「対策が必要なのはわかったが、自社の何が危ないのか具体的にイメージできない」
——これは多くの経営者の方が感じる課題ではないでしょうか。

そこで本記事では、中小企業が直面し得るサイバー攻撃の事例を7つ取り上げ、「何が起きたのか」「いくらの被害につながったのか」「どこに教訓があるのか」を整理します。
なお、被害額には公的機関がモデルケースとして積算した想定値や、報道に基づく参考値が含まれます。
実際の被害は状況により異なる点をあらかじめお断りしておきます。

事例を読みながら、「自社にも同じ入り口があるか」を確認する視点でご覧いただければと思います。

最も件数が多いのがランサムウェア（データを暗号化し身代金を要求する攻撃）です。
警察庁が2026年3月に公表した資料によると、2025年に報告された被害226件のうち中小企業は143件と全体の約6割を占め、業種別では製造業が4割を占めたとされています。

費用面の重さも見過ごせません。
同資料の被害組織アンケート（有効回答89件）では、調査や復旧に1000万円以上を要したケースが46件あり、うち5件は1億円以上だったと報告されています。
また、復旧に1か月以上かかった割合は約4割にのぼったとされています。

教訓：
製造業では基幹システムや生産ラインが停止すると、被害が金銭面だけでなく納期・取引にも波及します。
バックアップからの復旧やBCP（事業継続計画）が実際に機能するかを、平時に点検しておくことが重要だと考えられます。
なお同資料では、サイバー攻撃を想定したBCPを策定していた組織は約18%にとどまったとも報告されています。

IPA（独立行政法人情報処理推進機構）が2026年3月に公表した「中小企業のための 実例で学ぶサイバーセキュリティリスク事例集」では、取引先を装う標的型メールによって社内へ侵入された事例が、想定被害額2,350万円のモデルケースとして紹介されています。

標的型メールは、取引先や社内の人物になりすまし、業務に関連しそうな件名や文面で添付ファイルやリンクを開かせる手口です。
一見すると普段のやりとりと区別がつきにくいため、受け取った担当者が気づかないまま感染が広がるおそれがあります。

教訓：
技術的な対策に加え、「不審なメールにどう対処するか」を従業員が体験的に学ぶことが有効だとされています。
IPAの事例集でも、標的型メールを模擬した訓練の実施が推奨されています。

同じくIPAの事例集では、社長のメールアカウントが乗っ取られたことによる送金詐欺が、想定被害額820万円のモデルケースとして取り上げられています。
これはビジネスメール詐欺（BEC）と呼ばれる手口の一種です。

IPAが公開しているBEC事例では、国内企業と海外取引先のやりとりの中で、国内企業側が攻撃者にだまされ、偽の口座へ送金してしまったものの、一部資金を回復できたケースも紹介されています。
経営層や経理担当者を狙い、「至急の送金」を装って振込先を変更させる点に特徴があります。

教訓：
振込先の変更依頼などは、メールだけで判断せず、電話など別の手段で確認する社内ルールが歯止めになり得ます。
アカウントの乗っ取りを防ぐため、パスワードの強化や多要素認証の導入も検討に値すると考えられます。

IPAの事例集では、自社のWebサイトが改ざんされ、訪問者をフィッシングサイトへ誘導される被害が、想定被害額2,420万円のモデルケースとして示されています。

自社サイトが「加害者側の道具」にされてしまうと、顧客や取引先を危険にさらすことになり、信用の低下にもつながりかねません。
改ざんは外形上わかりにくいため、被害に気づくのが遅れる傾向もあるとされています。

教訓：
利用しているCMSやサーバーの脆弱性対策（更新の適用）、管理画面のアクセス制限が基本的な防御になります。
サイトの改ざんを検知する仕組みの導入も選択肢の一つです。

報道によると、ある小売業の中小企業では、自社ECサイトのクレジットカード入力フォームが改ざんされ、2,000件を超えるカード情報の不正利用が発生したとされています。
被害者は約1万人にのぼり、フォレンジック調査・コールセンター対応・お詫び等の費用、サイト停止による売上損失、カード会社からの損害賠償請求などを合わせると、合計で約1億円規模の被害につながったと報じられています。

教訓：
ECサイトのように決済情報を扱う事業では、一度の侵入が桁違いの損失と賠償リスクに発展し得ます。
決済まわりのシステムは特に優先度を上げて点検し、セキュリティ基準への準拠状況を確認しておくことが望ましいと考えられます。

自社が直接の標的でなくても、被害を受けることがあります。
IPAの実態調査では、不正アクセス被害を受けた企業のうち、「取引先やグループ会社等を経由して侵入された」との回答が19.8%あったと報告されています。

製造業を中心に、部品調達から生産・出荷まで多くの組織が連携しているため、一社のシステム停止が連鎖的に全体へ影響を及ぼす危険性が指摘されています。
IPAは、中小企業の対策が不十分な場合、その企業を踏み台にして取引先が攻撃されるおそれがあるとしています。

教訓：
自社の対策不足は、取引先からの信頼に直結します。
近年は取引条件としてセキュリティ対策の状況を確認されるケースも増えているとされ、対策は「守り」だけでなく「取引維持・受注」の観点からも意味を持つようになってきていると考えられます。

最後に、規模の大小を問わず被害が起こり得ることを示す事例です。
報道によると、2024年に大手出版グループが大規模なランサムウェア攻撃を受け、約25万件規模の個人情報流出や主要サービスの長期停止が生じ、2025年3月期に売上高84億円の減少や特別損失の計上が公表されたとされています。

これは大企業の事例ですが、「強固な体制を持つ企業でも事業の根幹を揺るがされ得る」という事実は、リソースの限られる中小企業にとっても他人事ではない教訓を含んでいると考えられます。

7つの事例を振り返ると、被害の入り口には共通点が見えてきます。
VPN機器やリモートデスクトップの管理不備、脆弱性（更新の未適用）、安易なパスワード、なりすましメールへの油断
——いずれも、特別な高度技術というより日常の運用の隙を突かれた結果とも読み取れます。

裏を返せば、基本的な対策の徹底だけで防げる可能性のある被害も少なくない、ということです。
まずは自社の入り口を点検し、優先度の高いところから手を打つことが現実的だと考えられます。

なお、対策を進める際には、IPAの「SECURITY ACTION」（自己宣言制度）から始める方法や、IT導入補助金の「セキュリティ対策推進枠」を活用して費用負担を軽減する方法もあります。
補助金を活用した進め方を検討したい場合は、行政書士の立場から制度の要件確認や申請準備をサポートいたしますので、お気軽にご相談ください。

関連記事

• [中小企業のセキュリティ対策が「狙われる前」に必要な理由｜攻撃の実態と進まない背景]（全体像をまとめた記事）
• [なぜ中小企業がサイバー攻撃に狙われるのか？大企業より危険な4つの理由]（初心者向け）
• [なぜ中小企業のセキュリティ対策は進まないのか？「予算・人材・意識」3つの壁と突破法]（応用編）

---

出典

• IPA（独立行政法人情報処理推進機構）「中小企業のための 実例で学ぶサイバーセキュリティリスク事例集」（2026年3月）
• IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査 報告書／速報版」（2025年）
• IPA「ビジネスメール詐欺（BEC）の事例集」
• 警察庁「令和7年（2025年）におけるサイバー空間をめぐる脅威の情勢等について」（2026年3月公表）
• 各種報道（ECサイト改ざん被害、大手出版グループのランサムウェア被害等）

※本記事は公開情報をもとに作成しています。被害額にはモデルケースとして積算された想定値や報道に基づく参考値が含まれます。制度の内容・要件は変更される場合があるため、申請の際は必ず各制度の公式情報をご確認ください。