ある朝、出社したら社内のパソコンが全部開けなくなっていた。
顧客情報・契約書・財務データ・業務システム、全部にアクセスできない。画面には「データを返してほしければ期限内に連絡せよ」というメッセージが表示されている。バックアップも同じネットワーク上にあったため、一緒に暗号化されていた。
これがランサムウェア被害の典型的な場面です。「自分の会社には起きないだろう」と思っていた経営者が、ある朝突然この状況に直面するケースが実際に起きています。
IPA情報セキュリティ白書2025によると、ランサムウェア攻撃は10年連続で「情報セキュリティ10大脅威」の組織部門1位にランクされています。脅威が継続しているにもかかわらず、心配はしているが対策が先送りになっている中小企業が多いのが実態です。
本記事では、ランサムウェアとは何かを経営者向けに整理した上で、技術知識がなくても今日から始められる3つの経営判断を解説します。
この記事でわかること
- ランサムウェアとは何か(経営者向けの平易な説明)
- なぜ中小企業が狙われるのか(「うちは関係ない」が最も危ない理由)
- トヨタの工場停止事例から学ぶサプライチェーンリスク
- 対策が先送りになる構造と抜け出し方
- 技術知識ゼロでも今日始められる3つのこと
ランサムウェアとは何か|経営者が知るべき被害の実態
身代金要求型の攻撃
ランサムウェア(Ransomware)は、「Ransom(身代金)」と「Software(ソフトウェア)」を組み合わせた造語です。感染するとパソコンやサーバー内のファイルを暗号化して使えない状態にし、元に戻すための「鍵」と引き換えに金銭を要求するサイバー攻撃です。
要求金額は中小企業への攻撃でも数百万円〜数千万円規模になることがあります。払っても復号されない・払った後も別の脅迫が来るケースも報告されています。
2025年の新手口:暗号化しないランサムウェア
IPA情報セキュリティ白書2025では、従来の「暗号化して身代金を要求する」手口に加え、「データを窃取してその公開をちらつかせる脅迫(ノーウェアランサム)」が増加していることが報告されています。
ノーウェアランサムはデータを暗号化しないため、バックアップがあっても被害を防げません。「情報を公開されると取引先や顧客への影響が大きい」という中小企業の弱点を突く手口です。
復旧にかかる時間とコスト
感染が発覚してから業務を再開できるまでの期間は、数日〜数週間かかることがあります。その間の売上損失・対応費用・システム復旧費用・顧客への説明コストを合計すると、身代金以上の損失が発生するケースが多い。
ランサムウェア被害から中小企業が学ぶべきサプライチェーンリスク
「うちは関係ない」が最も危ない理由
中小企業の経営者から「うちみたいな小さい会社を誰が狙うんだ」という声を聞くことがあります。しかしこの認識が最も危険です。
攻撃者は大手企業を直接狙いません。大手企業のセキュリティは固い。しかし取引先の中小企業はセキュリティが手薄なことが多い。中小企業を経由して大手企業のシステムに侵入する、というのがサプライチェーン攻撃の構造です。
IPA情報セキュリティ白書2025によると、サプライチェーンや委託先を狙った攻撃は7年連続で「情報セキュリティ10大脅威」の2位にランクされています。中小企業は「標的」ではなく「踏み台」として狙われるのです。
トヨタの全工場停止事例が示すもの
2022年2月、トヨタの取引先企業がランサムウェア攻撃を受けました。その結果、トヨタは国内全14工場・28ラインの稼働を終日停止しました。約1万3,000台の生産に影響が出た事例です。
攻撃の侵入経路は取引先企業の子会社が使っていたリモート接続機器の脆弱性でした。大手の直接の取引先ではなく、その子会社が突破口になっています。
この事例が示すことは2つです。
中小企業が攻撃を受けると大手取引先の業務が止まる。 トヨタの「かんばん方式」は部品が滞りなく届くことを前提としています。取引先がランサムウェアで部品納入システムを止めると、大手の生産ライン全体が機能しなくなります。
自社だけの問題ではなくなる。 取引先の大手に損害を与えた場合、取引継続の見直しや損害賠償請求のリスクが生まれます。「自社のデータが暗号化されて困る」という問題より、「取引先に迷惑をかけて取引を打ち切られる」という経営リスクの方が深刻になる場合があります。
ランサムウェア対策が先送りになる構造
地震対策と同じ心理
個人でも、「地震が来たらどうするか心配だが、備えている人は一部」という現象があります。ランサムウェア対策も全く同じ構造です。
- 何から始めればいいか分からない
- やり始めると際限なくコストがかかりそうで怖い
- 今まで起きていないから「自分は大丈夫」という正常性バイアス
- 技術的な説明を見ても自社での対応イメージが湧かない
AI概要に出てくる「MFA・EDR・3-2-1バックアップ」という技術用語を見て、「うちでは無理だ」と感じて先送りにする経営者も多いと思います。
先送りにしている間に何が起きているか
ランサムウェアの攻撃者はVPN機器・リモートデスクトップの脆弱性を自動的にスキャンして侵入口を探しています。対策を後回しにしている間も、システムへの侵入試行は続いています。
「今まで大丈夫だった」は「今まで運が良かった」と同義かもしれません。
ランサムウェア対策として中小企業が今日決めるべき3つのこと
技術的な網羅より、「今日動き始めるための最初の3つ」に絞ります。技術知識がなくても判断できることだけに絞っています。
①バックアップの実効性を今すぐ確認する
「バックアップは取っている」という会社でも、確認すべきことが2点あります。
バックアップから実際に復元できるか確認したことがあるか。 バックアップを取っていても、復元テストをしていない・バックアップデータが壊れている・手順が誰も分からないという状態では、感染時に機能しません。
バックアップは本番環境と切り離されているか。 同じネットワーク上にバックアップがあると、ランサムウェアに一緒に暗号化されます。クラウドストレージ・外部メディア・ネットワークから切り離された場所にバックアップが必要です。
今日できることは「バックアップ担当者に聞く」だけです。「バックアップから復元できますか?試したことありますか?どこに保存していますか?」この3問に答えられない状態は、バックアップが機能していないリスクがあります。
②感染時の初動を1枚の紙に書いておく
感染が発覚したとき、パニック状態で最初の10分間に正しい行動が取れるかどうかが被害の大きさを決めます。
感染時に最初にやるべきことはこれです:
- LANケーブルを抜く・Wi-Fiをオフにする(感染拡大を防ぐ)
- 電源は切らない(メモリ上に証拠が残っているため)
- 誰に連絡するかを決めておく(社内の責任者・外部の専門家・取引先)
この手順を1枚の紙にして、全社員が見える場所に貼っておく。技術的な対策より先に、「起きたときに誰が何をするか」を決めておくことが経営として最初にやるべきことです。
③社員に「怪しいメールは開くな」と周知する
ランサムウェアの感染経路の多くはフィッシングメール(不審なリンクや添付ファイル)です。社員の誰か一人が不審なメールを開くことで感染が始まります。
今日できることは「怪しいメールは開かずに報告するよう周知する」だけです。コストゼロ・技術知識不要・今日できます。研修や訓練は後からでも間に合いますが、「知らなかった」という状態を今日なくすことが最初の一歩です。
まとめ|ランサムウェア対策は完璧を目指すより始めることが先
ランサムウェアは10年連続で組織部門の脅威1位です。サプライチェーン攻撃の増加により、中小企業は「標的」ではなく「踏み台」として狙われるリスクが高まっています。取引先の大手企業に損害を与えた場合、取引継続リスクという経営課題になります。
心配なのに先送りになるのは当然の心理です。しかしバックアップの確認・初動の紙1枚・社員への周知という3つは、技術知識がなくても今日始められます。
セキュリティ対策を何から始めるかでも整理していますが、完璧な対策より「始めること」が先です。地震対策で非常用持ち出し袋を一つ用意することが第一歩であるように、ランサムウェア対策もまず「バックアップは復元できるか」という問いを今日立てることから始まります。
セキュリティ担当者の社内育成でも整理していますが、担当者を置く前に「経営として何を守るか」を決めることが先です。ランサムウェアへの備えは、その問いへの答えを出す最初の契機になるかもしれません。
コメント