警察庁「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年上半期に報告されたランサムウェア被害のうち 約7割が中小企業 だった。被害件数は前年同期比で約2割増加し、復旧までの平均期間は 23日間、復旧費用の平均は 1,000万〜5,000万円 にのぼる。IPA「情報セキュリティ10大脅威 2026」でもランサムウェアは11年連続で組織部門1位だ。
「うちは小さいから狙われない」は過去の話だ。本記事では、2026年に実際に発生した最新被害事例3件と、今日から始められる7つの対策を、コスト目安つきで解説する。
目次
2026年最新ランサムウェア被害事例3選
事例1:金属加工業(従業員45名・愛知県)
| 項目 | 内容 |
|---|---|
| 業種 | 自動車部品の金属加工 |
| 感染経路 | VPN機器(FortiGate)の未パッチ脆弱性 |
| 被害内容 | 生産管理システムと受発注データが暗号化 |
| 被害額 | 約2,800万円(復旧費用1,200万円+業務停止損失1,600万円) |
| 業務停止期間 | 18日間 |
| 復旧方法 | オフラインバックアップから復元(直近2日分のデータは消失) |
教訓: VPN機器のファームウェアを6か月以上更新していなかった。ベンダーからセキュリティアドバイザリが出ていたが、社内に確認する運用がなかった。
事例2:会計事務所(従業員12名・東京都)
| 項目 | 内容 |
|---|---|
| 業種 | 税理士法人 |
| 感染経路 | AI生成フィッシングメール(請求書PDF偽装) |
| 被害内容 | 顧客の確定申告データ・決算書を含むファイルサーバーが暗号化+データ窃取(二重脅迫) |
| 被害額 | 約4,500万円(復旧費用800万円+フォレンジック費用600万円+顧客対応・信用損失3,100万円) |
| 業務停止期間 | 32日間 |
| 復旧方法 | 身代金は支払わず、バックアップとフォレンジック業者による復旧 |
教訓: 生成AIで作成された自然な日本語メールを職員が開封。EDR未導入のため検知が遅れ、被害が拡大した。顧客の機密データ流出により複数の顧問契約を失った。
事例3:建設資材卸売業(従業員80名・大阪府)
| 項目 | 内容 |
|---|---|
| 業種 | 建設資材の卸売・配送 |
| 感染経路 | RDP(リモートデスクトップ)の総当たり攻撃 |
| 被害内容 | 基幹システム(在庫管理・配送管理)が暗号化、配送業務が完全停止 |
| 被害額 | 約3,500万円(復旧費用1,500万円+配送停止による損失2,000万円) |
| 業務停止期間 | 25日間 |
| 復旧方法 | システム再構築(バックアップがNAS上のみでありネットワーク経由で暗号化されていた) |
教訓: テレワーク導入時にRDPポートをインターネットに直接公開していた。MFA未設定で、パスワードの総当たり攻撃により侵入された。NAS上のバックアップもネットワーク接続のまま暗号化され、復元不能だった。
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
主要感染経路TOP3
警察庁の統計および各セキュリティベンダーの分析を総合すると、2025〜2026年のランサムウェア感染経路は以下の3つに集中している。
| 順位 | 感染経路 | 割合(目安) | 主な手口 |
|---|---|---|---|
| 1位 | VPN機器の脆弱性 | 約60〜70% | 未パッチのVPN機器(FortiGate、Pulse Secure等)を突いて内部ネットワークに侵入 |
| 2位 | フィッシングメール | 約15〜20% | AI生成の自然な日本語メールに添付されたマルウェア、またはリンク先でのマルウェアダウンロード |
| 3位 | RDP(リモートデスクトップ) | 約10〜15% | インターネットに公開されたRDPポートへの総当たり攻撃、または窃取済み認証情報の利用 |
注目すべき傾向: 2026年はAI生成フィッシングメールの品質が飛躍的に向上しており、従来の「不自然な日本語で見分ける」という対策が通用しなくなっている。メールフィルタリングとEDRの組み合わせが不可欠だ。
今すぐできる7つの対策
対策1:MFA(多要素認証)の導入【最優先】
コスト目安:無料〜月額500円/ユーザー
VPN接続、リモートデスクトップ、クラウドサービス(Microsoft 365/Google Workspace)へのログインにMFAを有効化する。Microsoftの調査では、MFAだけで アカウント侵害の99.9%以上を防止 できる。Google WorkspaceやMicrosoft 365の標準機能で追加コストなく設定できるケースも多い。
実施手順:
- 経営層・IT管理者アカウントからMFAを有効化(1日目)
- VPN接続にMFAを適用(1週間以内)
- 全従業員のクラウドサービスアカウントにMFAを展開(2週間以内)
対策2:バックアップ 3-2-1ルールの実践
コスト目安:月額3万〜10万円
データを 3つ のコピーで保持し、2種類 の異なるメディアに保存し、1つ はオフサイト(社外・オフライン)に保管する。事例3のように、NASだけのバックアップはネットワーク経由で暗号化されるリスクがある。
| 要素 | 内容 | 具体例 |
|---|---|---|
| 3コピー | 本番+バックアップ2つ | 本番サーバー+NAS+クラウド |
| 2メディア | 異なる保存先 | ディスク+クラウドストレージ |
| 1オフサイト | ネットワークから切り離した保管 | オフラインHDD、イミュータブルストレージ |
必須: 月1回のリストアテスト(実際にバックアップからデータを復元できるか確認)を実施すること。
対策3:EDR(エンドポイント検知・対応)の導入
コスト目安:月額500〜1,500円/台
従来型のウイルス対策ソフト(EPP)だけでは、未知のランサムウェアやファイルレス攻撃を検知できない。EDRは端末上の不審な挙動をリアルタイム監視し、ランサムウェアの暗号化動作を初期段階で検知・隔離する。
中小企業向けには以下のサービスが現実的だ。
| サービス | 月額目安 | 特徴 |
|---|---|---|
| CrowdStrike Falcon Go | 月額約1,000円/台 | 軽量エージェント、クラウド管理 |
| Microsoft Defender for Business | 月額約400円/台(M365 BP含む) | Microsoft 365との統合が容易 |
| サイバーセキュリティお助け隊サービス | 月額1,000〜2,000円/台 | EDR+SOC監視セット、IT導入補助金対象 |
対策4:パッチ管理の徹底
コスト目安:月額300〜1,000円/台(自動化ツール利用時)
感染経路1位のVPN機器をはじめ、OS・ソフトウェアのセキュリティパッチを速やかに適用する運用を確立する。
最低限の運用ルール:
- VPN機器・ファイアウォールのファームウェア:ベンダーのセキュリティアドバイザリを 週1回 確認
- Windows Update:月次の定例パッチ を適用(Patch Tuesday後1週間以内)
- 業務アプリケーション:自動更新を有効化
対策5:従業員セキュリティ教育
コスト目安:年間10万〜50万円
AI生成フィッシングメールの高度化により、「怪しいメールを開くな」だけでは対策にならない。年2回以上の訓練と、模擬フィッシングテストの実施が有効だ。
教育に含めるべき内容:
- AI生成フィッシングメールの最新事例と見分け方
- 不審なメール受信時の報告フロー
- USBデバイスの取り扱いルール
- パスワード管理の基本(パスワードマネージャーの利用推奨)
対策6:インシデント対応計画の策定
コスト目安:実質ゼロ〜100万円(外部支援利用時)
感染した場合に「誰が」「何を」「どの順番で」実行するかを文書化しておく。計画がなければ、パニック状態での判断遅れが被害を拡大させる。
計画に含めるべき要素:
- 初動対応の責任者と連絡先
- ネットワーク遮断の手順
- バックアップからの復旧手順
- 警察・個人情報保護委員会への報告手順
- 取引先・顧客への通知テンプレート
- 外部セキュリティベンダーの連絡先(事前契約推奨)
対策7:サイバー保険への加入
コスト目安:年間10万〜50万円(売上高・業種による)
対策を講じていても被害をゼロにすることはできない。サイバー保険は、復旧費用・フォレンジック費用・損害賠償費用・逸失利益をカバーする最後の防衛線だ。
保険選定のポイント:
- ランサムウェア被害(データ復旧・業務停止)が補償対象に含まれるか
- フォレンジック調査費用の上限額
- 取引先への損害賠償がカバーされるか
- 保険料割引の条件(EDR導入・MFA設定等で割引されるケースあり)
対策別コスト目安表
従業員50名規模の企業を想定した年間コストの一覧。
| # | 対策 | 初期費用 | 月額ランニング | 年間合計(目安) | 優先度 |
|---|---|---|---|---|---|
| 1 | MFA導入 | 0円 | 0〜25,000円 | 0〜30万円 | 最優先 |
| 2 | バックアップ 3-2-1 | 5〜10万円 | 3〜10万円 | 41〜130万円 | 最優先 |
| 3 | EDR導入 | 0円 | 25,000〜75,000円 | 30〜90万円 | 高 |
| 4 | パッチ管理自動化 | 0円 | 15,000〜50,000円 | 18〜60万円 | 高 |
| 5 | 従業員教育 | 0円 | ― | 10〜50万円 | 中 |
| 6 | インシデント対応計画 | 0〜100万円 | 0円 | 0〜100万円 | 中 |
| 7 | サイバー保険 | 0円 | ― | 10〜50万円 | 中 |
| 合計 | 5〜110万円 | ― | 109〜510万円 |
費用対効果: ランサムウェア被害の平均復旧コスト1,000万〜5,000万円に対し、年間対策費用は最小構成で約100万円。被害発生確率を考慮しても、対策は「保険」として極めてコストパフォーマンスが高い。IT導入補助金(セキュリティ対策推進枠、補助率1/2・上限100万円)を活用すれば、EDR+SOCの実質負担をさらに軽減できる。
感染した場合の初動対応フロー
ランサムウェアに感染した場合の初動対応を時系列で整理する。
発覚〜30分以内
- ネットワーク遮断:感染端末のLANケーブルを抜く、Wi-Fiを切断する。サーバー間のネットワークも遮断を検討
- 感染範囲の把握:暗号化されたファイルの拡張子、身代金要求画面のスクリーンショットを撮影・保存
- インシデント対応責任者への連絡:事前に定めた連絡先に第一報
30分〜24時間以内
- 証拠の保全:感染端末の電源を切らない(メモリ上の証拠が消失する)。ログの保全
- 外部セキュリティベンダーへの連絡:フォレンジック調査の依頼
- 警察への届出:都道府県警察のサイバー犯罪相談窓口に通報
24〜72時間以内
- 個人情報保護委員会への速報:個人情報の漏えいが疑われる場合は72時間以内に速報(改正個人情報保護法の義務)
- 取引先・顧客への通知:影響範囲に応じて通知
- 復旧作業の開始:バックアップからのデータ復元、システム再構築
重要:身代金は原則支払わない
- 支払っても復号できる保証はない(Coveware調査:支払い後の完全復元率は約8割で2割は復元失敗)
- 支払いが再攻撃を誘引する(「払う企業」としてリストに載る)
- 反社会的勢力への資金提供に該当する可能性がある
FAQ
Q1. VPN機器を使っていますが、今すぐやるべきことは何ですか?
ファームウェアが最新版であることを今日中に確認すること。 ベンダー(Fortinet、Pulse Secure、Cisco等)のセキュリティアドバイザリを確認し、未適用のパッチがあれば即日適用する。同時にVPN接続にMFAを設定する。この2つだけで、VPN経由の侵入リスクを大幅に下げられる。
Q2. ウイルス対策ソフトを入れていればランサムウェアは防げますか?
不十分だ。 従来型のウイルス対策ソフト(EPP)は既知のマルウェアのパターンマッチングが主であり、ファイルレス攻撃や正規ツールを悪用した攻撃(Living off the Land)には対応しきれない。振る舞い検知機能を持つEDRの導入を推奨する。
Q3. 対策予算が年間50万円しかありません。何から始めるべきですか?
MFAの導入(無料〜低コスト)とバックアップの見直し(月額3万円程度)から始めるべきだ。 この2つで侵入リスクの大幅低減とデータ復旧の確保が実現できる。残りの予算でEDR(サイバーセキュリティお助け隊サービスならIT導入補助金で実質半額)の導入を検討する。
Q4. クラウドストレージにデータを保存していれば安全ですか?
安全とは限らない。 クラウドの同期機能により、端末上で暗号化されたファイルがクラウド側にも同期されるケースがある。バージョン履歴で復元できる場合もあるが、確実ではない。オフラインバックアップとの併用が必須だ。
Q5. 感染したら警察に届け出るべきですか?
必ず届け出るべきだ。 都道府県警察のサイバー犯罪相談窓口に通報する。個人情報漏えいが疑われる場合は、改正個人情報保護法により個人情報保護委員会への報告が義務(速報:72時間以内、確報:30日以内)だ。届出により、攻撃者の手口に関する情報提供を受けられることもある。
まとめ
ランサムウェア被害の7割は中小企業に集中している。2026年の攻撃はVPN脆弱性の悪用、AI生成フィッシング、RDP総当たり攻撃が主流だ。
| 優先度 | 対策 | コスト目安(月額) | 期待効果 |
|---|---|---|---|
| 最優先 | MFA導入 | 無料〜500円/ユーザー | 不正ログインの99.9%を防止 |
| 最優先 | バックアップ 3-2-1 | 3万〜10万円 | 暗号化されてもデータ復元可能 |
| 高 | EDR導入 | 500〜1,500円/台 | 未知のランサムウェアを初期段階で検知 |
| 高 | パッチ管理 | 300〜1,000円/台 | 脆弱性を突いた侵入を防止 |
| 中 | 従業員教育 | 年間10万〜50万円 | フィッシング経由の感染を低減 |
| 中 | インシデント対応計画 | 0〜100万円 | 被害拡大の最小化・早期復旧 |
| 中 | サイバー保険 | 年間10万〜50万円 | 金銭的損害の補填 |
すべてを一度に導入する必要はない。まずMFAとバックアップから着手し、IT導入補助金も活用しながら段階的に防御を固めることが重要だ。
関連記事:ランサムウェア対策 実務ガイド|中小企業が最低限やるべき7つの防御策
関連記事:EDR導入比較ガイド|中小企業のエンドポイント対策
関連記事:バックアップ 3-2-1ルール実践ガイド
<!-- GXO_EVIDENCE_DEEPENING_20260507_START -->セキュリティ対策の見直し・強化をお考えですか?
GXOは中小企業のセキュリティ体制構築を支援しています。貴社の業種・規模・予算に合わせた対策の優先順位を無料で診断し、具体的なロードマップをご提案します。IT導入補助金の活用相談にも対応可能です。
※ まずは現状のリスク把握から | オンライン完結OK | 導入事例はこちら
追加の一次情報・確認観点
この記事の内容を社内で検討する場合は、一般論だけで判断せず、次の一次情報と自社データを照合してください。特に、稟議・RFP・ベンダー選定では「何を実装するか」よりも「どのリスクをどの水準まで下げるか」を先に決めると、見積もり比較のブレを抑えられます。
| 確認領域 | 参照先 | 自社で確認すること |
|---|---|---|
| 脆弱性・注意喚起 | IPA 情報セキュリティ | 対象製品、影響範囲、更新手順、社内展開状況を確認する |
| インシデント対応 | JPCERT/CC | 初動、封じ込め、復旧、対外連絡の役割分担を確認する |
| 管理策 | NIST Cybersecurity Framework | 識別、防御、検知、対応、復旧のどこが弱いかを確認する |
| DX推進 | IPA デジタル基盤センター | DX推進指標、IT人材、デジタル基盤の観点で現状を確認する |
| 個人情報 | 個人情報保護委員会 | 個人情報・委託先管理・利用目的・安全管理措置を確認する |
稟議・RFPで使う数値設計
投資判断では、導入前後で測れる指標を3から5個に絞ります。下表のように、現状値・目標値・測定方法・責任者をセットにしておくと、PoC後に本番化するかどうかを判断しやすくなります。
| 指標 | 現状確認 | 目標の置き方 | 失敗しやすい例 |
|---|---|---|---|
| 対象業務数 | 現状の対象業務を棚卸し | 初期は1から3業務に限定 | 対象を広げすぎて要件が固まらない |
| 月間処理件数 | 件数、担当者、例外率を確認 | 上位20%の高頻度業務から改善 | 件数が少ない業務を先に自動化する |
| 例外対応率 | 手戻り、確認待ち、属人判断を計測 | 例外の分類と承認ルールを定義 | 例外をAIやシステムだけで吸収しようとする |
| 復旧目標時間 | RTO/RPOを業務別に確認 | 重要業務から優先順位を設定 | 全システム同一水準で考える |
| 検知から初動までの時間 | ログ、通知、責任者を確認 | 初動30分以内など明確化 | 通知だけあり対応者が決まっていない |
よくある失敗と回避策
| 失敗パターン | 起きる理由 | 回避策 |
|---|---|---|
| 目的が曖昧なままツール選定に入る | 比較軸が価格や機能数に寄る | 経営課題、業務課題、測定KPIを先に固定する |
| 現場確認が不足する | 例外処理や非公式運用が見落とされる | 担当者ヒアリングと実データ確認を必ず行う |
| 運用責任者が決まっていない | 導入後の改善が止まる | 業務側とIT側の責任分界をRACIで定義する |
| バックアップが復旧できない | 取得だけで復元テストをしていない | 四半期ごとに復旧訓練を実施する |
GXOに相談する前に整理しておく情報
初回相談では、次の情報があると診断と提案の精度が上がります。すべて揃っていなくても問題ありませんが、分かる範囲で用意しておくと、概算費用・期間・体制の見立てを早く出せます。
- 対象業務の現行フロー、利用中システム、Excel・紙・チャット運用の一覧
- 月間件数、担当人数、手戻り件数、確認待ち時間などの概算
- 個人情報、機密情報、外部委託、権限管理に関する制約
- 希望開始時期、予算レンジ、社内承認者、決裁までの流れ
- 直近の障害・インシデント履歴、バックアップ方式、EDR/MDR/SOCの導入状況
GXOでは、現状整理、要件定義、RFP作成、ベンダー比較、PoC設計、本番移行計画まで一気通貫で支援できます。記事の内容を自社に当てはめたい場合は、まずは現在の課題と制約を共有してください。
<!-- GXO_EVIDENCE_DEEPENING_20260507_END -->
