目次

  1. 2026年の典型的な月曜日の朝
  2. 誰が狙われているか:ターゲット分布
  3. 攻撃を実行しているグループ
  4. 中小企業を脆弱にする3つのギャップ
  5. 5日間の攻撃ウィンドウ
  6. ランサムウェア攻撃の本当のコスト
  7. ほとんどの中小企業が見えていない12の露出ポイント
  8. 率直な結論

1. 2026年の典型的な月曜日の朝

14名の個人傷害専門の法律事務所が午前9時に業務を開始します。担当パラリーガルがクライアントデータベースにアクセスしようとします。アクセス拒否。ITに連絡します——とはいっても実際にはルーターも担当するオフィスマネージャーです。彼もログインできません。ファイルサーバーには身代金要求書が表示されています。READ_ME_NOW.txtというファイル名で、72時間以内に9万5千ドルをビットコインで支払わなければ顧客ファイルを公開すると書いてあります。3年分の案件資料、和解記録、医療記録。消えました。

これは仮説ではありません。INC Ransomグループ単独で2026年最初の4ヶ月に20件以上の法律事務所を標的にしています。セキュリティ企業Halcyonは2025年から2026年初頭にかけて法律関係事業者に対するランサムウェア事件を200件以上追跡しました。法律事務所が狙われる理由はランダムではありません——機密性の高いデータ、迅速な解決へのプレッシャー、そして弁護士・依頼者間の秘匿特権を守ることが身代金額そのものより優先されるという攻撃者側の読みがあります。

歯科医院、会計事務所、物流会社も同じカテゴリです。ヘルスケア分野では2025年だけで636件のランサムウェア攻撃が発生し、そのうち26%が小規模プロバイダーを標的にしました。2026年のある事件で患者管理システムをロックされた経営者はこう語っています。インシデントレポートで何度も出てくるお決まりの言葉です:「うちは小さすぎてハッカーに気づかれないと思っていました。」

「バックアップはありました。大丈夫だと思っていました。でも知らなかったのは、暗号化が実行される9日前から攻撃者がすでにネットワーク内にいたということです。その時点ですでにクライアントリストを外部に持ち出し、バックアップサーバーを見つけて削除していました。頼りにしていたバックアップはもう存在しなかったんです。」
— 匿名、従業員22名の会計事務所、2026年第1四半期。復旧コスト:6週間で218,000ドル。顧客離脱:31社中4社のアクティブ契約を失った。

2. 誰が狙われているか:ターゲット分布

中小企業への標的シフトは2022年頃から始まっていましたが、2024年に法執行機関がいくつかの大規模ランサムウェアグループを摘発した後、急激に加速しました。生き残ったグループと新興グループは、1社の大企業に数ヶ月かけて侵入する代わりに、数十の中小企業を一気に狙う「量」の戦略にシフトしました。

企業規模別ランサムウェア被害割合 — 2025年データ
50名未満
42%
50〜250名
29%
250〜500名
14%
500〜1,000名
8%
1,000名以上
7%
出典:Verizon DBIR 2025、Huntress Ransomware Statistics 2026。数値は四捨五入。

従業員50名未満の42%という数字は衝撃的です。このカテゴリには会計士、歯科医院、3店舗展開の飲食チェーン、地域の物流業者が含まれます。専任のIT担当者がいないどころかセキュリティチームなど存在しない組織です。

2026年で変わったのは自動化のスケールです。攻撃者は数百万のIPアドレスを同時に継続スキャンするツールを使っています。古いVPNエンドポイント、設定ミスのあるリモートデスクトップ、パッチ未適用のCMS——こうした露出したサービスをスキャンが検知すると自動でフラグを立てます。人間の攻撃者がそのリードを拾い、標的型の侵害を開始します。最初のスキャンはほぼコストゼロです。あなたの会社の露出状況は、誰かが意図的に調べる前に「発見されたリード」になっています。

3. 攻撃を実行しているグループ

2026年のランサムウェア環境は2023年より断片化しています。主要グループ——LockBit、ALPHV/BlackCat——は法執行機関によって摘発されましたが、再編されたかあるいは後継グループを生みました。現在、中小企業を最も積極的に狙っている4グループをご紹介します。

Qilin
2026年Q1 最多活動
41%
Akira・LockBit・The Gentlemenと合わせた2026年Q1の全被害者シェア
主な標的:医療、教育、法律サービス、地方製造業。Qilin単独で2026年Q1の被害者数は下位50グループの合計を上回りました。
Cl0p
大量エクスプロイト
22件
2026年2月1日の1日の攻撃件数
手口:エンタープライズソフトウェアの脆弱性(CVE-2025-61882等)を大量に悪用。医療・金融・物流・テクノロジー企業を複数国で同時に攻撃する。
LockBit
継続活動中
5.0
法執行機関による摘発後も継続する現行バージョン
主な標的:IT担当者のいない中小企業。パッチ未適用のVPNゲートウェイ、RDP露出、フィッシングを入口とし、内部展開にSMBプロトコルを使用する。
INC Ransom
業種特化型
20件以上
2026年最初の4ヶ月で標的にした法律事務所数
主な標的:法律サービス、医療機関、会計事務所。クライアントの機密保持が最大のレバレッジになる組織を優先的に選ぶ。

これらのグループに共通するのはRansomware-as-a-Service(RaaS)モデルです。コア開発者がマルウェアを開発・保守します。アフィリエイト——実質的に独立した請負業者——が攻撃を実行し、身代金収益を分け合います(通常70/30または80/20でアフィリエイト有利)。このモデルが攻撃の量を急速にスケールさせられる理由を説明しています。開発者を増やす必要はなく、アフィリエイトを増やせばよいのです。アフィリエイトは簡単な標的を好みます。中小企業は簡単な標的です。

4. 中小企業を脆弱にする3つのギャップ

ランサムウェアのアフィリエイトに「なぜその企業を標的にしたのか」と聞けば、正直な答えはほぼ「侵入が簡単だったから」になるでしょう。「簡単」を作り出す3つの条件がインシデントレポートに繰り返し登場します。

ギャップ1:深夜2時に監視する人がいない

大企業のセキュリティオペレーションセンターは24時間365日稼働しています。深夜2時14分に通常会話しないホスト間で異常なSMB接続が発生し、業務時間外に新しい管理者アカウントが作成され、未知のIPへ40GBの送信トラフィックが発生すれば——誰かが対応します。2026年に記録された事件では、800拠点のある小売チェーンが自動システムのアラートと人間のオペレーターの連携によって1時間47分でランサムウェア攻撃を封じ込めました。

多くの中小企業にはそれがありません。異常を調査するはずの担当者が寝ています。ログシステムがあったとしてもレビューされずに積み上がっていきます。攻撃者はこのリズムを知っています——平日の深夜1時から4時に最終ペイロードを展開するのが一般的です。それより前の数日間、業務時間中はあくまで静かに、計画的に動いています。

ギャップ2:把握されていない攻撃対象領域

大企業のセキュリティチームはアセットインベントリを維持しています。公開されているすべてのシステム、IPレンジ、露出しているサービスを把握しています。定期的な脆弱性スキャンを実施し、変化の週次レポートを受け取ります。

多くの中小企業は何が露出しているかを把握していません。怠慢だからではなく、知っておく必要があると誰も教えてくれなかったからです。リモートワーク時代の名残で開いたままのリモートデスクトップエンドポイント。誰もメンテナンスしない旧WordPressサイトのサブドメイン。3年前の開発テストで公開設定にされたまま放置されたS3バケット。ShodanにキャッシュされたJavaScriptファイルのAPIキー。これらはすべて実際の侵入口であり、企業が気づくのは事後のフォレンジックの段階——被害が確定した後です。

ギャップ3:ダブルエクストーションという現実

旧来のモデルは「すべてを暗号化して身代金を要求し、払わなければバックアップから復元」でした。多くの組織はこれに対してバックアップ管理で応じました。そこで攻撃者は第二の層を追加しました:まず盗む、それから暗号化する。今やバックアップから数時間で復元できたとしても、攻撃者はあなたのクライアントデータ、財務記録、従業員ファイルを持っています。払わなければ公開すると脅してきます。バックアップ管理はもはやランサムウェアを無力化しません——脅威の一側面を取り除くだけです。

5. 5日間の攻撃ウィンドウ

初期侵害からランサムウェア実行までの中央値は、2023年の14日から2025年にはわずか5日に短縮しました。攻撃者は加速しています。内部偵察を自動化しました。暗号化前に発見できる窓はどんどん狭くなっています。

0
0日目 — 初期侵入

攻撃者が入る。あなたは気づかない。

侵入は4つのルートのいずれかによります。認証情報を奪うフィッシングメール、公開サービスの脆弱性悪用、ダークウェブで購入したVPN認証情報、またはRDPのブルートフォース攻撃です。この段階では何も暗号化・削除されません。足がかりは無音です。

  • 最多の侵入経路:フィッシング(33%)・公開サービス悪用(28%)・認証情報窃取(24%)
  • フィッシングメールはQRコードや正規のファイルホスティングを使い標準フィルターをすり抜けます
1
1〜2日目 — 偵察

ネットワークをマッピング。重要資産を特定。

攻撃者はPowerShell・WMI・netコマンドなどWindowsネイティブのツールを使ってウイルス対策を回避します。どのマシンが存在するか、どのアカウントに管理者権限があるか、ファイルサーバーはどこか、バックアップはネットワーク経由でアクセス可能かを調べます。BloodHoundでActive Directoryの権限経路を自動マッピングすることも多いです。この段階は特定の監視がなければ通常の管理トラフィックに見えます。

2
2〜4日目 — 権限昇格とデータ窃取

管理者権限を取得。壊す前にすべてを盗む。

脆弱性の悪用や権限付き認証情報の入手でドメイン管理者権限を取得します。このレベルに達すると、バックアップシステムにアクセスして削除するかネットワークから切断します。クライアントリスト・財務記録・人事ファイルなどの機密データを攻撃者管理のサーバーに送信します。この段階が「バックアップ復元だけでは不十分」な理由です。

3
4〜5日目 — 暗号化と身代金要求

深夜2時。すべてが止まる。

ランサムウェアのペイロードがアクセス可能なすべてのシステム——ワークステーション・ファイルサーバー・クラウド同期ドライブ——に同時展開されます。暗号化はデータ量にもよりますが30分〜数時間かかります。身代金要求書が表示されます。これが組織にとって「何かが起きた」と気づく最初の瞬間です。しかし本当のダメージ(データ窃取・バックアップ削除)はすでに数日前に完了しています。

Alert

多くの組織が見落としていること:身代金要求書を見た時点で、あなたはすでに交渉の立場にいます。行動すべき瞬間は1〜4日目、攻撃者が異常なネットワーク挙動としてのみ見える段階——誰かが監視していれば——でした。これが多くの中小企業にとって、レスポンス計画よりも予防と検知の方が重要な理由です。

6. ランサムウェア攻撃の本当のコスト

メディアは身代金額に注目します。実際のコストはほぼ常に身代金より大きく、組織の予想をはるかに超えることが多いです。お金がどこへ消えるかをお示しします。

$120K〜$124万
中小企業のランサムウェア事件1件あたりの総コスト(身代金除く) · 出典:Verizon、Mastercard中小企業調査2025
インシデント対応
$20K〜$80K
フォレンジック調査員、IRリテイナー起動、証拠保全。時間単価で請求されます。複雑な案件は2〜6週間かかります。
システム再構築
$15K〜$60K
侵害されたシステムをゼロから再構築します。感染したシステムを単純に復元することはできません——すべてをクリーンと検証する必要があります。
事業中断
平均24日のダウンタイム
停止中の売上損失。年商6,000万円の企業で24日間≈約400万円。停止中の顧客離脱はこれを上回ることも多いです。
法務・規制対応
$10K〜$15万+
侵害通知、規制対応、GDPR・個人情報保護法への対処。顧客データが漏洩した場合は集団訴訟リスクも生じます。
顧客離脱
業種・規模により大きく変動
侵害通知を受けた顧客がほぼ戻らないケースは多いです。サービス業では長期的に最大のコストになることがあります。
事後のセキュリティ対策
$15K〜$8万/年
保険料の大幅値上がり(2〜5倍が一般的)と、更新のために求められる必須セキュリティ対策の実施コスト。

Mastercardの調査で「サイバー攻撃を受けた中小企業の5社に1社が倒産または廃業した」という数字が出ていますが、これは誇張ではありません。上記のコスト構造と照らせば現実的な数値です。年商1億5,000万円の20名の専門サービス企業が3,500万円の事件総コストを被り顧客離脱率30%が重なれば、事業継続は本当に危うくなります。

7. ほとんどの中小企業が見えていない12の露出ポイント

以下は仮想的な脆弱性ではありません。中小企業のインシデントレポートに最も頻繁に登場する具体的な状態——攻撃者が企業自身より先に発見する侵入口です。攻撃者は継続的に自動スキャンを実施していますが、多くの企業はスキャンを一度も実施していません。

よくある攻撃対象の露出状態 — いくつ当てはまるか確認してください

RDP(ポート3389)がインターネットに直接公開されている VPNなしでリモートデスクトップに直接アクセス可能な状態です。ランサムウェアの最多侵入経路の一つです。購入した認証情報またはブルートフォースで侵入されます。 ⚠ 高リスク · 中小企業のランサムウェア事件の大多数に存在
パッチ未適用の公開向けソフトウェア CMS(WordPress・Drupal)、VPNアプライアンス、既知のCVEを持つメールサーバー。Cl0pはCVE-2025-61882を何百万ものIPに対して自動スキャンしました。 ⚠ 高リスク · 大量自動エクスプロイトが進行中
SPF/DKIM/DMARCが未設定または設定ミス これらのDNSレコードがなければ、あなたのドメインをなりすましてフィッシングメールを送ることができます。攻撃者があなた「から」クライアントや従業員へメールを送ってきます。 ⚠ 高リスク · フィッシングとビジネスメール詐欺を可能にする
公開JavaScriptファイルにAPIキーや認証情報 クラウド認証情報、決済サービスのキー、DBトークンがフロントエンドコードに埋め込まれShodanやCensysにインデックスされています。定期的にローテーションされるはずが放置されることが多いです。 ⚠ 高リスク · クラウドへの直接アクセス権を付与する
廃止済みサービスを指しているサブドメイン 存在しなくなったサービスへのDNSレコードは乗っ取り可能です。サブドメインのテイクオーバーにより攻撃者があなたのドメイン配下で悪意あるコンテンツを配信できます。 ⚠ 中〜高リスク · DNSスキャンなしでは見えない
過去の第三者侵害による認証情報漏洩 従業員のメールアドレスとパスワードの組み合わせが過去の侵害データベースに存在します。VPN・メール・管理ポータルへのクレデンシャルスタッフィングに使用されます。 ⚠ 高リスク · 「最初のアクセス」の主要な発生源
SSL証明書の期限切れまたは弱い暗号設定 期限切れ証明書はメンテナンス不足のサインです。弱いTLS設定は中間者攻撃を可能にします。 ⚠ 中リスク
公開設定になっているクラウドストレージ(S3・GCS) 一時使用のために作成され、ロックダウンされなかったバケットです。顧客データ・社内文書・バックアップアーカイブを含むことが多いです。 ⚠ 高リスク · 直接的なデータ露出
サーバーバージョンと技術スタックの特定 HTTPヘッダーがソフトウェアバージョンとフレームワークを明示することが多いです。攻撃者はこれを脆弱性データベースと照合してから攻撃を開始します。 ⚠ 中リスク · 攻撃者の手間を大幅に削減する
ネットワークからアクセス可能なバックアップサーバー ワークステーションと同じネットワークからアクセスできるバックアップは、ランサムウェア展開前に発見・削除されます。 ⚠ 致命的 · 主要な復旧手段を失う
APIのCORS設定ミス 任意のオリジンからのリクエストを受け付けるAPIはクロスサイト攻撃や無断データアクセスを可能にします。急いで構築されたアプリケーションによく見られます。 ⚠ 中リスク
内部パスやスタックトレースを露出するエラーメッセージ 詳細なエラーページが技術スタック・データベース構造・内部パスを明らかにします。標的型攻撃の偵察として有用です。 ⚠ 中リスク · 攻撃者の偵察を大幅に助ける

上記のうち、今この瞬間確信を持って「問題ない」と言えるのはいくつあるでしょうか?2〜3項目以上で「わからない」が正直な答えなら、攻撃対象領域は実質的にマッピングされていません——攻撃者がスケールして探している条件そのものです。

8. 率直な結論

セキュリティベンダーがめったに率直に言わないことがあります。あなたの組織を完全に攻撃不可能にすることはできません。脅威の環境は変化が速すぎ、攻撃対象領域は広すぎ、20名の企業が使えるリソースは完全なセキュリティを実現するには少なすぎます。

達成できること——そして実際に状況を変えること——は、平均より明らかに攻撃しにくいターゲットになることです。攻撃者は経済的に動きます。IPレンジのブロックをスキャンして、あなたの露出しているサービスがクリーン、SSLグレードが良好、メール認証が整っており、認証情報が侵害データベースに存在しないと返ってきたら——次のターゲットに移ります。多くの中小企業は誰かが特定的に彼らのデータを求めているから狙われているわけではありません。スキャンが開いたドアを見つけたから狙われているのです。

Key Question

問いかける価値のある質問:今この瞬間、攻撃者があなたの企業ドメインに対して偵察スキャンを実行したとしたら——ShodanやCensys、あらゆる本格的な脅威アクターが継続的に実施しているのと同じスキャンを——何が見つかるでしょうか?その答えを知らないなら、自社のリスクを知らないということです。保険会社も、顧客も、経営陣も同じです。

引用・参照

  1. Verizon Data Breach Investigations Report 2025 — 中小企業の侵害統計、ランサムウェアの割合(確認された侵害の44%)
  2. Huntress「Ransomware Statistics 2026: Attack Trends & Business Impact」— 企業規模別ターゲット分布
  3. Mastercard中小企業サイバーセキュリティ調査2025(5,000名以上のSMB経営者) — 攻撃を受けた中小企業の5社に1社が倒産または廃業
  4. Industrial Cyber「Ransomware sector reconsolidating as Qilin, LockBit, and The Gentlemen expand influence in Q1 2026」— 2026年Q1の被害者帰属
  5. Ransom-DB「Cl0p Ransomware Group Analysis 2026」— 2026年2月1日の22件の攻撃;CVE-2025-61882の悪用
  6. Halcyon「INC Ransom Group Mounts Rapid Campaign Against Law Firms」— 2025〜2026年追跡の法律関係事業者向けランサムウェア事件200件以上
  7. Comparitech「Healthcare ransomware roundup Q1 2026」— 2025年のヘルスケアランサムウェア攻撃636件
  8. Sophos「State of Ransomware 2025」— 侵入から実行までの中央値5日;中小企業の平均復旧コスト$120K
  9. Group-IB「Hi-Tech Crime Trends Report 2026」— サプライチェーン攻撃グループの特定と帰属分析
  10. SecurityToday.de「Major Retail Chain Halts Ransomware Attack in Under 2 Hours」(2026年1月)— 1時間47分での封じ込め事例

関連コンテンツ

製品ページ

ADCS — 中小企業向け自動セキュリティスキャン

 無料ツール

無料セキュリティ自己診断 — 10の質問で即時スコア算出

 製品リリース

ADCS 正式リリース:54スキャナーセキュリティプラットフォーム

攻撃者から見た自社の姿を知る

10の質問に答えるだけ。即座に結果が出ます。登録不要で完全無料。誰かに先を越される前に自社のセキュリティ状況を把握してください。

無料セルフチェックを始める ADCSの詳細を見る

ご質問は info@avisail.com まで · 1営業日以内に返信します