、データを使えなくするだけではなく、情報を盗み出したうえで「お金を払わなければ公開する」と脅す手口もあります。 つまり、単なるシステム障害ではなく、情報漏えい、取引先への説明、信用低下まで含む深刻な問題になるのです。

被害は増え、高止まりしています

警察庁の資料では、令和7年上半期のランサムウェア被害報告件数は116件で、半期件数として令和4年下半期と並び最多とされています。 また、中小企業の被害が多い状況も示されています。

さらに、ランサムウェアの被害では、調査や復旧に大きな費用がかかるケースがあります。 警察庁資料では、被害による調査・復旧費用が高額化しており、1,000万円以上を要した組織の割合が増えていることも示されています。

中小企業にとって、1,000万円規模の復旧費用は非常に重い負担です。 それに加えて、業務停止、納期遅れ、取引先への説明、再発防止対応まで発生すれば、経営への影響はさらに大きくなります。

なぜ中小企業が狙われるのか

「うちは有名企業ではないから狙われない」と思う方もいます。 しかし、攻撃者は有名企業だけを狙っているわけではありません。 インターネット上にある弱点を広く探し、侵入できそうな会社を見つけています。

中小企業が狙われやすい理由の一つは、対策が後回しになりやすいことです。 人手が足りない。 専任のIT担当者がいない。 古いパソコンや機器を使い続けている。 パスワード管理が個人任せになっている。 こうした状態は、多くの会社で起こりがちです。

攻撃者から見ると、こうした会社は入りやすい入口が残っている可能性があります。 会社の規模が小さいから安全なのではなく、対策が手薄であれば、むしろ狙われやすくなることがあります。

入口になりやすいのはVPNやリモート接続です

警察庁資料では、ランサムウェアの感染経路として、VPNやリモートデスクトップ用の機器からの侵入が多いことが示されています。

VPNとは、外出先や自宅から会社のネットワークに入るための仕組みです。 リモートデスクトップとは、離れた場所から会社のパソコンやサーバーを操作する仕組みです。 どちらも便利ですが、設定や管理が弱いと攻撃の入口になります。

たとえば、次のような状態は注意が必要です。

こうした入口は、日常業務では見落とされがちです。 しかし、攻撃者はそこを探しています。 「便利だから使っている」だけで終わらせず、「安全に使えているか」まで確認する必要があります。

古い機器と放置アカウントは危険です

古いパソコンやルーター、NAS、VPN機器、サーバーなどは、更新が止まっていることがあります。 更新が止まると、新しく見つかった弱点を直せないまま使い続けることになります。

また、退職者のアカウント、昔作ったテスト用アカウント、使っていない管理者アカウントも危険です。 誰も使っていないつもりでも、攻撃者に悪用される入口になることがあります。

警察庁資料でも、安易なID・パスワードや、不必要なアカウントが適切に管理されず存在していたことが侵入原因として挙げられています。 つまり、特別な高度攻撃だけでなく、基本的な管理不足が被害につながるのです。

サプライチェーンで被害が広がる仕組み

中小企業のランサムウェア被害が深刻なのは、自社だけで終わらないことがあるからです。 サプライチェーンの中で仕事をしている会社は、必ずどこかの取引先とつながっています。

たとえば、製造業であれば、部品、加工、検査、梱包、出荷がつながっています。 物流業であれば、荷主、倉庫、配送会社、委託先、納品先がつながっています。 建設業であれば、元請、下請、協力会社、資材会社、現場管理がつながっています。

その中の一社が止まると、連鎖的に影響が出ることがあります。 「うちだけの問題」と思っていたものが、取引先の納期、顧客対応、売上、信頼にまで広がるのです。

このように、ランサムウェアは単なるITトラブルではありません。 事業継続の問題です。 取引先との信用の問題です。 だからこそ、SCS評価制度でも、サプライチェーン全体で対策を見える化する考え方が重視されています。

取引先は「止まらない会社」かどうかを見ています

発注元が気にしているのは、専門的なセキュリティ用語を知っているかどうかではありません。 もしトラブルが起きたとき、業務を止めずに済む備えがあるか。 止まっても早く戻せるか。 連絡が取れるか。 状況を説明できるか。 そこを見ています。

たとえ小さな会社でも、基本的な対策をしている会社は、取引先に安心感を与えます。 逆に、何も把握していない、連絡体制もない、バックアップもないという状態では、不安を持たれやすくなります。

セキュリティは、これからの取引において「安心して任せられる会社か」を判断する材料になります。 それは、価格や納期と同じくらい大切な信用の一部になっていきます。

まず確認したい入口対策と復旧対策

ランサムウェア対策は、難しい技術から始める必要はありません。 まずは「入られにくくすること」と「入られても戻せること」の2つを考えます。

どちらか一方だけでは不十分です。 入口対策だけをしていても、完全に防げるとは限りません。 バックアップだけを取っていても、侵入が続いていれば再被害の恐れがあります。 だから、両方を少しずつ整えていくことが大切です。

特にバックアップは、取っているだけでは不十分です。 ランサムウェアによってバックアップまで消されたり、暗号化されたりすることがあります。 そのため、重要データのバックアップは、普段のネットワークから切り離して保管する考え方が大切です。

ログも大切です

ログとは、システムに誰がいつ入ったか、どのような操作があったかを記録するものです。 被害が起きたとき、ログがあると、どこから入られたのか、何が起きたのかを調べやすくなります。

警察庁資料でも、ログが保存されていない場合、侵入の実態調査や復旧対応に支障が出る恐れがあるとされています。 中小企業ではログ管理まで手が回っていないこともありますが、保守会社やシステム会社に相談し、最低限どの記録を残せるか確認しておくことが重要です。

経営者が今すぐ決めるべきこと

ランサムウェア対策は、担当者だけで完結する話ではありません。 なぜなら、対策には予算、時間、人の協力、取引先への説明が関わるからです。

経営者や責任者が決めるべきことは、まず「会社として放置しない」と決めることです。 完璧な対策を一度に行う必要はありません。 しかし、危ない入口を確認し、重要データを守り、トラブル時の連絡体制を決めることは、経営判断として必要です。

この5つを決めるだけでも、会社の守り方は大きく変わります。 何となく担当者に任せるのではなく、会社の方針として取り組むことが大切です。

SCS評価制度への対応も、最終的には「自社の対策を説明できるか」が重要になります。 そのためにも、ランサムウェア対策をきっかけに、会社の基本的なセキュリティ管理を見直しておきましょう。

まとめ＋要約

• ランサムウェアは、大企業だけでなく中小企業にも現実的な脅威です。
• 攻撃者は会社の規模ではなく、古い機器、弱いパスワード、放置アカウントなどの弱点を探します。
• サプライチェーンの中で一社が止まると、取引先や顧客にも影響が広がります。
• 対策は、入口を守ることと、被害時に戻せる状態をつくることの両方が重要です。
• 経営者や責任者が、会社として放置しない方針を決めることが第一歩です。

次の一手： VPN、リモート接続、古い機器、不要アカウント、バックアップの5項目を今週中に確認してください。

FAQ

出典・参考資料

• 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）」
  https://www.meti.go.jp/policy/netsecurity/scs.html
• 警察庁サイバー警察局「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」令和7年9月