サイバー攻撃は中小企業こそ狙われる|被害の割合・被害額・経営者が最初にやることを公的データで解説

中小企業のサイバー攻撃被害の割合と被害額を公的データで解説する記事のアイキャッチ

「サイバー攻撃は大企業の話」という認識は、公的データと逆です。警察庁に報告されたランサムウェア被害(2025年・226件)のうち、約6割が中小企業でした。また、IPAの調査では、被害を受けた中小企業の平均被害額は73万円、復旧まで平均5.8日かかっています。

この記事では、中小企業がどれくらい・なぜ狙われるのかを公的データで整理し、経営者が最初にやるべきこと(お金をかける前に「決めること」)までを解説します。

目次

データで見る——中小企業はどれくらい狙われているのか

ランサムウェア被害報告に占める中小企業の割合(約6割)を示す棒グラフの図解

まず、2026年7月時点で参照できる公的機関の最新データを並べます。

データ数値出典
ランサムウェア被害報告に占める中小企業の割合226件中約6割(2025年・前年と同水準)警察庁
被害を受けた中小企業の平均被害額73万円(100万円以上が9.4%、最大1億円)IPA 2024年度調査(4,191社)
復旧までの平均期間5.8日(50日以上が2.1%)IPA 2024年度調査
ランサム被害からの復旧に要した総額(調査・復旧費用)1,000万円以上が5割超。1か月未満で復旧できた組織は5割強にとどまる警察庁(2025年)
組織向け脅威ランキング1位ランサム攻撃、2位サプライチェーン・委託先を狙った攻撃IPA 10大脅威2026

注目すべきは金額の二層構造です。「平均73万円」は軽い被害も含めた平均であり、ランサムウェアのような重い被害に至ると調査・復旧費用だけで1,000万円を超える組織が半数以上になります。「当たれば軽傷では済まない」のが実態です。

なぜ大企業ではなく中小企業が狙われるのか——3つの理由

理由①:守りは薄いのに、持っているものは大企業と同じだから

中小企業も、顧客の個人情報、取引先とのメール、銀行口座、そして「会社の信用」を持っています。攻撃者から見れば得られるものの種類は大企業と同じで、突破に必要なコストだけが安い。費用対効果で選ばれているということです。

理由②:攻撃の大半は「無差別・自動」だから

攻撃の入口探しは人間ではなくプログラム(ボット)が行っており、規模や知名度で標的を選んでいません。古いソフトウェア・弱いパスワードという「穴」があるかどうかだけが基準です。「うちを狙う理由がない」という感覚が通用しないのは、そもそも狙っていない(機械的に見つけている)からです。

理由③:大企業への「入口」として価値があるから——サプライチェーン攻撃

IPAの「情報セキュリティ10大脅威2026」で組織向け脅威の2位に入ったのが「サプライチェーンや委託先を狙った攻撃」です。守りの固い大企業を直接攻めず、取引先の中小企業を踏み台にして侵入する手口で、8年連続のランクインです。

これは経営に直結します。被害に遭った場合、自社の損害に加えて取引先への加害者になり得るからです。実際、大手企業が取引条件としてセキュリティ体制の確認(チェックシートや監査)を求める動きは広がっており、対策の有無が受注に影響する時代になっています。

中小企業で実際に起きる被害の「型」

中小企業の被害は、おおむね次の3つの型に集約されます。

  • ランサムウェア(身代金型)——社内のデータが暗号化され業務が停止する。警察庁の統計(2025年)では製造業が約4割で最多。バックアップの有無が命運を分ける
  • Webサイトの改ざん・踏み台化——自社サイトがウイルス配布や詐欺への転送拠点にされ、顧客への加害者になる。国内事例と初動対応は別記事で解説(関連記事:Webサイトの改ざんとは?被害事例・気づき方・復旧手順
  • メール詐欺・アカウント乗っ取り——取引先になりすました偽請求(ビジネスメール詐欺)や、乗っ取ったメールでの詐欺メール拡散

型は違っても、入口は共通しています。更新されていないソフトウェア、弱い・使い回しのパスワード、そして「気づく仕組みがない」こと。総務省もホームページ改ざんの主原因としてこの基本の不備を挙げています。

会社のWebサイトは「入口」になり得る——WordPressサイトの盲点

サイバー攻撃対策というとパソコンやメールに目が行きがちですが、会社のホームページ(多くはWordPress)は外部に常時公開された「窓」であり、攻撃の入口として最初にスキャンされる場所です。WordPress関連の脆弱性の96%はプラグイン由来で、更新が止まったサイトから機械的に侵入されます。仕組みは別記事で解説しています。(関連記事:WordPressの脆弱性とは?放置リスクと経営者が取るべき対策

自社サイトに「開いた窓」がないかは、外部から無料で点検できます。当サイトの無料診断は、URLを入力するだけで17項目を点検し、危険度スコアを表示します。

経営者が最初にやるべきこと——お金より先に「決める」

サイバー攻撃対策の第一歩は、ツールの購入ではなく経営判断です。次の4つを決めるだけで、会社の耐性は大きく変わります。

  1. 担当と報告ラインを決める——「何かあったら誰が気づき、誰に報告するか」。決まっていない会社では、発見が数週間遅れます
  2. 基本対策の実施を指示する——更新・パスワード・二段階認証・バックアップ。無料でできるチェックリストは別記事にまとめています(関連記事:ホームページのセキュリティ対策チェックリスト
  3. 「戻せるか」を確認する——バックアップの有無ではなく、復元テストをしたことがあるか。ランサム被害の損害額は、ここで桁が変わります
  4. 公的支援を活用する——IPAの「SECURITY ACTION」(自己宣言制度)や、中小企業向けの「サイバーセキュリティお助け隊サービス」制度など、低コストで始められる支援があります(2026年7月時点。最新の制度内容はIPA・中小企業庁の公式サイトでご確認ください)

よくある質問

Q. 中小企業がサイバー攻撃を受ける割合はどれくらいですか?

警察庁に報告されたランサムウェア被害(2025年・226件)では約6割が中小企業です。報告されない軽微な被害や未遂(不正アクセスの試行)を含めれば、外部公開サーバーを持つ企業は規模を問わず日常的に攻撃を受けていると考えるのが実態に近いです。

Q. 被害額は実際いくらぐらいですか?

IPAの2024年度調査では、被害を受けた中小企業の平均被害額は73万円(9.4%は100万円以上、最大1億円)でした。ただしランサムウェアの重い被害では、調査・復旧費用が1,000万円を超えた組織が半数以上という警察庁の統計もあり、被害の重さで金額は大きく変わります。

Q. うちには盗まれて困る情報なんてありません。それでも狙われますか?

狙われます。攻撃者の目的は情報だけではなく、「御社そのもの」——メールアドレスの信用、サーバーの計算資源、取引先への入口——だからです。データを盗まれなくても、業務停止と取引先への加害で損害は発生します。

Q. サイバー保険には入るべきですか?

サイトや業務がITに依存している会社なら検討の価値があります。ただし保険は事後の金銭補填であり、失った営業日数と信用は戻りません。「基本対策+保険」の順序で考えてください。保険加入時に基本対策の実施状況を問われることも増えています。

Q. 予算も人もいません。最低限どこから手をつければいいですか?

費用ゼロでできる3つ——①ソフトウェアの更新を止めない ②パスワードの使い回しをやめ二段階認証を入れる ③バックアップの復元テストをする——から始めてください。自社ホームページについては無料診断で現在地を確認できます。

まとめ——「狙われない」前提を捨てるところから

公的データが示すのは、「中小企業だから狙われない」ではなく「中小企業こそ狙われている」という現実です。ただし、攻撃の入口は更新放置と弱いパスワードという基本の不備に集中しており、対策の第一歩に大きな予算は要りません。今日やるべきことは次の3つです。

  1. 「何かあったら誰が気づき、誰に報告するか」を決める
  2. バックアップの復元テストの実施を指示する
  3. 外部公開されている自社サイトを無料診断で点検する——URLを入れるだけで17項目を確認できます
Spyral(スパイラル)のロゴ

この記事を書いた人

Spyral(スパイラル)/「サイトの主治医」運営 代表 佐藤 秀之

2011年創業、東京都八王子市。情報セキュリティコンサルティング会社でシニアコンサルタントを務めた後に独立し、中小企業のWEB集客・サイト運用を14年支援。ゼロトラスト・セキュリティの研究(Zero Trust Resilience Lab)と現場経験をもとに、WordPress保守・脆弱性診断サービス「サイトの主治医」を運営しています。運営者情報 →

本記事の統計は2026年7月時点の公開情報(警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等」、IPA「2024年度中小企業等実態調査」「情報セキュリティ10大脅威2026」)に基づいています。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次