「うちは狙われない」が一番危ない|中小企業のランサムウェア対策の基本

「ランサムウェアなんて、うちのような小さな会社には関係ない」——そう感じていらっしゃる経営者の方は少なくありません。でも、実態は違います。

2022年2月、トヨタ自動車の取引先である部品メーカー1社がランサムウェアの被害に遭ったことで、トヨタの国内全工場が一時停止しました。自社が直接狙われていなくても、取引先を経由して被害が広がる。ランサムウェアとは、それほど影響範囲の大きい脅威になっています。

警察庁のまとめによれば、国内で報告されたランサムウェア被害のうち、約6割が中小企業です。「狙われるのは大企業だけ」という思い込みは、もはや通用しません。むしろ、セキュリティ対策の手が回りにくい中小企業ほど、攻撃者から「入りやすい相手」として見られているのが現状です。

この記事では、専門の担当者がいない中小企業でも取り組める「最低限のラインの守り」を、データのバックアップをメインにお伝えします。「高度な監視システムを導入する」といった話ではなく、「まずは何から手をつけるべきなのか?」に絞って事実のみをお伝えします。

目次

ランサムウェアとは何か?なぜ中小企業が狙われるのか?

そもそもランサムウェアがどういうもので、なぜ規模の小さい会社が標的になるのか?という部分を確認しておきましょう。この部分を押さえておくと、後半の「なぜ対策が必要なのか?」まで話に筋が通ります。

データを人質に取る「二重の脅迫」

ランサムウェアは、パソコンやサーバーの中のデータを勝手に暗号化して開けなくし、「元に戻してほしければ金銭を払え」と要求する不正プログラムです。「身代金要求型ウイルス」とも呼ばれます。

近年はこれに加えて、「支払わなければ盗んだデータを公開する」と脅す手口が主流になっています。データを暗号化して業務を止めつつ、情報公開もちらつかせる。警察が手口を確認できた被害の8割以上をこの「二重の脅迫(ダブルエクストーション)」が占めています。

つまり、たとえバックアップから会社のデータを復元できたとしても、「情報を公開する」という脅しは回避できないということです。

「小さいから安全」ではなく「小さいから狙われる」

かつては、ウイルスを使った攻撃には高度な技術が必要でした。ところが今は、攻撃用のプログラムをサービスとして貸し出す仕組み(RaaS)が広がり、技術力の乏しい攻撃者でもランサムウェアを扱えるようになっています。攻撃の「裾野」が広がった結果、対策の薄い中小企業に被害が集中しているのです。

中小企業が狙われる理由はシンプルです。中小企業では、情報システムの担当者が他の業務と兼任だったり、そもそも専任者がいなかったりします。ハードウェア・ソフトウェアが「とりあえず動いている」状態のまま更新が後回しになり、そこが穴になります。

取引先ごと巻き込まれる「サプライチェーン攻撃」

もう1つ中小企業が意識しておきたいのが、自社が「大企業への入口」として狙われるケースです。冒頭で触れたトヨタの事例が、まさにこれにあたります。

2022年2月、トヨタの一次取引先である小島プレス工業がランサムウェアの被害を受けました。きっかけは、子会社が使っていたリモート接続機器の弱点でした。そこから親会社のネットワークへ侵入され、トヨタとの部品受発注システムが使えなくなります。結果として、トヨタは国内14工場28ラインを1日停止し、約1万3千台の生産に影響が出ました。

トヨタ自身のセキュリティが破られたわけではありません。取引先1社が止まったことで、供給網全体が止まったのです。「うちが狙われても失うものは少ない」と考えていても、取引先に損害を与えれば、賠償や取引停止といった形で自社に跳ね返ってきます。中小企業がサプライチェーンの一員である以上、これは他人事ではありません。

感染はどこから起きるのか?

ランサムウェアの対策を考える前に、攻撃者がどこから入ってくるのかを知っておくべきです。なぜなら、「入口」を塞ぐことが、最も費用対効果の高い対策だからです。

更新されていない機器の弱点をつかれる

いちばん多い侵入経路は、社外から社内ネットワークにつなぐための機器——VPN機器やリモートデスクトップの弱点です。警察庁の調査でも、侵入経路の過半数がVPN機器、次いでリモートデスクトップとなっており、テレワークで使う機器の弱点や、簡単なパスワードが突破口になっています。

ここで思い出したいのが、徳島県のつるぎ町立半田病院の事例です。

2021年10月末の深夜、この病院では複数のプリンターから英語の脅迫文が、用紙が尽きるまで印刷され続けました。ランサムウェア感染の発覚です。約8万5千人分の電子カルテが閲覧できなくなり、会計システムも止まり、新規患者の受け入れを停止する事態に陥りました。通常の診療がほぼ元に戻るまで約2か月、復旧費用は2億円以上を要しています。

原因は、VPN機器の弱点が長期間放置されていたことでした。背景には「社内だけで使う閉じたネットワークだから大丈夫」という思い込みがあり、IT担当は1人しかいませんでした。人口8千人ほどの町の病院が、これだけの被害を受けたのです。「うちのような規模は狙われない」という感覚が、いかに危ういかがわかる事例だと思います

委託先・取引先が入口になる

侵入経路は、自社の機器だけとは限りません。取引先や委託先が踏み台にされることもあります。

2022年10月に被害を受けた大阪急性期・総合医療センターの事案では、侵入経路は患者給食の委託業者を経由したものだったと報告されています。自社のセキュリティをどれだけ固めても、つながっている相手に穴があれば、そこから入られてしまう。だからこそ、後述する「バックアップという最後の砦」が重要になります。

使い回しのパスワードと、消し忘れたアカウント

メールの添付ファイルや偽リンク、そして使い回されたパスワード、退職者の消し忘れアカウントも、代表的なランサムウェアの入口です。

これらは従業員の心がけで簡単に守れる部分です。セキュリティに対する意識を向上させ、お互いに穴を作らないように声掛けをしっかりする。こうしたシンプルな努力で解決できる部分です。

最後の砦になるのはバックアップ

ここまで代表的な侵入経路を見てきましたが、正直に申し上げると、ウイルスへの感染を100%防ぐことはできません。だからこそ、「万が一やられても、業務を再開できる」状態をつくることが、対策の要となります。それはすなわちバックアップを取るです。

コピーを分けて持つという考え方

バックアップの基本として世界的に知られているのが、コピーを分散させる考え方です。

データのコピーを3つ持ち、そのうち2つは異なる種類の媒体(例:NASとクラウド)に保存し、少なくとも1つは離れた場所やオフラインで保管する。この「分けて持つ」という発想が、いざというときの復旧スピードを大きく左右します

ランサムウェアはバックアップも狙いに来る

ここで、注意しなければならないポイントがあります。それは攻撃者はバックアップも暗号化しに来るということです。

警察庁の調査には、はっとさせられる数字があります。ある半期の被害で、バックアップを取得していた61件のうち、実際に復元できたのはわずか14件でした。復元できなかった理由の多くは「バックアップも一緒に暗号化されていた」というものです。

これはつまり、「バックアップを取っている」だけでは不十分だということを意味します。常時ネットワークにつながったバックアップは、本体もろとも暗号化されてしまいます。ネットワークから切り離して保管する、あるいは後から書き換えられない形で保存する仕組みを、少なくとも1系統は持っておくことが欠かせません

手軽に始めるならクラウドバックアップ

「機器を置く場所も管理する人もいない」という場合は、クラウドへのバックアップから始めるのが手軽です。離れた場所に自動でコピーが保管され、「1つは遠隔地へ」という条件も満たしやすくなります。

以下の記事では主要なクラウドストレージサービスを比較しています。ぜひ、参考にしてください。

事務所でバックアップを取るなら

社内で手元にバックアップを持つなら、NAS(ネットワーク接続の共有ストレージ)が現実的な選択肢です。スナップショット機能や、書き換え防止の設定に対応した製品を選ぶと、ランサムウェア対策として一段強くなります。

NASの選び方については別記事で詳しく解説しています。併せてご覧ください。

感染を防ぐために最低限やっておきたいこと

バックアップという「守りの本丸」を固めることも重要ですが、そもそも自社を感染しにくくするための備えも並行して進めましょう。

機器とソフトを最新の状態に保つ

半田病院の事例が示すとおり、ハードウェアやソフトウェアの更新の放置は最大の穴になります。パソコンやサーバーのOS、そして社外接続に使うVPN機器やルーターは、更新の通知が来たら後回しにせずすぐ適用する。この当たり前を徹底するだけで、既知の弱点を突く攻撃の多くは防げます。

サポートが終了した古いOSを使い続けるのは、特に危険です。すぐにOSを買い替えるか、PCごと替えることを検討してください。

パスワードと二段階認証を見直す

推測されやすいパスワードや、パスワードの複数サービスでの使い回しは、侵入者にヒントを与えることになります。重要なアカウントには二段階認証を設定し、パスワードは管理ツールで統制するのが望ましいです。

この2つは、効果が大きく比較的手間が少ないので、すぐに取り入れるようにしてください。

ウイルス対策ソフトは「入れれば安心」ではない

ウイルス対策ソフトはもちろん必要ですが、「入れてあるから大丈夫」とは言い切れません。

半田病院では、システムとの相性を理由にウイルス対策ソフトを止めていたことも指摘されました。導入するだけでなく、きちんと稼働している状態を保つことが大切です。近年はより高度な検知の仕組みもありますが、まずは基本のソフトを正しく動かすことが先決です。

もし感染した時にやってはいけない初動

どれだけランサムウェアに備えていても、被害に遭う可能性はゼロにはなりません。いざというときに慌てないよう、初動の要点だけはあらかじめ押さえておきましょう。

まずネットワークから切り離す

ランサムウェアの感染に気づいたら、被害を広げないために、その端末をネットワークから切り離すのが第一歩です。半田病院でも、被害拡大を防ぐためにネットワークを遮断する判断が取られました。ただし、電源をいきなり落とすと調査に必要な情報が失われることもあるため、判断に迷う場合は専門家への連絡を優先してください。

身代金は払うべきか?

結論から申し上げると、身代金の支払いは推奨されません。払ってもデータが戻る保証はなく、さらなる攻撃の標的になるリスクを高めるだけだからです。半田病院も、病院として身代金を支払わない方針を取りました。

その一方で、復旧のコストは決して軽くありません。復旧に1週間以上かかった組織は約5割、復旧費用が1,000万円以上に達した組織も約6割にのぼります。「払わなければ簡単に済む」わけではないからこそ、事前のバックアップと備えが効いてきます。

相談・通報の窓口を知っておく

被害に遭ったら、独立行政法人情報処理推進機構(IPA)や警察のサイバー窓口、暗号化されたデータの復号ツールを提供する国際プロジェクト「No More Ransom」などが相談先になります。

IPA サイバーセキュリティ
相談・届出窓口https://www.ipa.go.jp/security/support/soudan.html
ランサムウェア特設ページhttps://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html

警察庁 サイバー事案に関する相談窓口https://www.npa.go.jp/bureau/cyber/soudan.html

No More Ransomhttps://www.nomoreransom.org

事業を止めないための備えにつなげる

ここまでお伝えしてきたバックアップは、「データを守る」ことにとどまりません。

担当者の不在や災害も含めて「事業を止めない」ための計画の一部として位置づけると、対策が一段引き締まります。誰が、どの順番で、何を復旧させるのか?そこまで決めておくことで、いざというときの復旧が現実的なものになります。

とはいえ、専任の担当者がいない中小企業が、そこまでの対策を完璧にこなすのは容易ではありません。無理に自社で抱え込むより、相談できる相手を持っておくことも、立派な対策のひとつです。

現在取引のあるシステム会社や、IT管理を支援してくれるパートナーに、自社の状況を一度点検してもらう。それだけでも、放置されている穴に気づける可能性は高まります。

AIで巧妙になる攻撃と、変わらない守りの基本

近年は攻撃を仕掛ける側もAIを使い始めています。

生成AIを使えば、不自然さのない日本語のフィッシングメールや、取引先になりすました詐欺の文面を大量に作れてしまいます。経営者の声や映像をディープフェイクでまねる手口も報告されており、IPAの「情報セキュリティ10大脅威2026」でも、AIをめぐるサイバーリスクが初めて取り上げられました。こうした攻撃の高度化は、今後も進んでいくと考えられます。

ただし、過度に恐れる必要はありません。攻撃がどれだけ巧妙になっても、その多くが成功する糸口は、結局のところ「更新されていない機器」「弱いパスワードや使い回し」「バックアップがない」といった、昔から変わらない基本的な穴です。

言い換えれば、この記事でお伝えしてきたバックアップ・ソフトの更新・二段階認証といった基本的な対策こそが、AIの時代でもっとも効く守りになります。高価な専用ツールをあわてて導入する前に、まずは基本を固めることが、堅牢なセキュリティを築くためのいちばんの近道です。

まとめ

この記事では、中小企業のランサムウェア対策について話してきました。

中小企業の対策においては、「完璧に防ぐ」ことではなく、「やられても戻せる」状態をつくることが軸になります。最後に、押さえておきたい要点を振り返りましょう。

  • 被害の約6割は中小企業。
  • 侵入経路の多くは、更新されていないVPN機器やリモート接続。
  • 取引先や委託先が入口になることもある。
  • 最後の砦はバックアップ。必ずオフラインか書き換え防止で保管する。
  • 感染しても身代金は払わない。

まずはバックアップの取り方を見直すこと。そして機器の更新と二段階認証。この3つから始めれば、最低限の防御は固められます。できるところから、一つずつ整えていきましょう。


出典(本文中の統計・事例)

  • 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(被害報告件数・中小企業の割合・侵入経路・二重恐喝の割合)
  • 警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」(バックアップの復元可否)
  • トヨタ自動車・小島プレス工業 各社公表資料および報道(2022年2月〜3月)
  • 徳島県つるぎ町立半田病院「コンピュータウイルス感染事案有識者会議調査報告書」(2022年6月公表)
  • 大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会 報告書(2022年)
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

1981年生まれ、名古屋出身。

2008年よりドイツ・ベルリンに在住。
ドイツの国家資格である職業訓練プログラム「アプリケーション開発専門IT技術者」を修了後、医療系自社開発企業にてデスクトップ・Webアプリケーションの開発に4年間従事。
2022年よりドイツの大手SIer「Adesso SE」にて、フルスタックエンジニアとしてリードポジションを務める。

2027年に日本へ帰国し、日本の中小企業へのAI導入支援を本格的に開始予定。

著書「AI時代の海外移住戦略

コメント

コメントする

目次