最近、ランサムウェアのニュースが煽り気味に報じられていますが、いい意味でも悪い意味でも誤解を招く可能性があります。
これまで2,000サイト以上のWordPress復旧を担ってきた経験や、お付き合いをしている多くの経営者の意見を聞く限り、自分事/他人事の境界線が曖昧で誤解を生じている方が多くいらっしゃいます。
経営者の皆さまには、こうしたニュースを受けて正しい認識を持ち、かつ、適切な対処を行っていただきたいと考えています。
ランサムウェアのイメージと現場の実態のギャップ
ランサムウェアは、お金持ちの企業に対して、データを暗号化されて身代金を要求されるような派手な脅しをしているイメージがあると思います。ところが、実際の中身がわからないまま、なんでもかんでもランサムウェア扱いされている可能性もあります。
SNSやメールで脅しがあっても、実際は暗号化していない(データに被害がでていない)ただの”フェイク脅し”の可能性もあります。JIPDECの『企業IT利活用動向調査2026』では国内企業45.8%、製造業で57.1%が感染経験ありと出ていますが、実際のファイルはロボットにしかわからないようなコードなので、初めて触れる人は本当の感染なのか実情が分からないのではないかと思います。
IPAの『情報セキュリティ10大脅威2026』でも組織向け脅威1位、かつ、中小企業被害6割超ですが、サプライチェーン攻撃を受けるような被害が中小企業に当てはまるかどうかしっかり見極める必要があります。
2,000サイト復旧で見た本当の被害パターン
他方、身近なサイバーセキュリティ被害もかなり増えています。サプライチェーンや顧客情報流出を狙った派手なサイバー攻撃ではなく、企業のWEBサイトを破壊(乗っ取り)する被害がかなりあるという事実もあります。
弊社が過去に手がけたWEBサイトのセキュリティ事案では、脅しメールや脅しファイルが入ったものはありますが、データがガチガチに暗号化されて復旧不能になるようなものは稀です。実際の被害はもっと地味で、ログイン画面がロックされて入れない、復旧作業中に再びスパムが生成されるループに陥る、他のサイトやサーバーに感染が広がるといった被害が多いです。
この直近1週間だけでも、WordPressプラグイン・テーマの脆弱性14件が報告され、未認証攻撃可能なものが5件もあります。ボットが無作為に試して引っかかるパターンがほとんどです。こうした地味な被害は一般的に表に出てこないのではないかと思っています。JIPDECの『企業IT利活用動向調査2026』にこうした被害も含まれているのかどうなのかも判断がつきません。
中小企業社長に一番伝えたい3つの教訓
サイバー攻撃の大なり小なりの共通点としては「誰かれかまわず無作為に狙われる」という認識を持つことです。お金持ちだから大企業だからと特別に狙われたわけではなく、ボットが脆弱性を探っています。穴があるから(穴が開いたから)攻撃をしています。
次に大事なこととして、「会社のITの全体像を把握すること」をしっかりしないとなりません。どのようなシステムが入っていてどこが外部と繋がっていて、どこにどういう情報(顧客情報、機密情報)が入っていてどういうセキュリティシステムが入っているなどです。必ず脆弱性があるという意識を持ち、脆弱性の可能性を対処します。
3つ目は、従業員がどういう方法でネットにつなげていて、どういうセキュリティ管理をしているかといった、「誰が何を管理しているかを把握すること」です。サイト、サーバー、プラグイン、ドメイン・・・責任者(ID管理者)が曖昧な会社が多いです。社員のだれが持っているのかや、外注、辞めた社員など「誰かがもっているはず」という認識は絶対に避けないとなりません。経営者が率先してこれらを明確にしないと、被害は止まりません。
ランサムウェア報道の煽りに惑わされないために
メディアの報道を読む限りでは、ランサムウェア=お金のある企業/恨みを買っている企業=即全データ消失というイメージが独り歩きしているようにみえてしまいます。読者の皆さまには、自分のサイトで何が起きうるかを正確に理解していただき、統計数字も参考にしつつ、中身を知り、過度に恐れずに日常の備えをしていただきたいと思います。
今すぐ行動を:正しい認識でリスクを減らす
セキュリティは”今すぐ実行”が基本ルールです。今すぐに自社の状況を確認しましょう。①自分事と思うこと、②システム全体の脆弱性を知ること、③教育と管理。これで被害の8割は防げます。ぜひ、やってみてください。
