2026年3月第1週だけで、日本企業5社がサイバー攻撃の被害を公表しました。被害企業は世界的な電子部品メーカーから、従業員数十名の印刷会社まで。「うちは小さいから狙われない」──その思い込みが、最大のセキュリティホールです。
2026年3月第1週、5社がサイバー攻撃被害を公表
わずか1週間の間に、以下の5つの組織がサイバー攻撃の被害を公表しています。
| 企業・組織名 | 公表日 | 被害内容 |
|---|---|---|
| 村田製作所 | 3月6日 | 不正アクセスによりネットワークが侵害。取引先を含む社外データの漏洩可能性(日経新聞) |
| アドバンテスト | 3月4日 | サイバーセキュリティインシデント発生、ランサムウェア攻撃の可能性(適時開示) |
| 山藤三陽印刷 | 3月3日 | サーバーが外部不正アクセスを受けランサムウェア感染、情報漏洩の可能性(cybersecurity-jp) |
| 中央学院大学 | 3月5日 | VPN経由で侵入され、複数サーバーがランサムウェア被害(Security NEXT) |
| シード・プランニング | 3月2日 | 端末の一部がランサムウェアでファイル暗号化。全ネットワークを遮断し調査中(cybersecurity-jp) |
注目すべきは、5件中4件がランサムウェアによる被害だという点です。そして被害企業の規模は、売上高1兆円超の村田製作所から、従業員数十名規模の印刷会社まで幅広い。サイバー攻撃に企業規模は関係ありません。
「うちは中小だから狙われない」は完全な誤り
IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」では、ランサムウェアによる被害が10年連続で組織向け脅威の1位にランクインしています。
攻撃者が中小企業を狙う理由は明確です。
- セキュリティ対策が手薄:専任のIT担当者がいない企業が多く、攻撃の成功率が高い
- サプライチェーンの踏み台:中小企業を突破口にして、取引先の大企業のネットワークに侵入する手口が急増(経済産業省「サプライチェーン・サイバーセキュリティ対策」)
- 身代金を払いやすい:業務停止による損害が致命的なため、数百万円の身代金を支払ってしまうケースが後を絶たない
実際に今回の被害企業を見ても、山藤三陽印刷やシード・プランニングは中小規模の企業です。「うちは大丈夫」と思っている会社こそ、攻撃者にとって格好の標的なのです。
なぜランサムウェア被害が止まらないのか
攻撃の「サービス化」が進んでいる
近年、RaaS(Ransomware as a Service)と呼ばれる「ランサムウェアのサブスクリプション型サービス」がダークウェブで流通しています。高度な技術がなくても、月額料金を払えば誰でもランサムウェア攻撃を実行できる──そんな時代になっています。
警察庁の「サイバー空間をめぐる脅威の情勢等について」によれば、2025年のランサムウェア被害報告件数は過去最多を更新。攻撃の自動化と低コスト化により、中小企業を含むあらゆる規模の組織が標的になっています。
VPNとリモートデスクトップが狙われている
今回の中央学院大学の事例でも、VPN経由での侵入が確認されています。コロナ禍以降に急速に普及したVPN機器の脆弱性が、攻撃者の主要な侵入経路となっているのです。
JPCERT/CCの注意喚起によれば、特に以下の機器で脆弱性が悪用されるケースが多発しています。
- Fortinet FortiGateシリーズ
- Pulse Secure(現Ivanti)VPN
- Citrix ADC/Gateway
- リモートデスクトップ(RDP)の公開ポート
御社のVPN機器、最後にファームウェアを更新したのはいつですか?
今すぐできる5つの防御策
「何から手をつければいいかわからない」という経営者の方に、今日からできる優先度の高い5つの対策をお伝えします。
1. VPN・ネットワーク機器のファームウェアを最新にする
今回の事例でもVPN経由の侵入が確認されています。VPN機器やルーターのファームウェアが最新版かどうか、今すぐ確認してください。特にFortiGate、Pulse Secureを使っている場合は緊急度が高いです。
2. バックアップを「オフライン」で保管する
ランサムウェアはネットワーク上のバックアップも暗号化します。外付けHDDやクラウドの世代管理バックアップなど、ネットワークから切り離した場所にバックアップを取ることが重要です。「3-2-1ルール」(3つのコピー、2種類のメディア、1つはオフサイト)を実践しましょう。
3. 多要素認証(MFA)を全アカウントに導入する
パスワードだけでは守れません。VPN、メール、クラウドサービス、すべてのログインに多要素認証(MFA)を設定してください。これだけで不正アクセスの99%以上を防げるとMicrosoftが報告しています。
4. 従業員のセキュリティ意識を高める
攻撃の入口の多くはフィッシングメールです。「不審なメールは開かない」という一般論ではなく、実際のフィッシングメールを模した訓練を定期的に実施することで、組織全体の防御力が大幅に向上します。
5. 自社サイトのセキュリティ状態を把握する
ホームページでWordPressなどのCMSを使っている場合、プラグインの脆弱性やSSL証明書の期限切れが攻撃の入口になります。まずは現状を知ることが第一歩です。
当社では無料のWordPressセキュリティ診断を提供しています。URLを入力するだけで、7つの観点からセキュリティリスクを即座にチェックできます。
経産省「セキュリティ対策評価制度」が始まる
もうひとつ、中小企業の経営者が知っておくべき動きがあります。
経済産業省は2026年度末を目処に「セキュリティ対策評価制度」の運用を開始する予定です。企業のセキュリティ対策レベルを★3~★5で評価するこの制度が始まれば、取引条件にセキュリティ評価が含まれる時代が来ます。
つまり、セキュリティ対策が不十分な企業は、大企業との取引から外される可能性があるのです。「コストがかかるから後回し」では済まなくなります。
まとめ──明日は御社かもしれない
2026年3月第1週だけで5社が被害を公表。しかもその中には中小企業も含まれている──これが現実です。
サイバー攻撃は「起きるかどうか」ではなく、「いつ起きるか」の問題です。被害に遭ってから数千万円の復旧費用を払うのか、今のうちに対策を講じるのか。答えは明らかではないでしょうか。
まずは御社のセキュリティ状態を把握することから始めてみてください。
WPレスキューのセキュリティ支援
株式会社ネクスト・アクションでは、2,000サイト以上のWordPress保守・復旧実績をもとに、中小企業のセキュリティ対策を支援しています。
- 無料セキュリティ診断:URLを入力するだけで即座にチェック
- 無料相談:セキュリティ対策の優先順位をプロが提案
- WordPress保守サービス:月額9,800円から、24時間監視・復旧対応
「何から始めればいいかわからない」という方も、お気軽にご相談ください。
参考情報・出典
- IPA「情報セキュリティ10大脅威 2026」
- 警察庁「サイバー空間をめぐる脅威の情勢等について」
- 経済産業省「サイバーセキュリティ政策」
- JPCERT/CC「注意喚起情報」
- 日本経済新聞「村田製作所に不正アクセス」(2026年3月6日)
- Security NEXT「2026年3月のセキュリティニュース」
