BCP SDGs ブログ 事業継続力強化計画(ジギョケイ)

中小企業が狙われるランサムウェアの現実

中小企業が狙われるランサムウェアの現実

中小企業が狙われるランサムウェアの現実

要約5つ

  • 最近の統計では、ランサムウェア被害の約3分の2が中小企業で発生している。
  • 被害に遭うと、システム停止だけでなく、取引先への報告や信用失墜など「見えにくいコスト」が重くのしかかる。
  • 背景には、攻撃のビジネス化(RaaS)と、中小企業側の基本対策不足が重なっている。
  • 経営として問われるのは「専門家の有無」ではなく、「基本的な備えをしていたか」である。
  • 本稿では、ランサムウェアを経営課題としてどのように位置づけるかの全体像を整理する。

はじめに

大手企業のランサムウェア被害がニュースになる一方で、実際には被害件数の多くを中小企業が占め、警察庁の統計でも中小企業の被害件数が過去最多となったと報告されています。
本稿では、「ランサムウェアとは何か」という技術的な話に深入りしすぎず、中小企業の経営にどのような影響が出るのか、なぜ今対策を急ぐ必要があるのかに焦点を当てます。
そのうえで、売上・キャッシュフロー・信用・人材といった経営指標に沿ってリスクを整理し、何から手を付ければよいのかを判断するためのフレームを提示します。
最後に、このシリーズ全体を通じて、90日で「最低限ここまではやったと言える状態」をつくることをゴールとし、自社に無理のない形での進め方をイメージできるようにしていきます。


目次

  1. ランサムウェア被害の「今」—数字で見る現状
  2. なぜ中小企業が狙われるのか
  3. 経営にとってのダメージ—売上・信用・人の観点
  4. まず押さえるべき「3つの問い」

本文

1. ランサムウェア被害の「今」—数字で見る現状

警察庁の最新資料によると、2025年上半期のランサムウェア被害は、組織規模別では中小企業が全体の約3分の2を占め、件数・割合ともに過去最多となっています。中小企業向けメディアでも、直近の被害の約66%が中小企業との指摘があり、「大企業ばかりが狙われている」というイメージはすでに現実とかけ離れています。

また、ランサムウェアの特徴として、次のような点が挙げられます。

  • データを暗号化して業務を止める
  • 盗んだデータを「ばらまく」と脅して二重に金銭を要求する(二重恐喝)

といった悪質な手口が増えています。単に「システムが止まる」というレベルを超え、ビジネスそのものの継続に関わる問題になっています。

2. なぜ中小企業が狙われるのか

中小企業が狙われる理由は、技術的に高度な話ではなく、とてもシンプルです。

  • 基本的な対策が手薄になりがち
    • VPN機器のソフトウェア更新が放置されている
    • パスワードが弱い、使い回している
    • バックアップやログの取得が不十分
  • 「自分たちは標的にならない」という思い込み
    • 攻撃者は「狙い撃ち」だけでなく、自動ツールで広くスキャンしています
    • たまたま見つかった弱点から侵入するケースが多数報告されています。
  • 攻撃が“ビジネス化”している
    • 「ランサムウェア・アズ・ア・サービス(RaaS)」と呼ばれる、攻撃手口を売り買いする仕組みが広がっています。
    • 技術力の低い攻撃者でも、ツールを利用して中小企業を狙える時代になっています。

要するに、「守りの薄い会社が、効率よくお金を取れるターゲット」として中小企業が見られている、ということです。

3. 経営にとってのダメージ—売上・信用・人の観点

ランサムウェア被害は、ITの問題に見えますが、影響が出るのはむしろ経営数字と信用です。

  • 売上・キャッシュフローへの影響
    • 生産ラインや受注システムが止まると、数日〜数週間の売上が失われる
    • 納期遅延による違約金や、追加残業・復旧費用が発生する
  • 取引先との関係・信用
    • 個人情報や取引情報が流出すれば、報告・謝罪・再発防止策の説明が必要になる
    • 「セキュリティの甘い会社」という印象は、今後の入札や新規取引にも響きます
  • 社内の雰囲気・人材
    • 従業員の残業や復旧対応が長期化すると、離職リスクも高まる
    • 「IT担当のせい」にしてしまうと、組織としての信頼が崩れます

被害額は、復旧コストや売上の落ち込みなどを含めると、中小企業でも数千万〜億単位になる可能性があると指摘されています。

4. まず押さえるべき「3つの問い」

Day1では、細かい対策よりも、経営として以下の3つの問いを押さえておくことが大切です。

  1. 「うちも狙われている可能性がある」と前提を変えられるか
  2. 被害に遭ったとき、止まっては困る業務はどこか
  3. 現状、どこまで基本的な対策ができているのか把握できているか

この3つを経営会議や幹部会で共有し、「IT担当任せ」から一歩進んで、経営としてのサイバーリスク管理に位置づけることが、最初の一歩になります。

まとめ

要点(5つ)

  • ランサムウェア被害は中小企業で過去最多となり、全体の約3分の2を占めている。
  • 攻撃者は「守りの薄い会社」を効率よく狙っており、中小企業はまさにそのターゲットになっている。
  • 被害はシステム停止だけでなく、売上・信用・人材に長く影響を及ぼす。
  • 経営として問われるのは、「専門部署があるか」ではなく、「基本的な備えをしていたか」。
  • まずは、現状のリスク認識と、止まっては困る業務の棚卸しから始めることが重要。

Next Best Action(次の一手)

次回の幹部会までに、「ランサムウェア被害に遭ったら、どの業務が止まるか」を部門長に1枚で書き出してもらい、共有してください。

FAQ(よくある質問)

Q1. 当社のような小さな会社まで本当に狙われるのでしょうか?

A. 狙われるというより、「自動的に見つけられる」が近いイメージです。インターネットに接続された機器の弱点を機械的に探す攻撃が多く、規模を問わず被害が出ています。

Q2. セキュリティ担当者も専任もいません。それでも対策できますか?

A. できます。警察庁などが示している対策の多くは、「機器の更新」「パスワードの見直し」「バックアップ」「ログ取得」など、基本的なものです。外部の専門家にすべて任せる前に、まず社内で着手できる範囲があります。

Q3. どれくらい投資するべきか、目安はありますか?

A. 一律の正解はありませんが、「1回の被害で失う可能性のある売上・復旧費用」と比べ、少額でも継続的に投資することが大切です。Day4で、費用を抑えた「基本10対策」と90日計画をご紹介します。

📩 自社の状況に合わせて、どこから手を付けるべきか整理したい方は、 こちらからご相談ください

-BCP, SDGs, ブログ, 事業継続力強化計画(ジギョケイ)