「うちみたいな小さな会社を、わざわざ攻撃する人なんていない」——多くの経営者がそう感じています。しかし警察庁のデータが示す現実は逆で、いまサイバー攻撃の被害の中心は中小企業です。しかも攻撃の入口の多くは、天才ハッカーの神業ではなく、「更新されていない機器」と「安易なパスワード」。つまり、狙われないという油断そのものが、最大の脆弱性なのです。
警察庁のまとめでは、令和6年(2024年)のランサムウェア(データを人質に金銭を要求する攻撃)の被害報告は222件と高水準。その内訳は中小企業が140件で約6割(63%)を占め、大企業は61件でした。しかも前年比で見ると、大企業の被害は減少した一方、中小企業の被害は37%増加。攻撃はむしろ、対策の手薄な中小へと流れ込んでいます。
63%
ランサムウェア被害報告222件のうち、中小企業の割合(140件・令和6年)
出典(一次):警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(2025/3公表・2026-06-12閲覧)npa.go.jp
ランサムウェア被害報告の内訳(令和6年・全222件)
出典(一次):警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」資料編 npa.go.jp
なぜ中小が狙われるのか。警察庁は、ランサムウェアを「サービス」として貸し出すRaaSという仕組みの広がりで、専門知識のない攻撃者でも攻撃できるようになったことを挙げています。攻撃は自動化・分業化され、「規模が小さいから狙われない」という前提はすでに崩れているのです。IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2026」組織編でも、1位は「ランサム攻撃による被害」、2位は「サプライチェーンや委託先を狙った攻撃」。つまり防御の薄い中小企業を踏み台に、取引先まで巻き込む攻撃が定番化しています。
RaaSによる攻撃実行者の裾野の広がりが、対策が比較的手薄な中小企業の被害増加につながっていると考えられる。──警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(一次・2025年3月)
被害は「パソコンが使えなくなる」だけでは済みません。JPCERT/CC(国内のインシデント対応機関)への報告では、2025年1〜3月のわずか3か月で、Webサイト改ざんが95件(前四半期の53件から増加)。さらに同期間のインシデント6,081件のうち87%はフィッシングサイト、つまり本物そっくりの偽サイトです。改ざんされたサイトは、訪問者にウイルスを配る加害者側になり、検索やブラウザから警告対象として扱われることもあります。集客の入口だったはずのサイトが、信頼を壊す出口に変わるのです。
IPAが中小企業4,191社に行った実態調査でも、サイバーインシデントの影響として最も多かったのは「データの破壊」35.7%、「個人情報の漏えい」35.1%。そして警察庁のアンケートでは、ランサムウェア被害からの調査・復旧に1,000万円以上かかった組織が50%(前年37%から増加)、復旧に1か月以上を要した組織が49%。事業の停止・顧客への謝罪・信頼の失墜——広告費を何年分も積み上げても、取り返せない損失です。
ランサムウェア被害に遭うと、こうなる(警察庁アンケート・令和6年)
出典(一次):警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(2025/3) npa.go.jp
では、攻撃者はどこから入ってくるのか。警察庁のアンケートでは、VPNやリモートデスクトップ用の機器からの侵入が感染経路の8割以上。その原因として挙げられたのは、ID・パスワードが非常に安易だったこと、不要なアカウントが管理されずに残っていたことでした。派手なハッキングではなく、「鍵のかかっていない裏口」から入られているのが実態です。
Webサイトも同じ構造です。IPAの10大脅威2026(組織編)では「システムの脆弱性を悪用した攻撃」が4位。CMS(WordPressなどのサイト管理システム)は、本体・プラグイン・テーマに日々脆弱性(セキュリティ上の穴)が見つかり、修正版が配布されます。更新を放置したサイトは、「穴の場所が公開されたまま放置された家」と同じで、自動巡回する攻撃プログラムに機械的に発見され、改ざんや踏み台化の対象になります。「作って終わり」のサイトは、時間が経つほど危険になっていくのです。
これだけ被害が中小に集中しているのに、備えは進んでいません。IPAの2024年度実態調査では、直近過去3期の情報セキュリティ対策投資について、「投資していない」または「わからない」が全体の約7割。投資しない理由の1位は「必要性を感じていない」で約44%でした。一方で同じ調査では、2023年度にウイルス感染を経験した企業が14.8%、不正アクセスの影響を受けた企業が10.0%。脅威は現実に届いているのに、意識だけが「うちは大丈夫」のまま止まっているのです。
44%
セキュリティに投資しない理由の1位「必要性を感じていない」(中小企業4,191社調査)
出典(一次):IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査」(2025/5公開・2026-06-12閲覧)ipa.go.jp
どれだけ集客に投資しても、改ざんや漏えいが一度起きれば、積み上げた信頼はゼロではなくマイナスから再スタートになります。セキュリティは「守りのコスト」ではなく、集客の土台を守る投資です。
幸い、被害の入口が「放置」と「油断」である以上、基本の対策だけでリスクは大きく下げられます。①更新——CMS本体・プラグイン・サーバーやVPN機器を最新に保ち、脆弱性の穴を塞ぐ。②バックアップ——警察庁も、日頃のログ取得とバックアップのオフライン環境での保管を推奨しています(攻撃者は侵入時にログやバックアップごと消しに来ます)。③SSL(HTTPS)——通信を暗号化し、ブラウザに「安全なサイト」として扱われる最低条件を満たす(詳しくは関連記事「第一印象とHTTPSが、信頼を左右する。」へ)。④強いパスワードとアカウント管理——使い回し・単純な文字列をやめ、退職者や試験用の不要アカウントを削除する。
どれも高額なツールの話ではなく、「作って終わり」にせず、運用し続ける体制があるかという話です。サイトを持つことが当たり前になった今、差がつくのは「持っているか」ではなく「守れているか」。「うちは狙われない」ではなく「うちも狙われ得る」から始めることが、選ばれ続けるサイトの前提条件です。
あなたのサイトは、
「守り」まで設計されていますか?
SSL対応・CMSや機器の更新状況・バックアップ体制・改ざんリスクまで。サイトの「守れているか」を無料で診断レポートにしてお届けします。