月曜の朝、出社してパソコンを起動したら画面に見慣れない英語のメッセージが表示されている。「Your files have been encrypted. Pay 0.5 BTC to recover your data.」——あなたのファイルは暗号化された、復元したければビットコインで身代金を払え。営業資料も、顧客データベースも、経理の帳簿データも、一切開けない。

これはフィクションではありません。2025年、国内のランサムウェア(身代金要求型ウイルス)の被害報告件数は依然として高水準を推移しており、その約半数が従業員300名以下の中小企業を標的としています。警察庁のサイバー犯罪レポートでも、中小規模の組織への攻撃が増加傾向にあることが明確に示されています。

「うちみたいな小さい会社は狙われないだろう」——その認識こそが、攻撃者にとって最大の好都合です。この記事では、ランサムウェアの基本から具体的な防御策、そして万が一感染してしまった場合の初動対応まで、中小企業の実務担当者が今日から動けるレベルで解説します。

ランサムウェアの仕組みを正しく理解する

ランサムウェアとは、パソコンやサーバーに侵入してファイルを暗号化し、「元に戻してほしければ金を払え」と身代金を要求するマルウェア(悪意あるソフトウェア)の一種です。

近年の攻撃は「二重脅迫」と呼ばれる手口が主流になっています。ファイルを暗号化するだけでなく、事前にデータを外部に持ち出しておき、「身代金を払わなければ盗んだデータを公開する」と脅すのです。つまり、バックアップからファイルを復元できたとしても、情報漏洩のリスクが残るという厄介な状況です。

感染経路は大きく3つあります。

メールの添付ファイル・リンク

最も古典的で、いまだに最も多い侵入経路です。取引先を装ったメールに添付されたExcelファイルを開いた瞬間、マクロ(Excel内の自動実行プログラム)が動作してランサムウェアがダウンロードされます。フィッシングメールへの具体的な対策については、当ポータルのフィッシング対策記事で詳しく解説していますので、あわせてご確認ください。

VPN機器やリモートデスクトップの脆弱性

コロナ禍以降、多くの企業が導入したVPN(仮想プライベートネットワーク。社外から社内ネットワークに安全に接続するための仕組み)やリモートデスクトップ接続が、アップデートされないまま放置されているケースが目立ちます。IPA(独立行政法人 情報処理推進機構)の注意喚起でも、VPN機器の脆弱性を突いた侵入が繰り返し警告されています。

サプライチェーン攻撃

取引先や業務委託先のシステムを経由して侵入するパターンです。自社のセキュリティがしっかりしていても、つながっている取引先が突破されれば被害が及びます。

なぜ「うちは大丈夫」が一番危ないのか

攻撃者が中小企業を好んで狙う理由は明快です。

まず、専任のIT担当者がいないケースが多いこと。従業員80名、営業拠点3箇所の建材卸売業を想像してください。総務部の担当者がパソコンの手配からネットワーク管理まで兼務していて、セキュリティの専門知識を学ぶ時間はありません。ファイアウォールやウイルス対策ソフトは導入時の設定のまま何年も放置されがちです。

次に、身代金の金額設定が絶妙であること。大企業への攻撃では数億円を要求しますが、中小企業には100万〜500万円程度を要求します。「払えなくはない金額」にすることで、支払いに応じてしまう企業が少なくありません。

そして、セキュリティ投資の優先度が低いこと。売上に直結しないセキュリティ対策は後回しにされやすく、結果として「鍵のかかっていない裏口」がいくつも残っている状態になります。

被害は身代金だけでは終わらない

ランサムウェアの被害を「身代金の金額」だけで考えるのは大きな間違いです。

従業員120名の食品加工会社がランサムウェアに感染したケースを考えてみましょう。業務システムが全面停止して受注処理ができなくなり、事業停止期間は平均して2〜3週間に及びます。その間の逸失利益、取引先への違約金、原因調査のためのフォレンジック費用(専門業者によるデジタル証拠の調査分析)、そして顧客への通知と信用回復——これらを合算すると、身代金の10倍以上のコストがかかることも珍しくありません。

経済産業省のサイバーセキュリティ経営ガイドラインでも、経営者が認識すべきリスクとして事業継続への影響が強調されています。セキュリティ対策は「ITの問題」ではなく「経営の問題」です。

今日から始める5つの防御策

1. バックアップの「3-2-1ルール」を実践する

最も費用対効果が高い対策がバックアップです。3-2-1ルールとは、データのコピーを3つ作り、2種類の異なる記録媒体に保存し、そのうち1つは物理的に離れた場所(オフサイト)に置くという原則です。

ここで重要なのは、バックアップ先がネットワーク上で常時接続されていないことです。ランサムウェアは感染したパソコンからアクセスできるすべてのドライブを暗号化します。NAS(ネットワーク接続ストレージ)に自動バックアップしているだけでは、NASごと暗号化されて終わりです。

具体的な実践方法としては、以下の組み合わせが現実的です。

  • 日次: クラウドストレージへの自動バックアップ(世代管理あり)
  • 週次: 外付けHDDへのバックアップ(完了後に物理的に取り外す)
  • 月次: バックアップからの復元テスト(これを怠る企業が非常に多い)

復元テストをしていないバックアップは、バックアップとは呼べません。いざというときにデータが壊れていた、復元手順がわからなかった、というケースは実際に頻発しています。

2. アップデートを「業務の一部」として仕組み化する

WindowsやOfficeのアップデート通知を「後で」と先送りしていませんか。攻撃者が突くのは、まさにそのアップデートで修正されるはずだった脆弱性です。

特に優先度が高いのは以下の3つです。

  • OS(Windows/macOS)のセキュリティ更新: 公開から72時間以内の適用が理想
  • VPN機器やルーターのファームウェア: 管理画面にログインして手動更新が必要なため見落とされやすい
  • 業務アプリケーション: Adobe Acrobat、ブラウザ、Java実行環境など

従業員50名の設計事務所であれば、Windows Updateを一括管理できるWSUS(Windows Server Update Services)の導入を検討する価値があります。無料で利用でき、パッチ適用の進捗を管理画面で確認できます。

3. 従業員教育は「年1回の座学」では足りない

標的型メール訓練を年に1回実施している企業は増えましたが、それだけでは不十分です。攻撃手法は日々進化しており、半年前の知識はすでに古くなっています。

効果が出ている企業が実践しているのは、月1回・5分間のミニ訓練です。朝礼やチャットツールで「今月の攻撃手口」を共有し、実際の不審メールのスクリーンショットを見せながら「どこが怪しいか」を考えさせます。長時間の研修より、短いサイクルで繰り返す方が定着率は格段に上がります。

また、「不審なメールを開いてしまった」と正直に報告できる雰囲気づくりも重要です。「開いた人が悪い」という空気があると、感染を隠して対応が遅れ、被害が拡大します。報告した人を責めるのではなく、素早い報告を評価する文化をつくりましょう。

4. ネットワークを区切って被害を封じ込める

社内ネットワークがひとつのフラットな構成になっている場合、1台のパソコンが感染するとすべてのサーバーやパソコンに被害が波及します。

ネットワークセグメンテーション(ネットワークの分割)を行い、経理系のサーバー、営業用のファイルサーバー、基幹システムなどを別々のセグメント(区画)に分けておけば、1つのセグメントが感染しても他への被害を最小限に抑えられます。

営業拠点5箇所、従業員200名の物流会社であれば、拠点間を接続するVPNの設定で拠点ごとにセグメントを分け、必要な通信だけを許可するアクセス制御リストを設定します。Cloudflareのようなクラウドサービスを活用して外部からの不正アクセスを遮断する方法も有効です。Cloudflareの具体的な活用方法は、クラウドインフラポータルの解説記事が参考になります。

5. インシデント対応計画を「紙の上だけ」にしない

「感染したらどうするか」を事前に決めておくことで、パニック状態での判断ミスを防げます。最低限、以下の4点を明文化しておきましょう。

  • 初動: 感染が疑われる端末をネットワークから物理的に切断する手順(LANケーブルを抜く、Wi-Fiをオフにする)
  • 連絡先: 社内の報告ルート、外部のセキュリティ専門業者の連絡先、警察への届出先
  • 意思決定: 身代金の支払い可否を誰が判断するか(結論から言えば、支払わないことを強く推奨します)
  • 復旧手順: バックアップからの復元手順と、復旧完了の判定基準

JPCERT/CC(JPCERTコーディネーションセンター)のインシデント対応マニュアルは、自社の対応計画を策定する際の優れたテンプレートとして活用できます。

この計画は作って終わりではありません。半年に1回は机上訓練(「もし月曜朝に感染が発覚したら」というシナリオで関係者が手順を確認する演習)を実施し、計画の実効性を検証してください。

感染してしまったら——最初の1時間が勝負

どれだけ対策をしていても、100%の防御は不可能です。感染してしまった場合の初動対応を確認しておきましょう。

最初にやることは、感染端末のネットワーク接続を即座に遮断することです。LANケーブルを抜き、Wi-Fiを物理スイッチでオフにしてください。シャットダウンはしないでください。メモリ上に残る攻撃の痕跡が消えてしまい、原因究明が困難になります。

やってはいけないことは、身代金を支払うことです。支払ったとしても、データが完全に復元される保証はありません。実際、身代金を支払った企業のうち完全にデータを取り戻せたのは約8%に過ぎないという調査結果もあります。さらに、「この企業は払う」という情報が攻撃者コミュニティで共有され、再攻撃の標的になるリスクもあります。

報告・相談先としては、まず警察庁のサイバー犯罪相談窓口に連絡してください。被害届を出すことで、同様の攻撃に関する情報提供を受けられる可能性があります。また、個人情報の漏洩が疑われる場合は、個人情報保護委員会への報告義務があります。

セキュリティは「コスト」ではなく「事業継続への投資」

「セキュリティ対策にお金をかけても売上は増えない」——この考え方は、火災保険に入らずにオフィスを構えるのと同じです。事故が起きなければ無駄に見えますが、起きたときの損害は事業の存続を左右します。

当ポータルのセキュリティチェックリストで自社の現状を棚卸しすることから始めてもよいでしょう。50項目すべてを一度にクリアする必要はありません。リスクの高い項目から順に、四半期ごとに10項目ずつ改善していくだけでも、1年後のセキュリティレベルは見違えるほど向上します。

まずは来週、バックアップの現状を確認するところから始めてみてください。「最後にバックアップからの復元テストをしたのはいつか」——この質問に即答できるなら、あなたの会社は正しい方向に進んでいます。答えられないなら、それが最初の一歩です。