ランサムウェア被害の現実：止まった工場・医院・受発注システムから学ぶ中小企業の教訓

はじめに（Day1・Day2からのつながり）

Day1では、ランサムウェアが
「データを人質にしてお金を要求するウイルス」であり、
中小企業こそ狙われやすい現状を見てきました。

Day2では、そのランサムウェアが
「メール」「リモート接続」「クラウド・外部サービス」
といった入口から社内に入ってくることを確認しました。

ただ、ここまで読んでいても、

「とはいえ、本当にそこまで大変なことになるのか？」

「ニュースに出てくるのは大企業ばかりでは？」

と感じておられる方もいらっしゃるかもしれません。

そこでDay3では、実際にランサムウェア被害にあった
中小企業の事例を、イメージしやすい形に整理してお届けします。

実在のニュースや公表事例をもとにしつつ、
個人や企業が特定されないように再構成した
「モデルケース」としてご紹介します。

大事なのは、誰かを責めることではなく、
「自社に置き換えるとどう見えるか」を考えることです。

「うちも似た状況かもしれない」と感じるポイントがあれば、
そこがこれから優先して対策していく場所になります。

1. ケース1：地方製造業A社 ― 工場ラインが3日止まった

会社の概要

A社は、地方都市にある従業員80名ほどの
金属部品メーカーです。

自動車部品メーカーや機械メーカー向けに、
小ロット多品種の製品を供給しています。

いわゆる「町工場」からスタートし、
長年かけて取引先との信頼を積み重ねてきた企業です。

被害のきっかけ

ある朝、経理担当者のメールボックスに
「取引条件変更のご連絡」「新しい振込口座のご案内」
という件名のメールが届きました。

差出人には、いつも取引をしている商社の名前が表示されています。

添付ファイルの名前も「振込先変更のお知らせ.pdf」となっており、
違和感はあまりありませんでした。

経理担当者は、忙しい月末処理の合間に
「後でちゃんと確認しよう」と思いながら、
とりあえず添付ファイルを開いてしまいます。

何が起きたのか

その直後は、特に異常を感じませんでした。

ところが1時間ほど経ったころ、工場の現場から

「生産管理システムにログインできない」

「在庫データが開けない」

という連絡が相次ぎました。

システム担当が状況を確認すると、
サーバ上のデータファイルが次々と
暗号化され、意味不明なファイル名に書き換えられていたのです。

画面には英語で、
「データを元に戻したければ仮想通貨で身代金を支払え」
というメッセージが表示されていました。

業務への影響

生産計画や在庫情報が見られず、工場ラインを一時停止

納期通りに出荷できない可能性が出てきて、取引先に一斉連絡

復旧のため、外部の専門会社に緊急対応を依頼

幸い、数日前までのバックアップは残っており、
3日目にはメインのラインを再稼働できました。

しかし、その間の残業対応や一部特急輸送の費用などを含めると、
数百万円規模の損失になりました。

A社が後から気づいた「3つのポイント」

取引先名だけで「本物」だと判断してしまったこと

メール添付の危険性について、十分な社内共有がされていなかったこと

バックアップはあったものの、「どこまで戻れるか」を把握していなかったこと

社長は後日、
「正直、ITのことはよく分からないまま、現場任せにしていた」

「でも、結果として取引先にも迷惑をかけ、従業員にも負担をかけてしまった」

と話しています。

この経験をきっかけに、A社では
メールの教育とバックアップ体制の見直し
に本格的に取り組むようになりました。

2. ケース2：地域医療を支えるBクリニック ― 予約システムが停止

クリニックの概要

Bクリニックは、郊外の住宅地にある
内科・小児科のクリニックです。

医師2名とスタッフ10名ほどで、
地域のかかりつけ医として多くの患者さんを支えています。

数年前から、便利さを考えて

クラウド型の予約システム

電子カルテ

を導入し、電話だけでなくスマホからも予約できるようにしていました。

被害のきっかけ

ある日の夜、院長が自宅から電子カルテの情報を確認しようと、
クリニックのネットワークにリモート接続しました。

ところが、いつも入力しているパスワードがなぜか通りません。

「打ち間違えたかな」と思い、何度か試すうちに、
画面に不審なログイン画面が表示されました。

院長は不安になり、そのまま接続を閉じて翌朝の確認に回しましたが、
その間に攻撃者がシステム内に侵入していました。

何が起きたのか

翌朝、受付スタッフが予約システムを開こうとすると、
ログイン画面に不審なメッセージが表示され、
アクセスできない状態になっていました。

電子カルテ自体はクラウド側の強固な仕組みに守られていたものの、
予約情報や一部の帳票類が保存されていた端末のデータが
暗号化されて開けない状況でした。

クリニックは急きょ、

当日の予約患者に一件ずつ電話連絡

来院した患者さんには、状況を説明して手書きで受付対応

を行うことになりました。

業務への影響

数日間、予約システムが使えず、受付が大混乱

一部の患者さんからは「個人情報は大丈夫なのか」と不安の声

復旧と再発防止のために、専門会社への相談費用や機器更新費用が発生

幸い、診療そのものは継続できましたが、
スタッフの心理的な負担は大きく、
院長は「医療に集中したいのに…」というもどかしさを感じていたといいます。

Bクリニックが後から気づいた「3つのポイント」

リモート接続のパスワードが「覚えやすさ優先」で、十分に強固ではなかったこと

クリニックとクラウドサービス側の「責任の分かれ目」を理解していなかったこと

予約システムが止まったときの「手書き運用」や「説明の仕方」の準備がなかったこと

この経験を通じて、Bクリニックでは

リモート接続の見直し（パスワード・二段階認証）

クラウド事業者との役割分担の確認

システムが止まったときの簡易マニュアル作成

に取り組むようになりました。

3. ケース3：商社C社 ― 受発注システム停止で取引先へ連鎖

会社の概要

C社は、従業員50名ほどの
専門商社です。

海外から部品や資材を輸入し、国内の工場や小売店に卸している会社です。

受発注の多くは、

自社で構築した基幹システム

大口顧客とのEDI（電子データ交換）

を通じて行っていました。

被害のきっかけ

ある週末、社内のサーバが
インターネット公開用の古いVPN機器経由で侵入されました。

そのVPN機器は、数年前に導入したまま
アップデートもされず、ID・パスワードも初期設定に近い状態のままでした。

週末のうちに、攻撃者は社内ネットワーク内を調査し、
基幹システムのサーバやファイルサーバを
順番に暗号化していきました。

何が起きたのか

月曜日の朝、営業担当者がいつものように
受注状況を確認しようとシステムにアクセスすると、
ログイン画面ではなく、身代金を要求するメッセージが表示されていました。

その時点で既に、

受注履歴

出荷予定

在庫情報

の多くが暗号化され、読み取れない状態になっていました。

業務への影響

当日の出荷ができず、複数の工場で生産ラインに影響

大口顧客からの問い合わせが殺到し、営業が対応に追われる

一部顧客からは、「なぜもっと早く対策をしていなかったのか」と厳しい指摘

C社では、バックアップの一部が同じネットワーク上に置かれており、
それも攻撃の対象になってしまっていました。

最終的には、数日前に別の場所に退避されていたバックアップから
復旧することができましたが、
完全な復旧までに約2週間かかりました。

その間の損失や信頼低下を考えると、
社長は「目に見える金額以上のダメージがあった」と振り返っています。

C社が後から気づいた「3つのポイント」

古いVPN機器が「そのまま」残り、入口になってしまっていたこと

バックアップが同じネットワーク上にあり、巻き込まれてしまったこと

サイバーリスクが、取引先の操業にまで影響し得ることを十分に想定していなかったこと

これを踏まえ、C社では

古い機器の入れ替えと、設定の見直し

バックアップの多重化（オンライン＋オフライン）

取引先との間での「インシデント発生時の連絡フロー」の整備

に取り組むようになりました。

4. 3つの事例に共通する「ヒューマン＋仕組み」の弱点

A社・Bクリニック・C社――分野も規模も異なる3つの組織ですが、
よく見ると共通するポイントがあります。

共通点1：人の「つい」「うっかり」が入口になっている

A社：忙しい経理担当者が、取引先を名乗るメールの添付ファイルを開いてしまった

Bクリニック：院長が、違和感を覚えながらも、パスワードを何度も入力してしまった

C社：古い設定のまま、誰も気に留めずVPN機器を使い続けていた

どれも、悪意というより
「日々の忙しさの中での判断」から生まれたものです。

だからこそ、「人を責める」のではなく、
「人がミスをしても被害を最小限にする仕組み」
を考えることが重要です。

共通点2：入口の「見える化」がされていなかった

3社とも、次のような点を
「見えていなかった」「把握していなかった」と振り返っています。

どのメールがどれくらい危険か

どの機器・サービスが外部からつながる入口になっているか

どこにバックアップがあり、どこまで戻れるのか

Day2でお伝えした
「入口の棚卸し」ができていれば、
もう少し早い段階で気づけた可能性もあります。

共通点3：「システムが止まったとき」の準備が不十分だった

A社は生産ライン、Bクリニックは予約システム、
C社は受発注システム――いずれも、止まることを前提にしていませんでした。

もちろん、止まらないことが一番です。

しかし現実には、

システムが止まったときの暫定運用（手書き・電話・簡易表）

取引先や患者さんへの説明の仕方

社内での役割分担（誰が連絡役、誰が技術窓口など）

をほんの少し考えておくだけでも、
混乱の度合いは大きく変わります。

「今からできること」が必ずある

3つのケースに共通するもう1つのポイントは、
いずれの企業も、被害後に対策を強化し、以前よりも強い体制になっている
ということです。

大企業のニュースばかりが目に入りがちですが、
実際には今回ご紹介したような中小企業でも、

入口の棚卸し

メール・リモート接続・クラウドの見直し

バックアップと暫定運用の準備

という「今からできること」に一歩ずつ取り組んでいます。

6. 今日のまとめと、明日（Day4）の予告

今日のポイントを3つに絞ると：

ランサムウェア被害は、「工場」「クリニック」「商社」など、さまざまな中小企業で現実に起きている

多くのケースで、「人のうっかり」と「仕組みの弱点」が重なってしまっている

被害後に対策を強化した企業も多く、今からでもできることが必ずある

明日のDay4では、これまでの内容を踏まえ、
「小さな会社でも無理なく回せる、現実的な対策セット」を
もう少し具体的なステップとして整理していきます。

「専門用語ばかりの対策リスト」ではなく、

まず社長として何を決めるか

社内にどんなルールや簡単なマニュアルを用意するか

外部の専門家とどう付き合うか

といった、現場に落とし込みやすい視点からお話していきます。

7. まとめ

本記事では、ランサムウェア被害で「工場停止」「予約システム停止」「受発注システム停止」に追い込まれた中小企業のモデルケースを紹介しました。人のうっかりと仕組みの弱点が重なることで被害は拡大しますが、入口の見える化やバックアップ、暫定運用の準備など、今からできる対策も多く存在します。

キーポイント箇条書き

地方の製造業でも、メールをきっかけに工場ラインが数日止まる事例がある

クリニックでは、予約システム停止が患者さんの不安や現場の混乱につながる

商社では、受発注システム停止が取引先の生産や販売にまで影響し得る

3つの事例に共通するのは、「人のうっかり」「入口の見える化不足」「止まったときの準備不足」

被害後に対策を強化した企業も多く、中小企業でも今からできる現実的な一歩が必ずある

8. FAQ（よくある質問）

Q1. 事例のような被害が起きたとき、まず何をすべきですか？

まずは、被害の拡大を止めることが最優先です。

具体的には、

ネットワークから切り離す（LANケーブルやWi-Fiの遮断など）

怪しい端末の電源をむやみに切らず、専門家の指示を仰ぐ

社内で情報を共有し、安易にファイルを開いたりしないようにする

そのうえで、警察や専門会社、取引先への連絡など、
状況に応じた対応を進めていくことになります。

Q2. 実際に被害が出てから相談しても遅くありませんか？

被害が出てからでも、「そこから先の被害を抑える」という意味で、
相談は決して遅くありません。

原因の特定や再発防止策の検討も含めて、
外部の専門家や公的機関に早めに相談することをおすすめします。

同時に、再発防止の観点から、
被害の有無に関わらず事前に相談しておくことも有効です。