オフィスあるある4コマ(第63回)
声の大きな社員
ランサムウエアの脅威は高止まりしている。情報セキュリティのリスクを周知するために独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」で、2016年から2026年まで11年連続でランクインし、今年(2026年)も組織編の1位の座を占めている。ランサムウエアが狙っているのは大企業だけではない。むしろ最近では中小企業が狙われる傾向も指摘される。どう対策を講じていけばよいのだろうか。
ランサムウエア攻撃の被害の約6割が中小企業―― その背景と狙われる理由
中小企業がランサムウエア攻撃で狙われる背景には、現在の企業間取引の形態が大きく影響している。製造業ではサプライチェーンが発達し、中小企業もその取引連携に組み込まれている。非製造業であっても大手企業とインターネットでデータをやり取りするケースは多い。攻撃者はそこを狙ってくる。
ランサムウエア攻撃の手口はさまざまだ。重要な情報を盗み出して公開すると脅す「二重脅迫」、サーバーのデータを暗号化してシステムを利用不能にし事業継続を困難にする手口、さらにPCを踏み台にして特定のサイトを繰り返し攻撃してシステムを停止させるDDoS(分散型サービス拒否)攻撃による風評被害などが代表例として挙げられる。
攻撃者の目的は金銭を引き出すためだ。こうした攻撃を止める代わりに身代金を要求してくる。相手が大企業であれば要求できる金額も大きいが、セキュリティレベルが高い。そのためよりセキュリティが脆弱な中小企業が狙われる。中小企業自体だけでなく、データのやり取りのチャネルを通して大企業にランサムウエアを感染させるケースもある。
実際に警察庁の発表によると、令和7年のランサムウエアの被害件数は226件あり、そのうちの約6割に当たる143件が中小企業だったという(※1)。大企業は64件であり、中小企業の被害件数はその約2.2倍に上る。被害を受けた業種は多岐にわたり、被害を受けた企業の5割以上で復旧に要した総額が1000万円以上に上っている(※1)。中小企業にとって経営に与える影響は決して小さくない。
※1 出典:警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」
ランサムウエア攻撃の主な手口としては、以下の4つが挙げられる。
・インターネットに接続されている機器の脆弱性の悪用
・盗み出したIDやパスワードによる不正なアクセス
・偽サイトやメールなどからのランサムウエアのダウンロード
・闇取引が行われているダークウェブでの認証情報などの取得
中小企業が実践すべきランサムウエア対策の3ステップ
中小企業としてどうランサムウエア攻撃に備えるべきなのだろうか。大きく3つのステップが考えられる。1つ目は情報セキュリティの基本を守るステップだ。それがあって次のステップに進める。2つ目は誰も信用しない「ゼロトラスト」の導入。そして3つ目はサイバー攻撃を想定した事業継続計画(BCP)の策定である。
1.情報セキュリティの基本(6カ条)
まずは情報セキュリティの基本を確実に押さえることが、ランサムウエア対策の土台となる。以下の6カ条を実践したい。
・基本ソフト(OS)やソフトウエアは常に最新の状態にする
・ウイルス対策ソフトを導入する
・パスワードを強化する
・共有設定を見直す
・バックアップを取る
・脅威や攻撃の手口を知る
2.誰も信用しない「ゼロトラスト」の導入
「ゼロトラスト」とは、社内外を問わずすべてのアクセスを信頼しないことを前提にセキュリティを設計する考え方だ。従来の「社内ネットワークは安全」という前提を捨て、あらゆる通信を検証・制御する。具体的な考えと取り組みとしては以下が挙げられる。
・守るべき情報は社内と外部の両方にあると認識する
・脅威も社内と外部の両方に存在すると認識する
・社内かVPN経由など、限定された場所からのみ利用させる
・ID・場所・デバイスに応じたアクセス制限を設ける
・IDとパスワード以外に、パスキーなどを組み合わせた多要素認証を活用する
3.サイバー攻撃を想定したBCPの策定
サイバー攻撃を想定したBCPを事前に策定しておくことで、被害発覚後の初動対応を迅速に行える。以下の項目を整備しておきたい。
・社内外の緊急時連絡網の整備
・初動対応の相談窓口の設定
・責任範囲・役割の明確化
・調査・復旧作業・広報対応の事前の取り決め
・攻撃を想定した復旧訓練の定期的な実施
こうした準備を整え、万が一の際はBCPに基づいて調査・復旧に取り組む必要がある。感染発覚時にはまず感染端末をネットワークから隔離し、被害拡大を防ぐ。この段階で電源をすぐに落とさない点も重要だ。電源を落とすとメモリー上のログなど侵入の痕跡が失われ、原因の追跡が困難になる恐れがある。
被害が発覚した場合は、早期に警察や関係機関へ連絡することも必要になるが、外部の専門家に対応を相談しながら進めるのが望ましい。そのためにも、いざという時に相談できる窓口をあらかじめ確認しておくことをおすすめする。
※掲載している情報は、記事執筆時点のものです。
執筆=高橋 秀典
【TP】
あわせて読みたい記事
連載バックナンバー
最新セキュリティマネジメント
- 第61回 ランサムウエア対策の実践ステップ <中小企業向け対策実践ガイド> 2026.06.29
- 第60回 AI悪用リスクにどう備えるか――情報セキュリティ10大脅威2026から学ぶ企業対策 2026.06.04
- 第59回 2026年版「情報セキュリティ10大脅威」:企業が把握すべき最新リスクと対策 2026.04.20
- 第58回 「多要素認証」って何だろう?~企業が知るべきメリットとデメリット 2026.03.16
- 第57回 「PPAP」が非推奨とされる理由と代替手段、今後の対策を解説 2026.02.16
- 第56回 パスキー認証で強固なセキュリティを確立しよう 2026.01.16
- 第55回 若手人材のセキュリティスキルアップ 2025.12.19
- 第54回 Windows 10サポート終了でリスク増大!偽セキュリティ詐欺に要注意 2025.11.07
- 第53回 セキュリティインシデント対応の基本3ステップ 2025.10.20
- 第52回 長期休暇中のセキュリティ危機管理のヒント:初動対応と復旧に向けた備え 2025.09.11
- 第51回 連休前に確認しよう!セキュリティ対策チェックリスト 2025.08.01
- 第50回 調査で見えてきた中小企業のセキュリティ対策の実態と投資効果 2025.07.16
- 第49回 選挙で影響力を増すSNS。有権者が注意すべきポイントを確認 2025.06.18
- 第48回 無料のセキュリティ相談窓口を活用してセキュリティリスクに立ち向かおう 2025.05.19
- 第47回 「情報セキュリティ10大脅威2025」活用法 2025.04.25
- 第46回 「情報セキュリティ10大脅威2025」決定 2025.02.13
- 第45回 情報セキュリティマネジメント試験でリテラシー向上 2025.01.31
- 第44回 サイバーセキュリティお助け隊サービスとは 2025.01.15
- 第43回 ウイルス感染警告のサポート詐欺にだまされない 2024.12.19
- 第42回 スマート工場のセキュリティリスク 2024.11.18
- 第41回 不注意なクリックなしでPCが突然操作不能に! 2024.10.17
- 第40回 認識すべき3原則と指示すべき重要10項目 2024.09.17
- 第39回 長期休暇前後のセキュリティ対策 2024.08.19
- 第38回 AI利用におけるセキュリティ対策 2024.07.18
- 第37回 中小企業の内部不正対策を強化する3つのポイント 2024.06.18
- 第36回 SECURITY ACTION宣言で全社の意識を変える 2024.05.23
- 第35回 2023年、新種のランサムウエア攻撃が増加 2024.04.15
- 第34回 企業に必須の情報セキュリティ対策の基本 2024.03.14
- 第33回 2023年の10大脅威から見えてきたもの 2024.02.19
- 第32回 偽セキュリティ警告を体験する 2024.01.22
- 第31回 IPAのイベントでセキュリティ最新動向を確認 2023.12.18
- 第30回 サプライチェーンの一員としてのセキュリティ対策 2023.11.20
- 第29回 最新のサイバー攻撃の実態を知って被害を防ぐ 2023.10.23
- 第28回 無料で簡単に自社の情報セキュリティレベルを診断 2023.09.21
- 第27回 工場のスマート化に潜むセキュリティリスク 2023.08.21
- 第26回 「不正のトライアングル」の観点で内部不正を防ぐ 2023.07.24
- 第25回 「SECURITY ACTION自己宣言」をしよう 2023.06.22
- 第24回 セキュリティインシデント対応は3ステップで 2023.05.29
- 第23回 無料教材でできる情報セキュリティ教育 2026.04.17
- 第22回 「情報セキュリティ10大脅威 2023」に学ぶ 2023.03.20
- 第21回 パスワード付き添付ファイルの送受信リスク 2023.02.24
- 第20回 J-CRATの活動報告から学ぶ国家支援型サイバー攻撃 2023.01.24
- 第19回 産業用制御システムのセキュリティ強化 2022.12.20
- 第18回 攻撃を再開したマルウエア「Emotet」の脅威 2022.11.24
- 第17回 ビジネスメール詐欺の手口と対策が丸わかり 2022.10.24
- 第16回 「情報セキュリティ白書2022」に学ぶ(後編) 2022.09.22
- 第15回 「情報セキュリティ白書2022」に学ぶ(前編) 2022.08.23
- 第14回 未来を担う高度IT人材の育成に注力 2022.07.26
- 第13回 「情報セキュリティ10大脅威2022」を確認 2022.06.21
- 第12回 サイバー攻撃情報の入手とその有効活用および提供 2022.05.24
- 第11回 サプライチェーン全体の対策及び状況把握 2022.04.19
- 第10回 インシデントによる被害に備えた復旧体制の整備 2022.03.15
- 第9回 インシデント発生時の緊急対応体制の整備 2022.02.15
- 第8回 セキュリティ対策におけるPDCAサイクルの実施 2022.01.18
- 第7回 リスクに対応するための仕組みの構築 2021.12.21
- 第6回 サイバーセキュリティリスクの把握と対応計画の策定 2021.11.16
- 第5回 サイバーセキュリティ対策のための資源確保 2021.10.19
- 第4回 セキュリティリスク管理体制の構築 2021.09.21
- 第3回 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 2021.08.24
- 第2回 サイバーセキュリティ経営の重要10項目 2021.07.20
- 第1回 サイバー空間潮流。サイバーセキュリティは経営問題 2021.06.22