「サイバー攻撃は大企業の問題」そう思っていませんか。
しかし現在、中小企業こそサイバー攻撃の主要な標的になりつつあります。
とくに近年は、取引先を経由して攻撃を広げる「サプライチェーン攻撃」が増加しており、知らないうちに自社が踏み台となり、取引先にまで被害を及ぼしてしまうリスクはゼロではありません。
とはいえ、「何から対策すればいいのか分からない」という経営者の方も多いでしょう。
そこで本記事では、実在する中小企業のサイバー攻撃事例をもとに、被害の実態や原因、そして今すぐ取り組むべき対策までを解説します。
中小企業が受けているサイバー攻撃の現状
サイバー攻撃の対象は大企業だけではありません。
むしろ対策が不十分な中小企業が狙われやすい傾向があります。
ここでは、中小企業を取り巻くサイバー攻撃の現状を解説します。
【この章で紹介する内容】
・中小企業の被害割合
・取引先にも影響する「サイバードミノ(サプライチェーン攻撃)」
・「うちは狙われない」という思い込みは経営リスクになる
中小企業の被害割合
帝国データバンクによると、サイバー攻撃を受けた経験がある企業は32.0%とされています。
参考:帝国データバンク「サイバー攻撃に関する実態調査(2025年)」
下表の規模別割合を見ると、割合としては大企業の被害が大きいものの、中小企業の被害も増えているのがわかります。
| 企業規模 | 割合 |
|---|---|
| 大企業 | 41.9% |
| 中小企業 | 30.3% |
| 小規模企業 | 28.1% |
さらに、1年以内にサイバー攻撃に遭った経験の割合を見てみましょう。
| 企業規模 | 一か月以内に受けた | 3か月以内に受けた | 半年以内に受けた | 1年以内に受けた |
|---|---|---|---|---|
| 大企業 | 5.5% | 3.3% | 3.0% | 7.3% |
| 中小企業 | 6.9% | 2.1% | 2.2% | 4.2% |
| 小規模企業 | 7.9% | 1.7% | 2.3% | 3.6% |
この表からわかるのは、近年、中小規模の企業がサイバー攻撃の標的になっているということです。
中小企業が「うちには関係ない」とは言えない状況になっています。
取引先にも影響する「サイバードミノ(サプライチェーン攻撃)」
なぜ中小企業のサイバー攻撃被害が増えているのでしょうか。
前提として知っておきたいのが「サイバードミノ」と「サプライチェーン攻撃」です。
サイバードミノ
サイバードミノとは、一社がサイバー攻撃を受けたことで、その被害がドミノ倒しのように連鎖し、取引先やその先の企業の業務まで停止させてしまう事態を指します。
攻撃者は、セキュリティが強固な本丸(大企業や政府機関)を直接攻撃しません。
代わりに、その周辺にある「対策の弱い中小企業」を最初のドミノとして倒し、そこを足がかりに内部へ侵入していきます。
サプライチェーン攻撃
サプライチェーン攻撃とは、標的とする大企業などを直接攻撃するのではなく、その取引先である中小企業や小規模事業者など、セキュリティ対策が比較的強固でない組織を「踏み台」にして攻撃を仕掛ける手法です。
サプライチェーン攻撃は、製品の原材料調達から製造、販売、消費にいたるまでの「供給網(サプライチェーン)」の隙を突きます。
大企業にサイバー攻撃を仕掛ける場合、直接狙うのではなくサプライチェーンの中で対策の弱い企業が狙われるのです。
「うちは狙われない」という思い込みは経営リスクになる
中小企業は、「うちには狙われる情報なんてない」と思いがちです。
しかし、調査を見てもわかるように、実際に中小企業を狙ったサイバー攻撃が増えています。
対策を怠った場合、被害は自社だけでなく、取引先やその先まで及びます。
サプライチェーン攻撃やサイバードミノの対象にならないためにも、サイバーセキュリティ対策は必要不可欠です。
社会的な問題となったサイバー被害も、侵入元は中小企業や取引先だったケースもあります。
大企業まで侵入された場合、どの程度の被害が発生するのか、以下のページで事例をまとめていますので、参考にしてみてください。
[blogcard url=”https://tri-gate.co.jp/netsec/companytargeted/”]
【2025年最新】サイバー攻撃を受けた企業一覧|被害内容・原因・復旧対応まで徹底解説
実際に被害を受けた中小企業のケーススタディ
サイバー攻撃は決して他人事ではありません。
実際に多くの中小企業が被害を受けています。
ここでは実在企業の事例をもとに、どのような攻撃が起きているのかを紹介します。
【中小企業の被害事例】
・ランサムウェアによる被害事例
・不正アクセスによる情報漏えい事例
・IT企業でも被害が発生している事例
・DDoS攻撃によるサービス停止事例
ランサムウェアによる被害事例
サイバー攻撃で多いのがランサムウェアによる被害です。
大企業ではなくても多くの企業が被害に遭っています。
以下は、ランサムウェアによる攻撃を受けた中小企業の一例です。
| 企業名 | 業種 | 概要 |
|---|---|---|
| 株式会社トンボ飲料 | 飲料メーカー(受託生産/OEM) | トンボ飲料「お知らせ」 |
| 株式会社三笑堂 | 医療機器・福祉用品販売(推定) | 三笑堂「ニュース一覧」 |
| 斎藤コロタイプ印刷株式会社 | 印刷(卒業アルバム制作) | 斎藤コロタイプ印刷「お知らせ」 |
| 株式会社丸菱ホールディングス | 食品関連(卸・製造等:不明) | 丸菱ホールディングス「お知らせ」 |
業種に関係なくランサムウェアの被害に遭っているのがわかります。
不正アクセスによる情報漏えい事例
不正アクセスは、ECサイトや会員システムを狙った攻撃として多く発生しています。
| 企業名 | 業種 | 概要 |
|---|---|---|
| 株式会社クレイズ「一撃オフィシャルショップ」 | EC/小売 | 一撃オフィシャルショップ「NEWS」 |
| 株式会社AKAISHI「AKAISHI公式通販」 | 靴メーカー/EC | AKAISHI「第三者不正アクセスによる個人情報漏えいに関するよくあるお問い合わせ」 |
| 株式会社フクヨシ「フクヨシショッピングサイト」 | 小売/EC | フクヨシ「News」 |
| アークシステムワークス株式会社 | ゲーム開発・販売 | アークシステムワークス「【重要】不正アクセスによるデータ流出に関して」 |
ECサイトや会員システムは、規模に関わらず運営している企業は多いです。
不正アクセスが発生してしまうと、顧客情報が流出し、企業の信頼が低下するため要注意です。
IT企業でも被害が発生している事例
IT企業であっても、サイバー攻撃を完全に防ぐことは簡単ではありません。
VPN機器の脆弱性やクラウド設定ミスを突かれて被害が発生します。
| 企業名 | 業種 | 概要 |
|---|---|---|
| 株式会社ロジックベイン | IT(ネットワーク監視/コンフィグ管理) | 株式会社ロジックベイン「不正アクセスに関するお知らせ 第3報・最終報告」 |
| 関西総合システム株式会社 | IT(国際物流向け業務システム) | 関西総合システム株式会社 「ニュース」 |
サイバーセキュリティ対策を行っている企業でも被害に遭ってしまうという事例です。
中小規模の企業であっても、セキュリティ対策、発生時の対応については整えておく必要があります。
DDoS攻撃によるサービス停止事例
Webサイトや公開サーバーに対して、短時間に膨大なアクセスを送りつけて機能不全に陥らせるのが「DDoS(ディードス)攻撃」です。
告発支援サービスを提供している「JUSTICEYE」もDDoS攻撃の被害に遭っています。
攻撃を受けると、Webサイトが閲覧不能、あるいはサービスが完全にダウンする事態になるのがDDoS攻撃の恐ろしい点です。
中小企業が標的にされる理由
サイバー攻撃は大企業だけの問題ではなく、中小企業も狙われやすい時代になっています。
この章ではその理由について解説します。
【この章で紹介する内容】
・セキュリティ対策が不十分な企業が多い
・サプライチェーン攻撃の踏み台にされる
・IT人材や担当者が不足している
セキュリティ対策が不十分な企業が多い
中小企業では「ウイルス対策ソフトだけ導入している」というケースもあり、ネットワーク全体を守る対策までは手が回っていないのが現状です。
防御の弱い企業は攻撃の対象になってしまいます。
セキュリティ対策が不十分な状態の例は次のとおりです。
・OSやソフトの更新がされていない
・パスワードが簡単・使い回し
・ネットワーク機器の設定不備
一般的なセキュリティ対策ですら後回しにされているケースもあるため、サイバー攻撃の標的にされてしまいます。
サプライチェーン攻撃の踏み台にされる
現在のサイバー攻撃では、セキュリティが強固な大企業を直接狙うのではなく、取引先である中小企業を経由する手法が増えています。
これが「サプライチェーン攻撃」です。
主な流れは以下のとおりです。
1.中小企業のメールやシステムを乗っ取る
2.正規の取引先を装って攻撃を拡散
3.最終的に大企業へ侵入
サイバーセキュリティ対策に取り組んでいない中小企業は、サプライチェーン攻撃の標的にされます。
IT人材や担当者が不足している
中小企業が狙われる背景には、サイバー攻撃に対抗できる「専門家」が社内にいないこともあげられます。
中小企業の現場では、総務担当者が兼務でIT管理を行っていたり、「PCに詳しい若手社員」が場当たり的に対応していたりしているケースも珍しくありません。
このように、IT人材が不足している状態では、適切なセキュリティ対策を取り入れるのは困難でしょう。
そのため、サイバー攻撃の対象として狙われる原因になります。
企業のサイバーセキュリティ対策なら
初めてセキュリティ対策に取り組むのであれば、 まずは、ウイルス対策とUTMの導入がおすすめです。
中小企業を狙う主なサイバー攻撃の種類
サイバー攻撃といっても種類はさまざまです。
ここでは、注意したい主なサイバー攻撃の種類を紹介します。
【ここで紹介するサイバー攻撃】
・ランサムウェア
・フィッシングメール
・不正アクセス
・DDoS攻撃
ランサムウェア
ランサムウェアは、社内のPCやサーバーにあるデータを勝手に暗号化して使えない状態にし、復元の対価として多額の金銭を要求する手口です。
データを盗んだ上で「公開する」と脅す二重恐喝(ダブルエクストーション)が主流になっています。
さらに、バックアップデータまで破壊されるケースも増えており、簡単なデータ保存では防げません。
実際に攻撃を受けた企業では、業務が完全に停止し、復旧までに数週間から数ヶ月を要するケースもあります。
フィッシングメール
フィッシングメールは、取引先や銀行、クラウドサービスを装ったメールで、偽サイトへ誘導しID・パスワードを盗み取る手口です。
最近では生成AIの影響で、見分けがつかないほど精巧なメールが増えています。
主な手口は以下のとおりです。
・実在企業を装ったログイン誘導メール
・偽の請求書や添付ファイル
・ビジネスメール詐欺(BEC)
1通のメールから社内アカウントが乗っ取られ、最終的には不正送金や情報漏えいに発展する可能性もあります。
不正アクセス
不正アクセスは、システムやネットワークの弱点を突いて侵入する攻撃です。
ID・パスワードの使い回しや、VPN機器・防犯カメラなどの脆弱性が主な侵入口になります。
近年は侵入後すぐに攻撃せず、長期間潜伏するケースも増えています。
主な侵入経路は次のとおりです。
・パスワードリスト攻撃
・VPNやネットワーク機器の脆弱性
・テレワーク環境の設定不備
侵入後は数ヶ月にわたり情報を収集し、最も効果的なタイミングで攻撃が実行されます。
つまり、気づかないうちに被害が進行する点が最大のリスクです。
DDoS攻撃
DDoS攻撃は、サービスを停止させることを目的とした攻撃です。
大量の通信を一斉に送りつけることで、サーバーや回線をパンクさせ、Webサイトやサービスを利用不能にします。
具体的な特徴は以下のとおりです。
・数万台の機器から同時に攻撃が行われる
・IoT機器が踏み台になる
・短時間でサービス停止に追い込まれる
この攻撃は自社だけで防ぐことが難しく、専門的な対策が必要です。
また、サービス停止は売上だけでなく、顧客からの信頼低下にも直結します。
中小企業が実施すべきサイバー攻撃対策
中小企業のサイバー対策は「正しい手順で段階的に進めること」が重要です。
「何からやればいいか分からない」という場合でも、実は基本的な流れは整理されています。
やみくもに機器を導入するのではなく、現状把握から運用まで順序立てて進めることで、無駄なコストを防ぎつつ効果的な対策が可能です。
具体的には、次の5ステップで進めるのが有効です。
1.現状把握:IT環境・機器・データの棚卸し
2.基本対策:OS更新やパスワード管理の徹底
3.機器導入:UTMやウイルス対策ソフトなどの活用
4.ルール整備:社内ポリシーや運用ルールの明確化
5.教育・運用:社員教育と継続的な見直し
また、最低限実施すべき対策としては以下が重要です。
・OS・ソフトのアップデート
・多要素認証の導入
・ウイルス対策ソフトの導入
・定期バックアップ
・フィッシング対策・社員教育
さらに、企業全体を守るには「端末+ネットワーク」の両方の防御が欠かせません。
そのため、ウイルス対策ソフト(EPP)に加えて、UTMなどのネットワーク機器を組み合わせた多層防御が基本となります。
より具体的な手順や機器の選び方については、以下で詳しく解説しているので、ぜひ参考にしてみてください。
中小企業サイバーセキュリティ対策の始め方|最初にやるべき手順と具体策を解説
よくある質問
最後によくある質問を紹介します。
サイバー攻撃の代表例は?
サイバー攻撃にはいくつかの代表的な手口があります。特に中小企業で被害が多いのは、ランサムウェアやフィッシングメール、不正アクセスなどです。
サイバー攻撃を受けた中小企業の割合は?
調査によると、サイバー攻撃を経験した中小企業の割合は30.3%です。
企業規模に関係なく「どの企業でも起こりうるリスク」といえます。
中小企業が実践すべきセキュリティ対策は?
まずはOS更新やパスワード管理、バックアップなどの基本対策を徹底することが重要です。
そのうえでUTMやEDRなどの機器導入、社内ルール整備、社員教育を組み合わせることで、実効性の高い対策になります。
まとめ:中小企業もサイバー攻撃に備える
本記事では、中小企業におけるサイバー攻撃の実態や被害事例、そして具体的な対策について解説しました。
中小企業でも実際に被害が増えており、「自社も例外ではない」という前提で対策を考えることが重要です。
【この記事の要約】
・サイバー攻撃は中小企業でも約30%が経験している
・ランサムウェアや不正アクセスなど被害は多様化している
・サプライチェーン攻撃により取引先にも影響が及ぶ
・対策不足や人材不足が狙われる原因になっている
・基本対策+機器導入による多層防御が重要
攻撃者は防御が弱い企業を優先的に狙うため、対策の有無がそのままリスクの差になります。
「うちは小さいから大丈夫」という考えは非常に危険です。
まずは、自社の現状を把握し、基本対策から着実に進めましょう。
加えて、UTMなどのセキュリティ機器や専門サービスを活用することで、無理なく高いセキュリティレベルを実現できます。
被害が起きてからでは遅いからこそ、今すぐ対策を始めることが重要です。
「どんな機器が自社に効果があるのかわからない」という方はぜひお気軽にご相談ください。
