2026年、ランサムウェア被害が中小企業を直撃しています。IPA情報セキュリティ10大脅威2026でランサム攻撃が組織向け脅威1位に選出されました。
警察庁集計では2025年被害226件中、中小企業が143件で6割超。読売新聞報道です。
目次
IPA10大脅威2026:ランサム攻撃が5年連続1位
IPAは1月29日、情報セキュリティ10大脅威2026を発表。
組織向け脅威1位は「ランサム攻撃による被害」。2021年以降5年連続で1位です。
攻撃者はEDR回避を巧みに行い、バックアップ破壊も増加。復旧が難航しています。
中小企業ランサムウェア被害の割合
JIPDEC調査では企業全体のランサムウェア感染経験が45%で中小企業も標的にされています。
中小企業が狙われる理由
中小企業はセキュリティ投資が少なく、VPN脆弱性や古いOSが侵入経路になっています。
過去には徳島県の半田病院で復旧に約2ヶ月・費用約2億円を要した事例があり、中小規模でも復旧に数ヶ月・数千万円かかるケースが報告されています。
- バックアップ8割が復元不能
- BCP策定企業は2割未満
- 警察庁調査:被害企業の約85%がバックアップからの復元に失敗(警察庁)
2026年3月:日本企業5社がサイバー攻撃被害を公表
3月第1週、村田製作所(不正アクセス)を含む5社がサイバー攻撃被害を公表。ネクスト・アクションCEOブログ。
報道事例:都内食品メーカーではVPN経由の侵入でサーバーが暗号化され、顧客情報約7,000件に影響が及びました。
- 復旧:約4ヶ月、数千万円
- 基幹システム(40年前OS)が免れ、電話・FAXで対応
- 倒産危機回避も二次被害懸念
サプライチェーン感染リスク急増
中小企業経由で取引先の大企業へ被害が波及するケースが増えています。セキュリティ対策Lab。
2026年事例:
- 穴吹興産:49.6万人情報漏洩恐れ(Qilinグループ)
- トキハ:27億円債務超過、42万件情報影響
- ホソカワミクロン:Everestグループ30GB窃取
- 信和:Everestグループによる同時攻撃(ホソカワミクロンと同日)
経済産業省もサプライチェーン対策を警告。中小企業が突破口になると警告しています。
中小企業向け低コストランサムウェア防衛策
高額ツールが不要なリスク低減可能策をお知らせします。
- 多要素認証(MFA)導入:全アカウントに適用
- オフラインバックアップ:3-2-1ルール(3コピー、2メディア、1オフライン)
- ソフトウェア更新:VPN・OSを最新化
- EDR導入検討:低コストクラウド型
- 従業員教育:フィッシング訓練
ランサムウェア対策チェックリスト
- バックアップは定期テスト実施? □はい □いいえ
- VPNパスワード変更・MFA設定済み? □はい □いいえ
- 不審メール報告ルール有? □はい □いいえ
- BCPにランサム対応記述? □はい □いいえ
- 外部専門家相談済み? □はい □いいえ
まとめ
ランサムウェアは大企業だけの問題ではありません。警察庁の統計が示すとおり、被害の6割超は中小企業で発生しています。
- IPA 10大脅威で5年連続1位。攻撃は年々巧妙化しています
- バックアップがあっても約85%が復元に失敗しているのが現状です
- サプライチェーン経由で取引先にまで被害が広がるリスクも指摘されています
- 多要素認証・オフラインバックアップ・ソフトウェア更新など、低コストでできる基本対策が最も有効とされています
「うちは小さいから狙われない」という時代は終わりました。上のチェックリストで1つでも「いいえ」があれば、今日から対策を始めましょう。
