ネットワーク

ランサムウェアに狙われやすい中小企業の特徴7選|被害事例から学ぶ予防対策

ランサムウェアは、大企業だけの問題ではありません。

中小企業でも、古い VPN 機器やバックアップ不備がきっかけで、業務が止まることがあります。

ただし、最初から大きな対策を入れる必要はありません。

まずは、自社が狙われやすい状態かを整理することが大切です。

この記事では、ランサムウェアに狙われやすい中小企業の特徴と、明日から始めやすい対策を整理します。

なぜ中小企業が標的なのか

ランサムウェアの被害は、企業規模だけで決まりません。

警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、令和5年のランサムウェア被害件数は197件でした。

このうち102件、つまり52%が中小企業の被害でした。

さらに令和6年のデータでは、被害件数は222件に増えています。

そのうち約63%にあたる140件が、中小企業の被害と報告されています。

中小企業の被害件数は、前年比で37%増えています。

また、IPA「情報セキュリティ10大脅威 2024」でも、組織向け脅威の第1位は「ランサムウェアによる被害」です。

同脅威は、2021年から4年連続で1位とされています。

つまり、中小企業にとっても見過ごせない課題です。

理由1:対策が後回しになりやすい

中小企業では、専任のセキュリティ担当者を置きにくい場合があります。

日々の業務を優先する中で、VPN や OS の更新が後回しになることがあります。

これは「弱い」からではありません。

人員や予算が限られるという構造的な制約です。

理由2:取引先の入口にされやすい

攻撃者は、直接大企業だけを狙うとは限りません。

取引先や委託先を経由して侵入することがあります。

製造業では、図面、見積書、受発注データを外部とやり取りします。

そのため、中小企業もサプライチェーンの一部として見られます。

理由3:復旧体制が決まっていない

ランサムウェア被害で差が出るのは、復旧の準備です。

バックアップがあっても、戻せるかを試していない場合があります。

また、誰が判断し、どこへ連絡するかが決まっていないこともあります。

被害を減らすには、予防だけでなく復旧手順も必要です。

ランサムウェアに狙われやすい中小企業の特徴7選

ここからは、狙われやすい中小企業の特徴を7つに分けて整理します。

当てはまる項目が多いほど、早めに棚卸しする価値があります。

特徴1:古いVPNを使い続けている

VPN は、社外や拠点から社内へ安全に接続する仕組みです。

一方で、古い VPN 機器を更新せずに使うと、侵入経路になることがあります。

Fortinet などの機器を使う場合も、型番、保守期限、ファームウェアを確認することが重要です。

特に中小企業では、VPN 機器を一度導入したあと、更新の時期を把握していないことがあります。

保守期限が切れていても、必ず通知に気付けるとは限りません。

その結果、既知の脆弱性を抱えたまま運用が続くことがあります。

  • VPN 機器の脆弱性が放置されます。
  • 攻撃者が認証情報や脆弱性を使って侵入します。
  • 社内サーバーや共有フォルダへ横展開されます。

警察庁の同資料では、ランサムウェアの感染経路のうち、VPN 機器からの侵入が63%でした。

古い機器を放置するリスクは、統計上も見えています。

無線LANや有線LANを含めた業務インフラの不安定さは、ランサムウェア以外にも生産性を下げる要因になります。詳しくは オフィスのWi-Fiが遅い…7つの原因と対策 もあわせてご確認ください。

初動チェック:VPN 機器の型番、ファームウェア、保守期限を確認してください。管理画面へ外部から直接入れないかも見直しましょう。

特徴2:RDPを開放している

RDP は、離れた場所から PC やサーバーを操作する仕組みです。

便利な一方で、インターネットから直接見える状態は注意が必要です。

特に、強いパスワードや多要素認証がない場合は、早めに確認してください。

RDP では、TCP ポート3389 が使われることが一般的です。

一時的なリモート対応のために開放した設定が、そのまま残ることがあります。

臨時対応のつもりでも、放置されると外部から見える入口になります。

  • RDP の入口が外部から見える状態になります。
  • パスワード試行や流出情報でログインされます。
  • 侵入後にサーバーや共有データが暗号化されます。

警察庁の同資料によると、リモートデスクトップからの侵入は18%でした。

VPN と RDP を合わせると、感染経路の約8割を占めます。

この2点は、早めに確認したい項目です。

初動チェック:外部公開している RDP がないか確認してください。必要な場合も、VPN や多要素認証を検討しましょう。

特徴3:メール教育が形だけになっている

ランサムウェアは、メールを入口にすることがあります。

添付ファイルや URL を開いたことが、感染のきっかけになる場合です。

年1回の注意喚起だけでは、日々の業務に定着しにくいことがあります。

たとえば、Emotet のようなマルウェアは、実在するやり取りに見えるメールを悪用することがあります。

請求書、納品書、見積依頼などは、経理や総務が開きやすい文面です。

「見慣れた業務メール」に見えるほど、判断が難しくなります。

  • 請求書や通知を装ったメールが届きます。
  • 担当者が添付ファイルや URL を開きます。
  • 認証情報の窃取やマルウェア感染につながります。

初動チェック:添付ファイルを開く前の確認ルールを決めましょう。外部メールが多い部署から見直すと現実的です。

特徴4:バックアップが同じネットワーク内だけにある

バックアップを取っていても、同じネットワーク内だけでは安心とはいえません。

ランサムウェアは、接続された共有フォルダやバックアップ先も暗号化することがあります。

重要なのは、保存していることではなく、戻せる状態にあることです。

よく使われる考え方に、3-2-1ルールがあります。

これは、3つのコピーを持ち、2種類の媒体に分け、1つは別場所へ保管する考え方です。

すべての会社が同じ構成にする必要はありませんが、同一ネットワーク内だけに置かない視点は重要です。

  • NAS や共有フォルダへバックアップが保存されます。
  • 感染端末から同じネットワーク上の保存先へ到達されます。
  • バックアップも暗号化され、復元が難しくなります。

初動チェック:バックアップ先が同一ネットワーク内だけか確認してください。別媒体、別場所、復元テストの有無も見直しましょう。

特徴5:UTMが未導入または更新されていない

UTM は、ファイアウォールや Web フィルタリングなどをまとめて扱う機器です。

UTM は万能ではありませんが、入口対策の1つになります。

導入済みでも、ライセンス切れや更新停止があると効果が弱まります。

FortiGate や Cisco Meraki MX などを使っている場合も、契約状態の確認が必要です。

特に、初期導入時のままルールが増え続けると、目的が分からない設定が残ることがあります。

守るべき通信と不要な通信を見直すことが大切です。

  • 悪性サイトや不審通信の検知が弱くなります。
  • 古いルールが残り、必要な通信も見えにくくなります。
  • 感染後の外部通信を見逃す可能性があります。

初動チェック:UTM のライセンス期限、ログ確認状況、ルールの棚卸し状況を確認してください。

特徴6:OSやファームウェア更新が後回し

OS や機器の更新は、業務停止を避けるために後回しにされがちです。

ただし、サポートが切れた環境は、脆弱性対策が難しくなります。

たとえば、Windows Server 2012 R2 は、通常の延長サポートが2023年10月10日に終了しています。

また、Windows 10 も2025年10月14日にサポート終了を迎えています。

パッチを当てたときの影響が読めず、更新を止めている会社もあります。

その場合は、更新しない理由と代替策を整理する必要があります。

  • サポート切れの OS や機器が残ります。
  • 既知の脆弱性が悪用されやすくなります。
  • 侵入後に管理者権限を奪われることがあります。

初動チェック:サーバー OS、NAS、ルーター、UTM、スイッチの更新状況を一覧にしてください。

特徴7:BCPが文書だけで訓練していない

BCP は、事業継続計画のことです。

文書があっても、実際の復旧手順を試していない場合があります。

ランサムウェア対応では、誰が判断するかも重要です。

文書だけの BCP は、現場で使えないことがあります。

たとえば、バックアップ担当者が不在のときに誰が復旧するかが決まっていない場合です。

最低でも年1回は、連絡、判断、復旧の流れを確認すると安心です。

  • 被害発生時に、連絡先が分からない状態になります。
  • どの業務を先に復旧するか決められません。
  • 復旧判断が遅れ、停止時間が長くなります。

初動チェック:復旧優先システムを3つ決めてください。連絡先、判断者、代替業務の手順も確認しましょう。

ランサムウェア被害後の損失額を試算する

ランサムウェアの損失は、身代金だけではありません。

製造業のネットワーク再構築事例では、こうした課題に対する具体的な対策と、その効果指標を整理しています。中小製造業のネットワーク再構築事例 をご覧いただくと、対策後の業務改善イメージが具体的になります。

調査費、復旧費、外部専門家への依頼費、機器再構築費が発生することがあります。

さらに、操業停止による売上機会の損失もあります。

JNSA の「インシデント損害額調査レポート」では、復旧費、調査費、逸失利益、補償費などの内訳が整理されています。

レポートで示されている試算式を用いることで、自社規模での想定損害額を概算できます。

製造業を例にとると、操業停止1日あたりの逸失利益は数百万円〜数千万円規模に達することがあります。

復旧期間が1週間を超えれば、被害総額が億単位に膨らむ可能性もあります。

  • 復旧コスト:調査、再構築、データ復元、専門家対応
  • 逸失利益:工場停止、出荷遅れ、見積提出遅れ
  • 信用対応:取引先説明、監査対応、再発防止資料作成

身代金の支払いについては、慎重な判断が必要です。

FBI は、支払ってもデータが戻る保証はないと説明しています。

また、攻撃者の活動を助ける可能性があるため、支払いを支持していません。

つまり、被害後の交渉より、復旧できる準備の方が重要です。

損失額を正確に見積もる前に、まずは自社がどの入口を放置しているかを把握することが大切です。

次のチェックリストでは、ランサムウェア対策の初期確認項目を整理できます。

セルフチェック用 / 無料配布

自社のランサムウェア対策状況を7項目で診断

本記事で紹介した7つの特徴を、自社向けにチェックできる無料PDFを用意しました。経営層への報告資料・社内会議のたたき台としてもご活用いただけます。

  • 7項目のチェックボックスで自社の弱点が一目で分かる
  • 優先度ランキング付きで「次に何を直すか」が明確に
  • UTM・バックアップ・BCPまで網羅した実践的内容
無料チェックリストをダウンロード

メールアドレス登録不要・PDFすぐ表示

中小企業がランサムウェア対策を進める3段階

ランサムウェア対策は、一度にすべて行う必要はありません。

無料でできる確認、低コストで始める対策、本格的な運用強化に分けると進めやすくなります。

第1段階:無料でできる対策

費用目安:無料〜社内工数

最初に行うべきことは、現状の棚卸しです。

機器を買う前に、古い入口や戻せないバックアップがないかを確認します。

  • バックアップ先と復元テストの有無を確認する
  • パスワードと管理者権限を見直す
  • 不要な RDP を閉じる
  • OS とファームウェア更新を確認する
  • 社員向けのメール訓練を行う

この段階は、社内だけでも始められます。

第2段階:低コストで始める対策

費用目安:月数万円〜

次に、入口対策と検知の仕組みを整えます。

業務規模に合わせ、必要なものから入れることが大切です。

  • UTM やメールフィルタを導入する
  • EDR など端末監視を検討する
  • 社員教育サービスを利用する
  • バックアップを別媒体や別場所へ分ける
  • サイバー保険を検討する

ここでも、目的は高価なものを入れることではありません。

自社の弱い入口を先にふさぐことです。

第3段階:本格的な対策

費用目安:月数十万円〜

重要システムが多い企業では、運用体制まで含めた対策が必要です。

専任担当者が少ない企業ほど、外部支援の活用も選択肢になります。

  • ゼロトラストを見据えた認証・端末管理を整える
  • SOC や MDR による監視運用を検討する
  • インシデント対応訓練を行う
  • 取引先連携を含む BCP を見直す

本格対策では、導入後の運用が重要です。

誰がログを見て、誰が判断するかまで決めましょう。

ランサムウェア対策の自社セルフチェック

ここまでの7つの特徴に、いくつ当てはまるでしょうか。

1つでも思い当たる項目があれば、まずは記録しておきましょう。

3つ以上ある場合は、優先順位を付けることをおすすめします。

すべて当てはまる場合でも、焦る必要はありません。

入口対策、バックアップ、復旧手順の順に整理すると進めやすくなります。

ここまで読んで、1つでも思い当たる項目があれば、まずは自社の状態を整理してみてください。

チェックリストは、社内説明や初回相談の準備にも使えます。

記事を読まれた方へ

最初の1歩として、自社の対策状況を可視化しませんか?

完璧な対策は1日では作れません。まずは7項目のチェックリストで「どこから直すか」を整理することで、最小コストで最大のリスク低減につながります。

無料チェックリストをダウンロード メールアドレス登録不要 / PDFそのままダウンロード 対策の優先順位をプロと一緒に整理する(30分・無料)

まとめ:明日から始める一手

ランサムウェア対策で大切なのは、完璧を目指すことではありません。

まず、止まると困る業務を決めることです。

次に、その業務のデータが戻せるかを確認します。

明日から始めるなら、バックアップ点検をおすすめします。

バックアップがあるかだけでは不十分です。

最後に復元した日、保存場所、管理者権限を確認しましょう。

あわせて、VPN、RDP、UTM、OS 更新も見直します。

セキュリティ対策の業者選びでお迷いの場合は、ネットワーク構築業者の選び方10チェックポイント も参考にしてください。

対策の優先順位を一緒に確認したい場合は、30分の無料オンライン相談でも現状整理をお手伝いできます。

まずは、取っているバックアップが本当に戻せるか。

そこから確認してみてください。

よくある質問

中小企業でもランサムウェア対策は必要ですか?

必要です。専任担当者や予算が限られる中小企業では、更新遅れやバックアップ不備が起きやすい場合があります。まずは VPN、RDP、バックアップ、UTM の状態を確認しましょう。

まず何から確認すればよいですか?

最初は、バックアップが本当に戻せるかを確認してください。次に、VPN 機器、RDP公開、OS更新、UTM のライセンス期限を見直すと、優先順位を付けやすくなります。

バックアップを取っていれば安心ですか?

バックアップが同じネットワーク内だけにある場合、一緒に暗号化される可能性があります。別媒体や別場所への保存に加え、復元テストまで行うことが重要です。

UTMを入れればランサムウェアを防げますか?

UTM は入口対策の1つとして有効です。ただし、それだけで十分とはいえません。メール教育、更新管理、権限整理、バックアップ、復旧手順を組み合わせて考える必要があります。

身代金を払えば復旧できますか?

支払ってもデータが戻るとは限りません。FBI も身代金支払いを支持していません。まずは外部専門家や警察へ相談し、バックアップからの復元可否を確認することが重要です。

Post Views: 92
keyboard_arrow_up