結論:取引先経由の攻撃は、自社の対策だけでは防げない

2026年4月9日、医療系出版社メディカ出版が約77.2万件の個人情報漏洩のおそれがあると公表した。3月13日に発生したランサムウェア攻撃によるものだ。

この数字は「大企業だから」ではない。Cisco Talos の調査によると、2025年のランサムウェア被害の約7割は資本金10億円未満の中小企業に集中している。あなたの会社が直接標的にならなくても、取引先が攻撃されれば自社の顧客情報が流出する——それがサプライチェーンリスクの本質だ。

データで見る「中小企業が狙われる」現実

指標数値出典
メディカ出版の漏洩おそれ件数約77.2万件メディカ出版 2026年4月9日公表
ランサムウェア被害のうち中小企業の割合約7割(資本金10億円未満)Cisco Talos 2025年調査
主要な侵入経路VPN機器・リモートデスクトップrocket-boys.co.jp セキュリティ対策Lab
身代金支払い後のデータ復旧率約8%Sophos「State of Ransomware 2025」
ランサムウェア攻撃者にとって、中小企業は「セキュリティ投資が少ないのに、価値あるデータを持っている」費用対効果の高い標的だ。そして1社が侵害されれば、そこに接続している取引先すべてにリスクが波及する。

なぜサプライチェーン経由で被害が広がるのか——3つの原因

原因1:VPN機器の脆弱性が放置されている

多くの中小企業がリモートワーク対応で導入したVPN機器は、ファームウェア更新が行われないまま運用されていることが多い。攻撃者は既知の脆弱性を悪用して社内ネットワークに侵入し、そこから接続先の取引企業データにまで到達する。

原因2:リモートデスクトップが「鍵のかかっていない裏口」になっている

RDP(リモートデスクトッププロトコル)をインターネットに直接公開している企業は、ブルートフォース攻撃の格好の標的だ。多要素認証なしのRDP接続は、玄関を開けたまま出社しているのと同じ状態といえる。

原因3:取引先のセキュリティ水準を確認していない

自社がどれだけ対策しても、データを共有している取引先が侵害されれば顧客情報は流出する。しかし多くの企業では、取引先のセキュリティ対策状況を契約時にも運用中にも確認していない

自社のランサムウェア対策、十分ですか?

GXOのセキュリティ診断で、VPN・リモートアクセスの脆弱性を可視化します。

無料でセキュリティ診断を申し込む

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

中小企業が今すぐ実行すべき3ステップ

ステップ1:VPN機器とリモートアクセス環境を棚卸しする

まず、自社のネットワーク機器の現状を把握することから始める。

  • VPN機器のメーカー・型番・ファームウェアバージョンを一覧化する
  • 既知の脆弱性(CVE)が公表されていないか、メーカーのセキュリティ情報を確認する
  • RDP(リモートデスクトップ)がインターネットに直接公開されていないか確認する
  • 不要なリモートアクセス経路は即時閉鎖する

目安: この棚卸しは、IT担当者1名で半日あれば完了できる作業だ。

ステップ2:多要素認証(MFA)を全リモートアクセスに適用する

VPNもRDPも、パスワード単体での認証はもはや防御として機能しない

  • VPN接続にワンタイムパスワード(OTP)または認証アプリを追加する
  • RDPにはVPN経由でのみアクセスできるよう設定し、直接公開を廃止する
  • クラウドサービス(Microsoft 365、Google Workspace等)のMFA設定状況も併せて確認する

多要素認証の導入は、多くのVPN製品で追加費用なしに設定できる。

ステップ3:取引先を含めたセキュリティ基準を設ける

サプライチェーンリスクを管理するには、自社だけでなく取引先の対策状況も把握する必要がある。

  • 新規取引開始時に、相手先のセキュリティ対策状況を確認するチェックシートを導入する
  • 既存取引先にも年1回のセキュリティ対策状況の報告を依頼する
  • 個人情報や機密情報を共有する取引先との契約に、セキュリティ条項を追加する

大企業のようなサプライチェーン監査は不要だ。まずは「VPN機器を更新しているか」「バックアップを取っているか」の2問だけでも確認することに意味がある。

まとめ

メディカ出版の事案は、ランサムウェア攻撃が規模や業種を問わずあらゆる企業に及ぶことを改めて示した。77.2万件の個人情報が危険にさらされた事実は、サプライチェーン全体のセキュリティを見直す契機だ。VPN機器の棚卸し、多要素認証の適用、取引先を含めた対策基準の整備——この3ステップを、今週中に着手してほしい。

サプライチェーン全体のセキュリティ、見えていますか?

「自社のVPN機器が最新か分からない」「取引先のセキュリティ状況を把握していない」——そんな状態では、次の被害者はあなたの会社かもしれません。まずはリスクの可視化から。

無料でセキュリティ診断を申し込む

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

よくある質問(FAQ)

Q1. メディカ出版の事案で、自分の情報が含まれているか確認できますか?

メディカ出版は対象者への通知を進めています。同社の書籍購入、セミナー参加、会員登録などを利用したことがある方は、同社の公式サイトに掲載された問い合わせ窓口に確認してください。不審なメールやSMSが届いた場合は、リンクをクリックせず削除することを推奨します。

Q2. VPN機器のファームウェア更新は自社で対応できますか?

多くのVPN機器はメーカーの管理画面からファームウェアを更新できます。ただし、更新時に通信が一時的に遮断されるため、業務時間外に実施する計画を立ててください。手順に不安がある場合は、機器を導入したベンダーに依頼するのが確実です。費用は機器1台あたり数万円程度が相場です。

Q3. 中小企業でもサプライチェーンのセキュリティ管理は必要ですか?

はい。改正個人情報保護法では、委託先の監督義務が明記されています。取引先経由で顧客情報が漏洩した場合、委託元の企業も責任を問われる可能性があります。取引先のセキュリティ確認は、法的リスクの低減にも直結します。

参考資料

  • メディカ出版「不正アクセスによる個人情報漏洩のおそれに関するお知らせ」(2026年4月9日)
  • Cisco Talos「Year in Review 2025: Ransomware Trends」
  • rocket-boys.co.jp セキュリティ対策Lab「ランサムウェアの侵入経路と対策」
  • Sophos「The State of Ransomware 2025」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」