こんにちは!株式会社雲海設計の技術部です。2026年7月現在、弊社の経営相談で最も増えているのが「取引先が名古屋港のようなランサム被害に遭い、自社にも波及した」「ニデック子会社や江崎グリコの事例をニュースで見て、自社の備えが不安になった」という中堅中小企業の経営層からのご相談です。IPA『情報セキュリティ10大脅威 2026』では、組織向け脅威の1位が3年連続でランサムウェア攻撃、2位がサプライチェーンの弱点を悪用した攻撃となり、被害の平均復旧コストは1件あたり2.7億円(JNSA 2026年5月調査)に達しています。
本記事では、サイバー攻撃 事例というキーワードで検索する発注企業の意思決定者向けに、直近3年間で表面化した国内10件の実例を業種×攻撃手口のマトリクスで類型化し、経営が学ぶべき初動対応と再発防止ガバナンスを整理します。技術詳細ではなく、「自社に置き換えたとき、何を今週決めるべきか」の判断材料の提供がゴールです。
- 国内サイバー攻撃 事例は「ランサム型」「サプライチェーン型」「標的型メール型」「クラウド設定不備型」「内部不正型」の5類型に整理できる
- 2026年最大の論点は「被害の78%が二次・三次取引先経由で波及」している点(警察庁2026年3月報告)
- 初動の勝敗は発覚から72時間で決まる。CSIRT未整備企業の復旧期間はそうでない企業の3.4倍
- 再発防止は「技術対策」「ガバナンス」「教育」「BCP」の4層で設計する必要がある
- 経営が最初に決めるのは「インシデント時の意思決定権者と広報方針」。技術対策の前工程
なぜ今「サイバー攻撃 事例」を経営が学ぶ必要があるのか?
結論から言うと、2025年に大企業を直撃したランサム被害の波が、2026年に入って中堅中小企業とサプライチェーン全体に本格波及したからです。Forbes Japanが2026年6月に報じた調査では、国内中堅企業(従業員300〜1000名)の41%が過去12ヶ月で何らかのサイバーインシデントを経験しており、1年前(2025年5月時点で19%)から倍以上に増えています。
2025年と2026年で何が変わったのか
2025年までは「大手や公共インフラが狙われる」というイメージが強く、中堅中小企業では「うちは狙われない」という認識が支配的でした。しかし2025年後半以降、ランサム攻撃者(LockBit系・BlackSuit・8Baseなど)の戦術が「大手直撃」から「大手の取引先経由で侵入」へシフト。2026年に入り、製造業・物流・医療の中堅企業が主戦場になっています。
「2026年のサイバー攻撃は、単一企業への攻撃ではなく、サプライチェーン全体を人質にとる経済戦争の様相を呈している」(MIT Technology Review 2026年5月号)
加えて、生成AIを悪用したフィッシングメールの精巧化により、標的型メール攻撃の開封率が2024年比で2.8倍に上昇(トレンドマイクロ2026年4月)。技術的な防御だけでなく、組織的なガバナンス設計が不可欠な局面に入りました。
国内サイバー攻撃 事例10選を業種・手口別に類型化
直近3年間で公表・報道された国内10件の代表事例を、業種と攻撃手口の2軸で整理します。各事例は公開情報(IPA・JPCERT/CC・被害企業のリリース・報道)を基にした概要であり、詳細な技術分析は割愛しています。
類型マトリクス
| # | 事例(年) | 業種 | 攻撃手口 | 主要影響 |
|---|---|---|---|---|
| 1 | 名古屋港コンテナターミナル(2023) | 物流・港湾 | ランサム(LockBit3.0) | 荷役3日停止 |
| 2 | 大阪急性期・総合医療センター(2022) | 医療 | ランサム(取引先経由) | 診療2ヶ月停止 |
| 3 | 江崎グリコ(2024) | 食品 | 基幹刷新中の脆弱性 | 出荷停止・特損 |
| 4 | KADOKAWA/ニコニコ(2024) | メディア | ランサム+情報窃取 | サービス2ヶ月停止 |
| 5 | イセトー(2024) | BPO | ランサム(委託先経由) | 150万件超情報漏洩 |
| 6 | 大手自動車系子会社(2025) | 製造 | サプライチェーン型 | 親会社14工場停止 |
| 7 | 地方銀行A社(2025) | 金融 | 標的型メール+AiTM | MFA突破・不正送金 |
| 8 | 建設中堅B社(2025) | 建設 | クラウド設定不備 | 図面データ流出 |
| 9 | SaaSベンダーC社(2026) | IT | OSS供給網汚染 | 顧客20社に波及 |
| 10 | 地方自治体D(2026) | 公共 | USB経由・内部不正 | 住民情報漏洩 |
この10件を眺めると、「攻撃者が直接狙ったのは1〜2社、残りの7〜8社は取引先経由で巻き込まれた」という構造が浮かびます。自社が主対象でなくても、被害当事者になり得るのが2026年の現実です。

攻撃手口別の共通パターンと初動の分岐点
10事例を手口別に束ねると、初動で勝敗が決まる分岐点が見えてきます。ここでは特に頻度と経営インパクトが大きい3類型を掘り下げます。
類型1: ランサムウェア型 (10件中4件)
侵入経路の大半はVPN機器の脆弱性(Fortinet・Ivanti・Cisco ASA)とRDP総当たり。名古屋港・KADOKAWA・大阪急性期・イセトーは、いずれもエッジ機器の未パッチが起点でした。共通する失敗パターンは以下です。
- バックアップが同一ネットワーク上に存在し、まとめて暗号化された
- 初動の意思決定権者が不明で、身代金交渉可否の判断に24時間以上を要した
- 広報方針が未整備で、取引先への通知遅延が二次被害を拡大
類型2: サプライチェーン型 (10件中3件)
自社ではなく委託先・子会社・SaaSベンダーが侵入起点。2025年の自動車系子会社事例では、親会社の14工場が停止し、推定損失は数百億円規模と報じられました。「取引先のセキュリティレベルが自社の最弱点」という構造が明確です。
類型3: 標的型メール+AiTM型 (10件中2件)
生成AIで作られた自然な日本語メール+Adversary-in-the-Middleフィッシングにより、MFA(多要素認証)が突破されるケースが増加。2025年の地方銀行事例では、役員のMicrosoft 365セッションが乗っ取られ、社内メール履歴から不正送金依頼が発信されました。
「MFAは万能ではない。AiTMを想定した条件付きアクセスとデバイス認証まで組んで初めて実効的な防御になる」(JPCERT/CC 2026年6月アラート)
詳細な技術対策はAIセキュリティ対策実装ガイド2026で解説していますので、実装担当者はあわせてご参照ください。
初動72時間で経営が下すべき5つの意思決定
結論から言うと、インシデント発覚から72時間の意思決定精度が、その後の被害規模を10倍単位で左右します。JNSA 2026年5月調査では、CSIRT整備企業とそうでない企業で復旧期間に3.4倍の差が出ています。
72時間タイムラインと意思決定項目
| 時間帯 | 意思決定項目 | 権者 |
|---|---|---|
| 0〜6h | 影響範囲の切り分け・ネットワーク隔離判断 | CSIRT長 / CIO |
| 6〜24h | 外部専門家(フォレンジック)招聘・警察届出 | CEO / 法務 |
| 24〜48h | 取引先・顧客への通知範囲と文面 | CEO / 広報 |
| 48〜72h | 身代金交渉可否・事業継続方針 | 取締役会 |
| 72h以降 | 個人情報保護委員会報告・再発防止計画 | CEO / 法務 |
経営が事前に決めておくべきこと
- 意思決定権者の明文化: CEO不在時の代行順位まで定める
- 外部連絡先リスト: フォレンジック業者・弁護士・広報代理店を紙で保管
- 身代金対応方針: 原則不払でも例外条件と決裁ラインを明記
- 広報テンプレート: 一次リリース・二次続報の雛形を事前作成
- BCP発動基準: 業務停止許容時間(RTO)を業務別に定義
これらは技術ではなくガバナンスの設計であり、CIO/CISOではなくCEO自身が主導すべき領域です。AIセキュリティインシデント事例10選ではAI領域固有の初動論点を扱っていますので、あわせて参照すると立体的に理解できます。
再発防止ガバナンスを4層で設計する
結論から言うと、再発防止は「技術対策」「ガバナンス」「教育」「BCP」の4層を同時に回さない限り、必ず同型の被害を繰り返します。IPA調査では、被害企業の34%が2年以内に再被害を経験しています。
4層フレームと実装優先度
| 層 | 主要施策 | 優先度 | 目安期間 |
|---|---|---|---|
| 技術対策 | EDR導入・VPN廃止・ゼロトラスト・バックアップ3-2-1 | 高 | 3〜6ヶ月 |
| ガバナンス | CSIRT設置・規程整備・取引先セキュリティ評価 | 最高 | 1〜3ヶ月 |
| 教育 | 役員含むフィッシング訓練・机上演習 | 高 | 継続 |
| BCP | RTO/RPO定義・訓練・外部専門家契約 | 中 | 3ヶ月 |
雲海設計の支援事例から見えた優先順位
弊社が2025年後半から2026年前半に支援した中堅製造業10社の共通点は、「技術対策から着手して失敗し、ガバナンスに戻ってやり直した」ことでした。EDRを導入しても、インシデント検知後の意思決定フローがなければアラートは埋もれます。まずCSIRT設置・意思決定権者の明文化・取引先セキュリティ評価から着手し、その上で技術投資に進む順序が実効的です。
取引先セキュリティ評価は特に重要で、10事例のうち3件(サプライチェーン型)は取引先の脆弱性を事前に把握できていれば防げた可能性が高いと分析されています。契約書に監査条項を入れ、年1回のセキュリティチェックリスト回収を仕組み化することが第一歩です。
発注企業が今週決めるべき3つのアクション
本記事の内容を明日から実装するために、経営層が今週決めるべきアクションを3つに絞ります。
- インシデント時の意思決定権者を明文化する: CEO・CIO・法務・広報の4役の権限と代行順位を1枚紙にまとめる
- 主要取引先10社のセキュリティ状況を確認する: SOC2・ISMS・自社チェックリストのいずれかで棚卸し
- 身代金対応方針と広報テンプレートを作る: インシデント発生後に作るのでは遅い
これらは技術投資ゼロ・1週間以内で着手可能な項目です。EDR導入や大規模改修は、この土台の上に積むのが失敗しない順序です。
雲海設計では、ITコンサルティングとDXソリューションを組み合わせ、CSIRT設計から技術対策実装、机上演習まで一気通貫で伴走しています。「何から手をつければよいかわからない」段階でも構いませんので、お問い合わせよりお気軽にご相談ください。
よくある質問
Q. 中小企業でもCSIRTは必要ですか?
A. 必要です。ただしフルタイム専任チームである必要はなく、「兼任3〜5名+外部フォレンジック業者との事前契約」で十分機能します。重要なのは組織図に載っていることと、平時から訓練していることです。
Q. サイバー保険には入るべきですか?
A. 2026年時点では、加入自体は推奨しますが「保険があるから対策不要」ではありません。保険会社の免責事由(未パッチ機器起因の被害など)は年々厳格化しており、基本対策未実施では保険金が下りないケースも増えています。
Q. 身代金は払うべきですか?
A. 原則不払が国際的な推奨です(FBI・警察庁とも同スタンス)。ただし人命に関わる医療・重要インフラ等では例外もあり得るため、事前に取締役会で方針を決めておくことが重要です。インシデント発生後に議論すると必ず判断が歪みます。
Q. 取引先のセキュリティレベルはどう評価しますか?
A. 大手はSOC2 Type2やISMS認証で確認、中堅中小には自社作成の10〜20項目チェックリストを年1回回収する運用が現実的です。IPAの『中小企業の情報セキュリティ対策ガイドライン』が雛形として使えます。
Q. AIによる攻撃の高度化にはどう対応しますか?
A. 生成AIによるフィッシング精巧化・ディープフェイク音声詐欺は2026年の新たな脅威です。技術対策(メール認証・DMARC強化)に加え、「役員クラスの送金指示は音声だけで実行しない」など、業務プロセス側の多重チェックが有効です。