サイバー攻撃されたらどうなる?
被害事例5選と中小企業が今すぐ取るべき対策
「サイバー攻撃なんて、うちみたいな小さな会社には関係ない」そう感じている方は意外と多いものです。
ですが実は、警察庁の最新データでは、ランサムウェア被害にあった企業の約6割が中小企業とされており、大企業だけでなく中小企業でもセキュリティ対策が欠かせません。
この記事では「サイバー攻撃をされたらどうなるのか?会社にどんなことが起きるのか?」を、「実際の被害事例5選と今日から始められる対策を交えながら、わかりやすく解説していきます。
サイバー攻撃されたらどうなる?企業に起こる6つのこと
サイバー攻撃と聞くと、「パソコンがウイルスに感染して動かなくなる」程度のイメージを持つ方も少なくありません。
しかし実際には、お金の被害、データの流出、取引先への迷惑、そして最悪の場合は会社の倒産まで、まるでドミノ倒しのように次々と問題が広がっていきます。
ここでは、サイバー攻撃を受けた企業によく起こる6つのことを、起こる順番に沿ってわかりやすく整理します。
①仕事が止まる|数日〜数ヶ月のシステムダウン
最近とくに増えているのが、ランサムウェアと呼ばれる「身代金要求型ウイルス」による被害です。
このウイルスに感染すると、社内のパソコンやサーバーに保存されたデータがすべて開けない状態にされてしまい、業務が一気にストップしてしまいます。
警察庁の2025年上半期の調査によると、ランサムウェア被害から復旧に1ヶ月以上かかった企業は約47%※と報告されています。
製造業では工場の生産ラインが止まり、病院では電子カルテが使えず診療がストップ、物流会社では配送が滞るなど、業種を問わず深刻な影響が出ています。
※調査時点でまだ復旧中の企業を含む(有効回答47件中22件、 警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」より)
仕事が止まっている間も、家賃や人件費などの固定費は出ていきます。
「1ヶ月の停止で、その年の利益が吹き飛んでしまう」中小企業にとっては、決して大げさな話ではありません。
②お金が失われる|身代金・詐欺・復旧費用・売上減少
サイバー攻撃によるお金の被害は、大きく4つに分けられます。
- 身代金の要求
- ランサムウェアでは、暗号化を解除する代わりにお金を要求されます。
金額は数百万円〜数億円にのぼることもあり、しかも支払ってもデータが戻ってくる保証はありません。 - 不正送金・不正利用
- 取引先や社長になりすました偽のメールで、経理担当者に振込指示を出させる手口です。
1件で数千万円〜数億円の被害が出ることもあります。 - 復旧にかかる費用
- 警察庁の2025年データでは、ランサムウェア被害企業のうち復旧費用が1,000万円以上かかった会社の割合は、2024年の50%から59%へと増加しています。
原因調査、システムの作り直し、専門家への依頼など、想像以上にお金が必要になります。
参考:警察庁サイバー警察局「令和7年上半期における サイバー空間をめぐる脅威の情勢等について」 - 売上減少・機会損失
- ECサイトの停止や工場停止などにより、業務が止まっている間の売上がそのまま失われます。
1ヶ月の停止で年間利益の大半が消えるケースも少なくありません。
さらに、株価の下落やブランドイメージの毀損といった間接的な損失も発生します。
お金の被害は「直接出ていくもの」だけでは終わらないという点が、サイバー攻撃の特に怖いところです。
③大切な情報が外に漏れる
最近のサイバー攻撃は、データを使えなくするだけでなく、「奪った情報をネット上で公開するぞ」と脅す手口が主流になっています。
漏れてしまう情報は、お客様の名前・住所・電話番号・クレジットカード情報、取引先との契約内容、従業員のマイナンバーや給与情報など、多岐にわたります。
そして恐ろしいのは、一度ネットに流れた情報は完全に消すことができないということ。被害が半永久的に残ってしまうのです。
④損害賠償を請求される
情報が漏れてしまうと、被害にあったお客様や取引先から損害賠償を求められることがあります。
個人情報1件あたりの賠償の相場は数千円〜数万円といわれていますが、漏えい件数が大規模になればなるほど、総額は企業にとって致命的なレベルにまで膨れ上がります。
取引先の機密情報が漏れた場合は、契約違反による違約金が発生することも考えられます。
⑤取引先から契約を切られる
経済産業省の調査では、サイバー攻撃を受けた中小企業の多くが、取引先にも影響を及ぼしてしまったことが明らかになっています。これは「サイバードミノ」と呼ばれる現象です。
近年は大企業ほど、取引先のセキュリティ対策を厳しくチェックするようになっています。そのため、一度サイバー攻撃を受けてしまうと「リスクの高い取引先」と見られてしまい、契約を切られてしまうケースが増えているのです。
主要な取引先を失ってしまえば、それだけで会社の経営は一気に苦しくなります。「サイバー攻撃は他人事」ではなく、「取引を失うリスク」として捉える必要があるのです。
参考:経済産業省「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」⑥信用を失い、最悪の場合は倒産につながるケースも
ここまでの被害が積み重なって、最後に直面しうるのが信用の失墜、そして最悪のケースでは倒産です。
ニュースやSNSでの拡散による評判の悪化、お客様離れ、取引停止、賠償金、復旧費用、業務停止中の固定費など。
こうしたものが一度に押し寄せたことで、廃業に至ってしまった中小企業の事例も報告されています。
中小企業の場合は、大企業のように分厚い内部留保があるわけではありません。一度の大きなサイバー被害が、そのまま資金繰りの行き詰まりにつながってしまうこともあります。
ただし、これらの被害は事前の備えで大きく軽減できるのも事実です。
「サイバー攻撃は経営に関わる大切なテーマ」と捉えて、できるところから少しずつ対策を始めていきましょう。
【最新】サイバー攻撃の被害事例5選
「サイバー攻撃って、本当に自分の会社にも起こるの?」
そう感じている方にこそ読んでいただきたいのが、ここからご紹介する実際に日本で起きた被害事例5選です。
「業種が違うから関係ない」「規模が違うから大丈夫」という油断が、サイバー攻撃のリスクを高める原因の一つになり得ます。
自社のセキュリティ対策を検討するうえで、ぜひ参考にご覧ください。
事例① 【精密機器メーカー】ランサムウェア攻撃で社内システム停止、個人情報流出
| 業種 | 精密機器メーカー(大手) |
|---|---|
| 発生時期 | 2024年10月5日 |
| 攻撃手口 | ランサムウェア |
| 主な被害 |
|
| 原因 | フィッシングメール対策及び海外拠点を含むグローバルでのネットワークセキュリティ体制に一部不備 |
| 参考サイト | カシオ計算機「ランサムウェア攻撃による情報漏えい等調査結果について」 |
大手精密機器メーカー(カシオ計算機)が、自社サーバーへのランサムウェア攻撃を受けた事例です。
海外からの不正アクセスにより社内システムが使用不能となり、サービスの一部停止に加え、従業員・取引先・顧客の個人情報や、取引先との請求書・契約書・売上等のデータが流出しました。
大企業でも防ぎきれないのが現実です。中小企業はなおさら「攻撃されることを前提」としての備えが必要な時代になっています。
事例② 【医療機関】取引先のVPN機器から侵入、完全復旧まで73日間
| 業種 | 総合病院(地方独立行政法人) |
|---|---|
| 発生時期 | 2022年10月31日 |
| 攻撃手口 | 取引先(給食委託会社)のVPN機器の脆弱性を突くサプライチェーン攻撃(ランサムウェア) |
| 主な被害 |
|
| 原因 |
|
| 参考サイト | 大阪急性期・総合医療センター「情報セキュリティインシデント調査報告書 概要 」 |
大阪急性期・総合医療センターを襲った、サプライチェーン攻撃の象徴的な事例です。
攻撃者は病院本体ではなく、給食を委託していた取引先のVPN機器の脆弱性を突いてシステムへ侵入、そこから病院のシステムに広がっていきました。
自社のセキュリティ対策がどれだけ万全でも、取引先が侵入口になることがあります。
事例③ 【飲料メーカー】受発注・物流停止、個人情報漏えいのおそれ
| 業種 | 飲料メーカー(大手) |
|---|---|
| 発生時期 | 2025年9月29日 |
| 攻撃手口 | ランサムウェア(ネットワーク機器経由で侵入、管理者権限を奪取後にデータを暗号化) |
| 主な被害 |
|
| 原因 |
|
| 参考サイト | アサヒグループホールディングス「サイバー攻撃被害の再発防止策とガバナンス体制の強化について」 |
大手飲料メーカー(アサヒグループHD)が、ランサムウェア攻撃により受発注・物流業務の停止に追い込まれた事例です。
被害は「業務停止」だけでは終わりません。膨大な顧客データを抱える企業ほど、情報漏えいによる信用ダメージが長引きます。
事例④【ECサイト運営】サイトの脆弱性を突かれ、クレジットカード情報が漏えい
| 業種 | EC・通販サイト運営(全国組織の通販事業) |
|---|---|
| 発生時期 | 2024年5月14日 |
| 攻撃手口 | クロスサイトスクリプティング(XSS)の脆弱性を悪用し、不正ファイル設置・ペイメントアプリケーションを改ざん(Webスキミング型) |
| 主な被害 |
|
| 原因 |
|
| 参考サイト | JF全漁連「通販サイト『JFおさかなマルシェ ギョギョいち』への不正アクセスによる個人情報漏えいの恐れに関する調査結果のご報告」 |
近年、ECサイトの脆弱性を突いたクレジットカード情報漏えいが相次いでいます。
全国漁業協同組合連合会(JF全漁連)が運営する通販サイトでは、カード番号・有効期限・セキュリティコードを含む11,844件のクレジットカード情報と、会員 21,728件分の個人情報が漏えいした可能性が公表されました。
ECサイトを運営している中小企業にとって、クレジットカード情報漏えいは事業継続の最大リスクとなります。
事例⑤【航空】大手航空会社の大規模システム障害
| 業種 | 大手航空会社(運輸業・重要インフラ事業者) |
|---|---|
| 発生時期 | 2024年12月26日 |
| 攻撃手口 | サイバー攻撃 |
| 主な被害 |
|
| 原因 | 社内外を結ぶネットワーク機器に対し、外部から大量のデータが送信されたことによるネットワーク機器の過負荷 |
| 参考サイト | 日本経済新聞「JALサイバー攻撃、システムが復旧 27日も1便欠航」 |
大手航空会社(日本航空)が、年末の繁忙期にサイバー攻撃を受けた事例です。JAL公式発表によれば、社内外をつなぐネットワーク機器に対して外部から大量のデータが送信され、これによってシステムが過負荷状態に陥りました。
今回、顧客データの流出やウイルス感染は確認されていないとのことですが、空港という重要インフラ事業者が狙われることで、社会全体に波及するリスクの大きさが伺えます。
なぜ中小企業がサイバー攻撃に狙われるのか?4つの理由
「うちみたいな小さな会社が、なぜ攻撃の標的になるの?」
サイバー攻撃の被害に遭った中小企業の経営者から、よく聞かれる言葉です。
実は、攻撃者にとって中小企業は「手間をかけずに被害を出せる、もっとも狙いやすい相手」として、標的になっています。
- 理由① 大企業より「セキュリティが手薄」と知られている
- 多くの中小企業では、セキュリティ投資が少ない・専門人材がいないといった理由で、情報システム担当者が総務や経理と兼任、セキュリティ対策は市販のウイルス対策ソフトだけ、古いルーターを使い続けているといったケースも少なくありません。
こうした状況は攻撃者から見れば好都合なターゲットになります。 - 理由② サプライチェーンの「踏み台」にされやすい
- 近年もっとも増えているのが、サプライチェーン攻撃です。
攻撃者が大企業を直接狙うのではなく、取引先の中小企業を経由して大企業に侵入する手口です。 - 経済産業省の調査では、サイバー攻撃を受けた中小企業の約7割が取引先にも影響を及ぼしたことが分かっています。
参考:経済産業省「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」 - 理由③従業員のセキュリティ教育が不十分
- サイバー攻撃の主要な侵入経路の一つが、「人を騙すメール」(フィッシングメールや標的型攻撃メール)です。
いくら高価なセキュリティ機器を導入しても、従業員1人の操作ミスで簡単に被害が発生してしまう可能性があります。 - 理由④「ウイルス対策ソフトだけ」で安心している
- 近年のサイバー攻撃は、標的型攻撃、未知のウイルス、ビジネスメール詐欺攻撃など、ウイルス対策ソフト1つでは到底防ぎきれない多様な手口に進化しています。
セキュリティ対策で重要なのは、「複数の層で防御を重ねる」という考え方(多層防御)です。
UTM(統合脅威管理)のような1台で複数の脅威を防ぐ仕組みが、中小企業に最適な選択肢として注目されています。
サイバー攻撃と関わりの深い3つの法律
【企業が知っておきたい基礎知識】
サイバー攻撃は、企業にお金や信用の損失だけでなく、「法律との関わり」も生み出します。
普段あまり意識することはありませんが、実は日本にはサイバー攻撃や情報漏えいに関連する法律がいくつかあり、その中には違反した場合の罰則が設けられているものもあります。
「法律」と聞くと身構えてしまうかもしれませんが、中小企業の経営者やIT担当者として、最低限知っておきたい3つの法律をご紹介します。
① 個人情報保護法|漏えい時には報告義務がある
最も身近で重要なのが、個人情報保護法です。
企業や行政機関などが個人情報を適切に取り扱うための基本ルールを定めた法律です。
2022年4月の改正以降、個人データの漏えいや不正利用のおそれがある場合、個人情報保護委員会への報告と、必要に応じて本人への通知が義務化されました。
さらに2024年4月1日に個人情報保護法施行規則とガイドラインの一部が改正され、Webスキミング(ECサイトでクレジットカード情報などを盗む手口)対策として、報告対象が一部拡大されています。
報告を怠ったり命令に違反したりすれば、罰則(個人:最大100万円の罰金、法人:最大1億円の罰金など)が科される可能性もあります。
万が一の事態に備えて、最低限の流れだけでも知っておくと安心です。
② サイバー対処能力強化法|2026年施行の新制度
2025年5月23日に公布され、2026年10月から本格施行される予定なのが、「サイバー対処能力強化法」です。
これは、サイバー攻撃を受けてから対処するのではなく、被害が出る前に未然に防ぐ仕組み(能動的サイバー防御)を整えるための法律です。
主に対象となるのは、電力・通信・鉄道・金融などの基幹インフラ事業者ですが、その取引先や委託先となっている中小企業にも、間接的に影響が及ぶ可能性があります。
詳しくはこちらの記事をご覧ください。
「サイバー対処能力強化法とは?
対象企業・施行日・義務とUTM対策までわかりやすく解説」
③ 不正競争防止法|営業秘密の漏えいに関わる法律
意外と見落とされがちなのが、不正競争防止法です。
営業秘密(顧客リスト、技術データなど)を不正に取得・使用する行為が禁止されており、違反すれば刑事罰や損害賠償の対象になります。
ただし、自社がサイバー攻撃を受けて取引先の営業秘密を流出させた場合は、別の法的責任を問われる可能性があります。
- 秘密保持契約(NDA)違反による損害賠償請求
- 民法上の不法行為(セキュリティ対策を怠った過失)による損害賠償請求
- 契約違反による違約金の発生
「攻撃の被害者なのに、なぜ自社が責任を?」と感じるかもしれませんが、「適切なセキュリティ対策を怠っていた」と判断されれば、加害者として責任を問われるのが現実です。
中小企業が今すぐ取るべきサイバー攻撃対策5選
ここまで読んでいただき、「サイバー攻撃の怖さは分かったけれど、結局、何から始めればいいの?」と感じている方も多いのではないでしょうか。
そこで、ここでは専門知識がなくても、今日から取り組める対策を5つに絞ってご紹介します。
対策① 従業員教育「人の操作ミス」を減らす
サイバー攻撃の主要な侵入経路の一つが、「人を騙すメール」(フィッシング・標的型攻撃メール)です。
今すぐ取り組めること
- 「不審なメールは開かない」ルールの社内徹底
- 標的型メール訓練の年1〜2回の実施
- メールの送信元アドレス・URLを必ず確認する習慣づけ
- 怪しいメールを受け取ったときの社内報告ルートの整備
特に効果が高いのが、企業や組織の従業員を対象に、サイバー攻撃を想定した疑似的な攻撃メールを送信し、その対応状況をテストする標的型メール訓練です。1回実施するだけでも、従業員の意識が大きく変わります。
対策② パスワード管理と多要素認証(MFA)の徹底
攻撃者は、よく使われるパスワードを自動で試して侵入する手口を日常的に行っています。
今すぐ取り組めること
- 10文字以上+英大文字・小文字・数字・記号を組み合わせた複雑なパスワードを使う
- 同じパスワードを複数のサービスで使い回さない
- 多要素認証(MFA)を有効にする(パスワード+スマホ認証など)
- 退職者のアカウントは速やかに削除する
- パスワード管理ツールを導入する
特に重要なのが多要素認証です。たとえパスワードが漏れても、スマホアプリでの追加認証があれば不正ログインを防げる可能性が大幅に高まります。
対策③ データバックアップの「3-2-1ルール」
ランサムウェアの被害を最小限にするカギは、「攻撃を受けても元に戻せる」備え、つまりバックアップです。
「3-2-1ルール」は、あらゆるデータの消失に対処できるバックアップの手法です。
| 3 | 常にデータのコピーを3つ保持する(元データ+バックアップ2つ) |
|---|---|
| 2 | バックアップは、2種類の異なるメディア(例:HDD+クラウドなど)に保存する |
| 1 | そのうち1つは物理的に距離のある場所(オフサイト)に保管する |
クラウドや遠隔地に保管されたバックアップは、ネットワーク的に切り離されているため攻撃を受けにくく、「最後の砦」として機能してくれます。
対策④ エンドポイントセキュリティ(EDR・ウイルス対策ソフト)
パソコンやサーバーといった「エンドポイント(端末)」を守る対策も欠かせません。
近年のサイバー攻撃は、既知のパターンに当てはまらない「未知の脅威」が増えています。
そのため、従来のウイルス対策ソフトだけでなく、デバイス内での不審な挙動を監視する「EDR」のような仕組みを併用するのが効果的です。
対策⑤ UTM(統合脅威管理)による多層防御
ここまで紹介した対策はどれも重要ですが、それぞれが独立しているという弱点があります。
そこで、中小企業のセキュリティ対策の「中心」としておすすめしたいのが、UTM(統合脅威管理)です。
UTMとは、1台の機器で複数のセキュリティ機能を統合的に提供する仕組みのことです。
| 機能 | 役割 |
|---|---|
| ファイアウォール | 外部からの不正アクセスをブロック |
| アンチウイルス | ウイルスを検知・遮断 |
| アンチスパム | 迷惑メールをフィルタリング |
| Webフィルタリング | 危険なサイトへのアクセスを防ぐ |
| IDS/IPS | 不正侵入の検知・防御 |
これらの機能が1台のUTMにまるごと入っているのです。
専任のIT担当者がいない中小企業でも、機器の設定や運用をベンダー側にお任せできるサービスが多く、安心して導入できます。
中小企業に最適!費用を抑えて始められる「UTMレンタル」とは
「UTMが大事なのは分かったけれど、導入するとなると一体いくらかかるの?」
「設定が難しそう…うちの会社で運用できるか不安…」
そのような方におすすめなのが、弊社の「UTMレンタルサービス」です。
弊社のUTMレンタルが選ばれる3つの理由
- ①初期費用0円で始められる
- 当社のUTMレンタルなら初期費用0円・月額13,000円程度~でご利用いただけます。
コストを抑えつつ、サクサのUTM「SS7000Ⅲ」や、Check Pointの人気シリーズ「Quantum Spark 2500」などの機器を活用できるのが魅力です。
- ②設置・設定までプロがサポート
- 弊社の専門スタッフが、機器のレンタルから、設置、設定まで対応するため、「設定方法がわからない」「なにを準備したら良いかわからない」という担当者様にもご好評いただいています。
- ③UTMと合わせて他のセキュリティ対策もまとめてご提案
- 物理的なセキュリティ対策をご検討の方には、防犯カメラ・入退室管理システム・防犯センサーといったサービスもご提案可能です。
複数のセキュリティ対策をまとめて導入することで、余分な手間やコストを減らせます。
企業の情報を守るセキュリティサービス
導入までの流れ
- ①無料相談・お問い合わせ:まずはお気軽にご相談ください
- ②現地調査・ヒアリング:お客様の環境とご要望を確認します
- ③見積もり提出・ご契約:最適なプランをご提案します
- ④運用開始:設置・設定が完了したら、運用スタート
「興味はあるけど、まずは話だけでも聞いてみたい」そんな段階で大歓迎です。
お電話・メール・LINEにて無料相談を受け付けておりますので、まずはお気軽にご連絡ください。
現地調査・お見積り無料!
まとめ 早めの対策で会社を守る
UTM導入のご相談はトリニティーへ
サイバー攻撃のニュースを目にして、「うちも何かしないとマズいかも」と感じたときが、対策を始める絶好のタイミングです。
被害が起きてから動き出すと、調査費・復旧費・賠償金で数百万〜数千万円のコストが発生します。
初期費用0円・月々定額のUTMレンタルなら、専門知識がなくてもプロのサポートのもと、最小限のコストで本格的なセキュリティ対策を始められます。
「まずは話だけでも聞いてみたい」という段階でも大歓迎です。サイバー攻撃対策を検討中の企業様は、お気軽にご相談ください。
セキュリティのお悩みごと、なんでもお気軽にご相談ください!
注目キーワード
