「ランサムウェアの被害なんて、ニュースでたまに見る大企業の話。うちみたいな中小企業がやられる確率なんて、ほとんどないでしょ」

そう感じている経営者の方は、まだ少なくありません。

「警察庁が発表した2025年の被害は226件。日本に企業は360万社あるから、確率としてはほぼゼロでは?」

一見、合理的な見方に思えます。

しかしこの数字、実態を大きく見誤らせる落とし穴があります。

本記事では、警察庁・IPA・トレンドマイクロなどの最新データから、「ランサムウェア被害は滅多に起きない」というイメージの裏側にある現実を、認定支援機関として中小企業のIT・DX支援を行ってきた観点から解説します。

目次
  1. ランサムウェアとは何か?
    1. 進化する手口:「二重恐喝(ダブルエクストーション)」
    2. さらに新しい手口:「ノーウェアランサム」
  2. 警察庁発表の「226件」は氷山の一角に過ぎない
    1. 警察庁の数字は「届け出があった件数」のみ
    2. 衝撃の事実:被害企業の「3社に1社」が届け出ていない
    3. 別の調査では
  3. 「届け出ない」だけでなく「気づいていない」被害も多い
  4. 公表された被害件数を100倍してみる──推計される実態
  5. 2025年に起きた「現実の連鎖」を直視する
    1. 事例① 無印良品・アスクル連鎖被害(2025年10月)
    2. 事例② アサヒグループホールディングス(2025年9月)
    3. 事例③ 埼玉県商工会連合会(2025年10月)
  6. なぜ中小企業ほど狙われるのか
    1. 理由① 大企業を直接攻撃するのは難しいから
    2. 理由② 対策が手薄で「狙いやすい」から
    3. 理由③ 「気づかれない時間」が長く、攻撃が成功しやすいから
  7. 中小企業に共通する「危険な思い込み」
    1. 思い込み①「うちには盗まれて困るデータなんてない」
    2. 思い込み②「アンチウイルスソフトを入れているから大丈夫」
    3. 思い込み③「ニュースで聞くのは大企業ばかり」
    4. 思い込み④「うちのIT担当者に任せている」
  8. 被害に遭った場合の経営インパクト
    1. 直接的な損害
    2. 間接的な損害
    3. 最も重い「加害者化リスク」
  9. では、何から始めればいいのか
  10. まとめ

ランサムウェアとは何か?

ランサムウェアとは、「Ransom(身代金)」+「Software(ソフトウェア)」の造語で、日本語では「身代金要求型ウイルス」と訳されます。

仕組みはシンプルです。

  1. パソコン・サーバーに感染する
  2. ファイルやシステムを暗号化して使えなくする
  3. 「元に戻したければ身代金を払え」と要求する

身代金を払っても、元に戻せる保証はどこにもありません。
実際、警察庁・各国の捜査機関は「身代金を払わない」よう繰り返し呼びかけています。

進化する手口:「二重恐喝(ダブルエクストーション)」

近年は、単にデータを暗号化するだけではありません。
データを盗み出した上で「払わなければ公開する」と二重に脅迫する手口が主流になっています。

この二重恐喝が被害の多くなっており、実際に事業者の財務情報や個人情報等が、ダークウェブ上のリークサイトに掲載される事例が多数確認されています。

さらに新しい手口:「ノーウェアランサム」

最近では、暗号化すらせず、データを盗み出すだけで「公開されたくなければ払え」と脅す手口(ノーウェアランサム)も増えています。
令和6年中に確認された件数は22件。

「身代金は払わない・バックアップから復旧できる」と備えていても、情報漏洩の脅迫だけで企業は経営判断を迫られる
——これが2026年の現実です。

警察庁発表の「226件」は氷山の一角に過ぎない

警察庁の数字は「届け出があった件数」のみ

警察庁が2026年3月に公表した「令和7年(2025年)におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェア被害件数は226件とされています。

しかしこの数字は、「都道府県警察に被害届を提出した件数」に限られます。
実際にはもっと多くの被害が水面下で起きていることを、警察庁自身も認めています。

衝撃の事実:被害企業の「3社に1社」が届け出ていない

警察庁の調査では、ランサムウェア被害を受けた企業のうち、31.6%が被害届を出していなかったことが報告されています。
つまり、3社に1社近くが「届け出なし」ということです。

なぜ届け出ないのでしょうか。

理由として挙げられているのは次のとおりです。

  • 「実質的な被害がなかったため」
  • 「自社内だけの被害だったため」
  • 「公表すると信用が傷つくため」
  • 「取引先への影響を避けるため」
  • 「対応手順がわからないため」

報道される事件は、被害規模が大きく公表せざるを得なかったケースが中心です。
その裏側には、公表せずひっそり対応している中小企業の被害が膨大に存在していると考えるのが妥当です。

別の調査では

JIPDEC・ITRの「企業IT利活用動向調査2026」では、ランサムウェア感染割合が45.8%とされています。
かなり高い数字ですが、これは警察庁統計とは性質が違い、企業アンケートによる「感染経験」ベースです。

また、帝国データバンクの2025年調査では、サイバー攻撃を「1カ月以内に受けた、または可能性がある」とした企業は全体で6.7%、中小企業で6.9%、小規模企業で7.9%でした。
これはランサムウェア限定ではありませんが、中小企業でもサイバー攻撃自体は一定頻度で起きていることを示しています。

「届け出ない」だけでなく「気づいていない」被害も多い

さらに深刻なのは、自社が被害に遭っていることに気づいていない企業が一定数存在することです。
近年主流のノーウェアランサムは、データを暗号化せず、密かに盗み出すだけの手口です。

  • 業務に支障が出ない
  • 画面に「身代金を払え」という派手なメッセージは出ない
  • 被害が顕在化するのは、攻撃者が情報を公開した後

「気づかないうちに顧客情報が抜かれていた」という事態は、すでに現実に起きています。

警察庁の発表でも、令和6年中にノーウェアランサムによる被害が22件確認されていますが、これも氷山の一角と考えられます。

公表された被害件数を100倍してみる──推計される実態

仮に「届出されている被害は氷山の一角の2割程度」と仮定すると、実際の被害は年間1,000件超に達する可能性があります。
業界団体や民間セキュリティ会社の調査では、さらに多くの被害が報告されています。

トレンドマイクロが把握している国内組織のセキュリティインシデント公表件数は、警察庁の数字を大きく上回って推移しています。

「滅多に起きない」のではなく、「公表されないだけで頻発している」のが現実です。

2025年に起きた「現実の連鎖」を直視する

「うちは小さい会社だから大企業の話とは関係ない」
——この思い込みも、2025年の事例で完全に覆されました。

事例① 無印良品・アスクル連鎖被害(2025年10月)

2025年10月19日、無印良品のネットストアが突如として受注・出荷停止に追い込まれました。

原因は、無印良品のシステムではなく、配送委託先であるアスクル株式会社のシステムがランサムウェアに感染したことでした。
物流中枢が一時的にまひし、無印良品アプリにも障害が波及。

これは、「自社が直接攻撃されなくても、取引先や委託先の被害で自社の業務が停止する」という連鎖被害の典型例です。

事例② アサヒグループホールディングス(2025年9月)

2025年9月末、アサヒグループホールディングスでランサムウェア感染による重大なシステム障害が発生。
社内通信システムや受発注処理の一部が機能停止し、復旧までに数週間を要しました。

世界的な大企業ですら、対策が万全だったとされていたにもかかわらず、被害を防げなかったのです。

事例③ 埼玉県商工会連合会(2025年10月)

中小企業の経営支援を担う公的機関ですら被害を受けています。
地方行政や中小組織のセキュリティ対策の遅れが浮き彫りになりました。

なぜ中小企業ほど狙われるのか

理由① 大企業を直接攻撃するのは難しいから

攻撃者の最終目標は、データや金銭です。
しかし、大企業はセキュリティ投資が手厚いため、直接侵入するのは困難です。

そこで攻撃者は、取引のある中小企業を踏み台にして大企業のネットワークに入り込む「サプライチェーン攻撃」を多用します。

つまり、中小企業は自社のためだけでなく、取引先のためにも対策が必要な立場にあります。

理由② 対策が手薄で「狙いやすい」から

警察庁は、中小企業の被害が増加している理由について「対策が比較的手薄であるため」と明確に指摘しています。
実際、令和5年から令和6年にかけて、大企業の被害件数が減少する一方で、中小企業の被害件数は37%増加しました。

攻撃者は、わざわざセキュリティの強固な大企業を狙わなくても、中小企業を多数攻撃するだけで効率的に金銭を得られると判断しています。

理由③ 「気づかれない時間」が長く、攻撃が成功しやすいから

ランサムウェアは、侵入から発動まで数週間〜数ヶ月かけて潜伏するケースが多くあります。
セキュリティ監視体制の手薄な中小企業は、この潜伏期間中に攻撃者の準備を許してしまう可能性が高いのです。

中小企業に共通する「危険な思い込み」

これまで多くの中小企業の経営者と話してきましたが、被害を遠ざけている経営者と、危険な状態にある経営者には明確な違いがあります。

危険な経営者には、次のような共通する思い込みがあります。

思い込み①「うちには盗まれて困るデータなんてない」

これは典型的な誤解です。

攻撃者が狙うのは、機密情報の価値だけではありません。
「業務を止めて金銭を要求する」のがランサムウェアの本質であり、業務に必要なデータがあれば狙う対象になります。

顧客データ・取引先情報・経理データ・受発注データ
——どれも止まれば業務が止まる重要データです。

思い込み②「アンチウイルスソフトを入れているから大丈夫」

従来型のアンチウイルスソフトは、既知のウイルスは検知できますが、未知の攻撃には対応できないケースが多くあります。

近年のランサムウェアは検知を回避する手口が高度化しており、アンチウイルスソフトだけでは防ぎきれません。

思い込み③「ニュースで聞くのは大企業ばかり」

ニュースになるのは、規模が大きく公表せざるを得なかったケースだけです。

中小企業の被害は、ほとんど報道されません。
「報道されない=起きていない」のではなく、「報道されないけれど無数に起きている」のが実態です。

思い込み④「うちのIT担当者に任せている」

「IT担当者がいるから大丈夫」と考えるのも危険です。

中小企業のIT担当者は、本業のシステム運用で手一杯のケースが多く、最新のセキュリティ動向を追うのは現実的に困難です。
経営者自身が「セキュリティは経営課題」と認識し、外部の専門家を活用する判断が必要になります。

被害に遭った場合の経営インパクト

「もし被害に遭っても、復旧費用と業務停止のロスを我慢すればいい」
——そう考えていませんか。

実際の経営インパクトは、その想像をはるかに超えます。

直接的な損害

  • 復旧費用:1,000万円以上が約半数(警察庁調査)
  • 業務停止期間:1ヶ月以上が約4割
  • 身代金は「払うべきでない」が、対応コストは膨らむ

間接的な損害

  • 取引先からの信用失墜
  • 顧客情報漏洩による損害賠償
  • 個人情報保護委員会への報告義務(漏洩時は法定)
  • 取引契約の見直し・打ち切り
  • 採用への悪影響

最も重い「加害者化リスク」

最近特に注目されているのが、自社が被害者であると同時に「加害者」になるリスクです。
自社のセキュリティ脆弱性が原因で取引先にまで攻撃が波及した場合、取引先への損害賠償責任を問われる可能性があります。

「うちが原因で大手取引先に多大な損害を与えた」
——これは中小企業の経営にとって致命傷になりかねません。

では、何から始めればいいのか

中小企業が最低限取り組むべき優先順位は次のとおりです。(いきなり全部は無理です)

  1. VPN機器・ルーターのファームウェアを最新に保つ(侵入経路の半分以上がここ)
  2. 多要素認証(MFA)を全システムで設定
  3. バックアップを「3-2-1ルール」で取得し、復旧テストを実施
  4. 従業員へのセキュリティ教育(不審メール・添付ファイルのルール明文化)
  5. サイバー攻撃を想定したBCP(事業継続計画)を策定

これらは大規模な投資なしに着手できる対策です。

特に事業継続力強化計画(ジギョケイ)を活用すれば、サイバー攻撃を想定した計画を国の認定対象として整備でき、補助金加点・税制優遇も得られます。

ご参考:記事「中小企業のBCP対策は「ジギョケイ」から始めよう|地震・大雨時代を生き抜く事業継続力強化計画とは」

まとめ

「ランサムウェア被害は滅多に起きない」
——これは、メディアで報道される件数だけを見た誤解です。

実態は次のとおりです。

  • 警察庁発表の226件は氷山の一角
  • 被害企業の31.6%が届け出ていない
  • 公表されない中小企業の被害が水面下で頻発
  • 「気づかれない」ノーウェアランサムも増加中
  • 自社が直接狙われなくても、取引先経由で連鎖被害

中小企業の経営者にとって、ランサムウェアはもはや「起きるかどうか」ではなく「いつ起きるか」のリスクです。
備えのある会社とない会社では、被害規模に決定的な差が生まれます。

被害に遭ってからでは遅すぎます。
「滅多に起きない」と思っているうちに、対策を始めましょう。

当事務所では、認定支援機関として、中小企業のサイバーセキュリティ対策・事業継続力強化計画策定・補助金活用を一貫してサポートしていますので、お気軽にご相談ください。

月額月額数万円の社外IT部長

▲中小企業のIT人材不足を解決します。