実際には、中小企業も継続的に攻撃対象となっています。
本稿では、2025年時点の調査データと被害事例をもとに、狙われる背景と実害を整理します。
中小企業の被害実態:すでに身近なリスク
(帝国データバンク 2025年5月調査)
IPA(独立行政法人情報処理推進機構)の2025年2月調査でも、
中小企業の23.3%が2023年度にサイバーインシデント被害を経験したと報告されています。
被害は一部の企業だけの問題ではありません。
なぜ中小企業が狙われるのか?3つの理由
1対策の抜け漏れが生まれやすい
警察庁統計では、2024年の中小企業ランサムウェア被害件数が前年比37%増、
1日あたりの不正アクセス試行は1IPあたり9,520.2件という水準が示されています。
人材・予算が限られる中小企業は、更新管理や監視体制に抜け漏れが生じやすく、攻撃者に狙われやすくなります。
2サプライチェーン攻撃の経由点になりやすい
攻撃者は、大企業本体より防御が弱い取引先を狙い、そこを足掛かりに侵入します。
そのため中小企業は、「自社単体」ではなく「取引網全体」の弱点として標的になります。
3業務停止リスクから交渉で不利になりやすい
中小企業は、システム停止が売上や納期に直結しやすいため、
復旧を急ぐあまり攻撃者との交渉で不利になるケースがあります。
この点も、攻撃者から見た標的価値を高める要因です。
実際に起きた被害事例
アサヒグループホールディングスが大規模ランサムウェア被害を公表しました。
- 被害内容:基幹システム暗号化により、受注・出荷などに影響
- 情報漏えい:従業員・取引先情報を含む約74万件の流出を確認
- 対応:身代金支払いを拒否し、段階的に復旧
オフィス用品・日用品を扱う大手小売企業がランサムウェア被害を受けました。
- 被害内容:EC受注・出荷機能が停止し、配送遅延が発生
- 情報漏えい:最大74万件規模の漏えい可能性が報告
- 社会的影響:流通遅延により顧客・取引先・物流まで波及
AIツール開発企業への攻撃を起点に、三次・四次被害まで発生しました。
- ローレルバンクマシン株式会社がランサムウェア被害を受ける
- 同社ツール利用企業で二次被害が発生
- その委託先企業で三次・四次被害が公表
EC企業サイトが不正アクセスを受け、約3万件の顧客情報が漏えいしました。
- 被害内容:顧客データベースへの侵害
- 影響:個人情報悪用リスク、信頼低下、売上影響
「狙われる側」だけでなく「巻き込まれる側」でもある
中小企業は、直接攻撃だけでなく、サプライチェーンを通じた間接被害にも直面しています。
警察庁データでは、ランサムウェア被害報告のうち約6割(77件/116件)が中小企業でした。
業種では製造業や卸売・小売業など、取引網の中心にある業界で被害が目立ちます。
まとめ:今すぐ持つべき危機意識
| 項目 | 現状認識 | 必要なアクション |
|---|---|---|
| 被害の現実性 | 中小企業でも約3割が被害経験 | 「他人事」と考えない |
| サプライチェーン影響 | 被害企業の約7割で取引先へ波及 | 自社対策は取引先保護でもあると理解する |
| 被害の多さ | ランサムウェア報告の約6割が中小企業 | セキュリティを優先課題に置く |
| 被害規模 | 業務停止・信用低下・取引影響が大きい | 予防と復旧準備を同時に進める |
「うちは大丈夫」という前提を捨て、基本対策を継続的に実施することが、自社と取引先を守る最短ルートです。
福岡でセキュリティ対策の進め方にお悩みの方は、お気軽にご相談ください。
個人事業主・中小企業向けに、オンラインでのヒアリングにも対応しています。