法人向け（組織）10大脅威 2026（上位の確認）

組織向けは、1位「ランサム攻撃による被害」、2位「サプライチェーンや委託先を狙った攻撃」、 4位「システムの脆弱性を悪用した攻撃」などが挙がっています。

参考： https://www.ipa.go.jp/pressrelease/2025/press20260129.html

1) ランサム（暗号化＋脅し）で「仕事が止まる」

なぜ中小が狙われる？

“守りが薄い”と見られると、止めやすいからです。止まれば交渉に乗りやすい、という悪い計算をされます。

最優先の対策（これだけは）

• バックアップを分けて持つ（PC内だけはNG。外付けやクラウドで“別の場所”）
• 復旧の練習（戻せないバックアップは、ないのと同じ）
• 管理者権限を日常利用しない（被害が広がりにくくなる）

2) サプライチェーン（取引先・委託先）経由で来る

法人2位はサプライチェーンや委託先を狙った攻撃です。

参考： https://www.ipa.go.jp/pressrelease/2025/press20260129.html

中小で起きがちなこと

• 取引先からの“正規っぽいメール”を開いてしまう
• 業務委託先のアカウントが乗っ取られ、共有フォルダに不正が入る

対策（これだけは）

• 取引先と「合言葉ルール」（請求先変更・振込先変更は電話確認）
• 共有フォルダは“必要な人だけ”に（全員閲覧OKは事故が増える）
• 委託先にも最低限の要件（2段階認証、権限、ログ）をお願いする

3) 脆弱性（穴）を悪用される：更新の遅れがそのままリスク

組織向け4位は「システムの脆弱性を悪用した攻撃」です。

参考： https://www.ipa.go.jp/pressrelease/2025/press20260129.html

対策（これだけは）

• 更新（アップデート）を“自動”に寄せる（人の記憶に頼らない）
• 使っていない機器・アカウントを消す（放置が入口になる）
• 重要サービス（メール、会計、クラウド）はログイン履歴を定期確認

まとめ＋要約（5点）

• 法人1位はランサム、2位はサプライチェーン
• 4位は脆弱性の悪用
• 中小は「止まる＋漏れる＋取引先へ迷惑」が痛い
• バックアップは分離＋復旧練習
• 権限と更新を“仕組み化”すると強くなる

参考： https://www.ipa.go.jp/pressrelease/2025/press20260129.html

FAQ（3問）

Q1. うちはIT担当がいません。何から？

A. バックアップ（分離）→メールの2段階認証→更新の自動化、の順が現実的です。

Q2. 取引先に“うるさい”と思われませんか？

A. 「確認ルール」は信頼につながります。特に振込先変更は“双方を守る”ための習慣です。

Q3. ランサムに遭ったら身代金は払うべき？

A. 状況で判断が必要ですが、まずは隔離・連絡・復旧の順です。初動を誤ると被害が広がるので、早めの相談が大切です。