中小企業経営者が直面するサイバー攻撃の最新動向｜Day1：現状と本質リスク

中小企業経営者が直面するサイバー攻撃の最新動向
—「自社は狙われない」はもう通用しない

Q: なぜ中小企業が狙われやすいのですか？

攻撃者は守りの薄い所から入り、取引先へ横展開します。専門人材不足やポリシー・訓練の未整備はリスク要因です。

Q: SIMスワップは法人にも関係ありますか？

はい。SMSに依存した二要素認証は、電話番号が奪われると突破される恐れがあります。認証アプリや物理キーへ移行しましょう。

Q: 最低限やるべき対策は？

48時間以内のパッチ運用、SMS以外の二要素認証、フィッシング訓練、権限最小化とバックアップ検証が基本です。

大企業だけが標的だと思っていませんか？実際には、取引先やサプライチェーンの“入口”として中小企業が狙われるケースが増えています。本稿では、経営判断に必要な「現状」と「本質リスク」を、SIMスワップを含む具体的な脅威とあわせて整理します。

導入：よくある誤解と現実

ある製造業の社長は「機密はあまりないし、うちは小さいから」と考えていました。ところが、仕入先のアカウントが侵害され、得意先になりすました請求書偽装メールが届き、支払い先の変更で数百万円を失う寸前に。犯人の狙いは最初から大企業ではなく、“取引網の弱い輪”でした。

経営の本質リスク

サプライチェーン連鎖：自社の事故が取引先の停止・賠償に波及
業務停止リスク：工場・受発注停止、復旧に数週間
信頼失墜：取引審査・入札で不利（体制不備の見做し）

現状を示すデータ（国内・海外）

73.0%

OS・ソフトを最新化している中小企業（国内調査）

一方で、社内共有や体制整備は4割弱に留まる。

633,089件

2024年上半期のフィッシング報告件数（国内）

インターネットバンキング不正送金は約24.4億円。

18% vs 14%

世界：脆弱性悪用がフィッシングを上回る侵入要因

「パッチ運用」は実害低減に直結する経営施策。

出典の要点：国内では基本対策の実施は進む一方、組織体制（ポリシー・共有・訓練・準備）が弱い傾向。海外統計では未パッチの脆弱性からの侵入が拡大。経営判断としては「技術×人×体制」を同時に底上げする必要があります。

主要な攻撃ベクトルと被害の流れ

フィッシング/ビジネスメール詐欺（BEC）：請求書・見積・配送通知を装う→ID/パスワード搾取→メール転送設定や請求書差替え。
ランサムウェア：VPN/脆弱性/不審メール経由で侵入→暗号化＋情報窃取→支払い要求と公開脅迫。
脆弱性悪用：公開サーバや機器の未パッチをスキャン→既知脆弱性から横展開。
アカウント乗っ取り＋多要素突破：使い回し漏えい・リバースプロキシ・SIMスワップ等でSMSを迂回。

被害の典型フロー（図解イメージ）

※記事用図版の作成メモ（画像生成向けプロンプト）

四象限の簡易図：「入口（メール/脆弱性）→内部横展開→窃取/暗号化→金銭・信用被害」
中小企業の社内ネットワークをシンプルな箱と矢印で表現
凡例：フィッシング（青）/脆弱性（橙）/ランサム（赤）/BEC（緑）

最近よく聞く「SIMスワップ」とは

概要：攻撃者が携帯電話会社に本人になりすまし、被害者の電話番号を攻撃者のSIMへ移す手口。SMSベースの二段階認証（ワンタイムコード）を乗っ取られ、銀行・決済・クラウドへのログインに悪用される恐れがあります。

ポイント：

国内でも不正送金事件でSIMスワップの悪用が確認されています。
法人では「経営者や管理者の携帯番号＝多数システムの“鍵”」になりがちで、被害の連鎖が大きくなります。

やってはいけない運用の例

重要システムの2要素認証をSMSだけにしている
通信キャリアの暗証番号（契約者PIN）未設定・店頭での変更ロック未設定
経営者・管理者の電話番号が社内・外部に広く露出

個人で今日からできる予防策（経営者・社員）

認証アプリ（TOTP/U2F）へ切替：SMSから認証アプリや物理キーに移行。
キャリア側の保護：契約者PIN・MNP/再発行のロック・店頭本人確認の強化を依頼。
アカウントの棚卸し：管理者権限・銀行・クラウドなど、電話番号に紐づく重要サービスを一覧化。
パスワード管理：管理ツール導入、使い回し禁止、長く一意なパスワード＋暗号化保管。
脆弱性・更新の運用：重要システムは「自動更新＋緊急パッチの48時間内適用」のルール化。
訓練：年2回のフィッシング訓練と、月1回の5分共有（事例・手口・対処）。

経営者の当日アクション（30分）

主要クラウド/銀行の2要素設定を確認し、SMS→認証アプリ/キーへ変更
通信キャリアで再発行ロック/PIN設定を有効化
情報システム担当に「重要資産の未パッチ状況」の即日レポートを依頼

要点まとめ

中小企業も標的：取引先を狙う“踏み台”として狙われる。
弱いのは体制面：基本対策は7割実施でも、ポリシー・訓練・準備は4割弱。
攻撃の入口は二極化：未パッチ脆弱性と人（フィッシング/認証突破）。
SIMスワップ対策＝SMS依存からの脱却＋キャリアでの本人確認強化が肝。

FAQ

Q1. なぜ中小企業が狙われやすいのですか？

攻撃者は「守りの薄い所から」入り、取引先へ横展開します。社内に専門人材が少なく、ポリシーや訓練が未整備な企業が多いほど、侵入・詐欺・業務停止のリスクが高まります。

Q2. SIMスワップは法人にも関係ありますか？

あります。管理者や経営者の電話番号がSMS認証の“鍵”になっていると、番号を奪われただけで多数の業務システムや金融サービスの二要素が突破される可能性があります。SMS依存を避け、認証アプリや物理キーへ移行してください。

Q3. 最低限やるべき対策は？

重要システムは48時間以内パッチ＋外部公開は仮想パッチ/IPSで即時ガード
二要素認証はSMSから認証アプリ/U2Fキーへ
フィッシング訓練と役割分担（権限最小化＋バックアップ検証）

🔒 法人のセキュリティ対策は「今」が始めどきです

「自社は大丈夫だろう」と思っていた企業ほど被害を受けやすいのがサイバー攻撃の怖さです。もし、御社に最適なセキュリティ対策を知りたい方は、専門家へのご相談をおすすめします。

📩 下記より気軽にご相談ください。

LINEでセキュリティ相談する