ランサムウェア脅威の最前線：2025年、中小企業が直面する危機と実践的防衛戦略

第1章 脅威の激化：2025年、日本の中小企業を取り巻くランサムウェアの現状

サイバーセキュリティの脅威は、もはや一部の大企業や政府機関に限定された問題ではない。2025年現在、ランサムウェア攻撃は日本経済の根幹を支える中小企業にとって、事業継続を揺るがす喫緊の経営課題となっている。これは遠い世界のIT問題ではなく、すべての経営者が直視すべき明確かつ現在の危機である。

統計が示す危機の規模

最新のデータは、この脅威が単なる憶測ではなく、定量的に証明された現実であることを示している。警察庁が発表した2025年上半期の統計によると、ランサムウェア被害の報告件数は116件に達し、過去最多であった2022年下半期と並ぶ極めて深刻な水準で推移している ¹。この数字は、攻撃活動が依然として活発であり、沈静化の兆しが見えないことを物語っている。

さらに深刻なのは、その被害の矛先が中小企業に集中しているという事実である。警察庁の報告によれば、ランサムウェア被害に遭った組織のうち、実に64%が中小企業で占められており、これは大企業の被害割合（26%）の2倍以上にあたる ²。この傾向は年々悪化しており、前年比較で大企業の被害件数が減少する一方、中小企業の被害件数は37%も増加している ⁵。これは、攻撃者が明確な意図を持って、より脆弱な標的へと攻撃の軸足を移していることを示唆している。

この状況は、独立行政法人情報処理推進機構（IPA）の調査によっても裏付けられている。IPAが毎年発表する「情報セキュリティ10大脅威」において、「ランサムウェアによる被害」は5年連続で組織編の第1位に選出されており、その脅威度の高さと持続性が浮き彫りになっている ⁶。

業種別に見ると、特に製造業が深刻な被害を受けており、報告されたインシデント全体の43%を占めている ⁸。これは、工場の生産ラインやサプライチェーン管理システムが停止した場合の事業への影響が甚大であり、攻撃者が身代金要求の交渉を有利に進めやすいという力学が働いているためと考えられる。

これらの統計データが示すのは、偶然の積み重ねではない。大企業がセキュリティ投資を強化し防御を固める中で、サイバー攻撃者はより少ない労力で高い成果を期待できる「抵抗の少ない道」を合理的に選択している。その結果、攻撃のエネルギーが中小企業セクターへと集中しているのである。この構造的な変化は、中小企業のサイバーセキュリティ対策を、個社の問題から日本経済全体のレジリエンスに関わる国家的課題へと押し上げている。大企業のサプライチェーンは無数の中小企業によって支えられており、その一点が崩れることで、経済全体に波及的なダメージが及ぶリスクが高まっているのだ。

第2章 主要標的としての中小企業：攻撃者の論理と経営者の誤解を解体する

多くの中小企業経営者が抱く「うちは小さな会社だから狙われない」という認識は、現代のサイバー攻撃環境において最も危険な誤解である ⁹。攻撃者は企業の知名度や規模で標的を選んでいるわけではない。彼らは、自動化されたツールを用いてインターネット全体をスキャンし、脆弱性を持つ組織を無差別に探し出している ⁹。その上で、冷徹かつ合理的なビジネス判断に基づき、最も「費用対効果の高い」標的として中小企業を選定しているのである。

攻撃者が中小企業を狙う二つの主要な動機

攻撃者の論理を理解することは、効果的な防御戦略を立てる上での第一歩となる。彼らが中小企業を理想的な標的と見なす理由は、主に二つに大別される。

1. 直接的な「収益源」としての中小企業

攻撃者にとって、中小企業は直接的な金銭的利益を得やすい効率的な標的である。その背景には、中小企業が抱えがちな複数の脆弱性が存在する。

• セキュリティ体制の脆弱性: 専門のIT人材や十分な予算が不足しているため、セキュリティ対策が後手に回りがちである ⁶。

• バックアップの不備: 定期的なバックアップが取得されていなかったり、復旧テストが行われていなかったりするケースが多く、データを人質に取られた際に身代金の支払いに応じざるを得ない状況に追い込まれやすい ¹³。

• 事業停止への耐性の低さ: システム停止が即座に売上や信用の低下に直結するため、一刻も早い事業再開を望む心理が働き、身代金支払いの決断を早める要因となる ¹³。

これらの要素が組み合わさることで、攻撃者にとっては「少ない労力で、高い確率で利益を得られる標的」として、中小企業が魅力的に映るのである ¹⁴。

2. サプライチェーン攻撃の「踏み台」としての中小企業

より巧妙で悪質な動機が、中小企業を大手企業への攻撃の足がかり、すなわち「踏み台」として利用することである ⁶。攻撃者は、強固なセキュリティを誇る大企業へ直接侵入するのではなく、取引関係にあり、かつセキュリティ対策が手薄な中小企業をまず攻略する。そして、その信頼関係を悪用して、本命である大手企業のネットワークへ侵入するのである。

この手口は、中小企業にとって二重の脅威となる。自社が被害を受けるだけでなく、最も重要な取引先を危険にさらし、ビジネス関係そのものを破壊しかねないからだ ¹⁶。実際に、北海道のある家具メーカーがランサムウェア被害に遭った事例では、攻撃の真の目的がその取引先である大手ホテルチェーンにあったことが判明している ⁶。

この「踏み台」という概念は、中小企業のセキュリティリスクの性質を根本的に変える。もはや自社の情報資産の価値だけがリスクの指標ではない。自社が持つ「取引先へのアクセス経路」の価値が、新たな、そしてより大きなリスクとなっているのだ。大手企業は自社のリスク管理の一環として、サプライヤーのセキュリティ体制を厳しく評価するようになっている ⁷。その結果、セキュリティ対策の不備は、単なるインシデント発生のリスクに留まらず、取引の打ち切りや新規契約の逸失といった直接的な事業リスクへと直結する。サイバーセキュリティへの投資は、もはや単なるコストではなく、事業継続と成長のための戦略的な投資としての意味合いを強く帯び始めているのである ¹⁸。

第3章 現代型攻撃の解剖：主要な侵入経路と進化する戦術

ランサムウェア攻撃がどのようにして実行されるのかを理解することは、防御策を講じる上で不可欠である。攻撃は無作為に発生するのではなく、特定の侵入経路と確立された攻撃プロセスに沿って行われる。特に中小企業は、限られたリソースの中で効果的な対策を打つために、最も狙われやすい「入口」を把握し、そこを重点的に固める必要がある。

攻撃の主要な入口

警察庁の調査によれば、ランサムウェアの侵入経路は特定のいくつかに集中している。

• VPN機器およびリモートデスクトップ（RDP）: これらは群を抜いて最も一般的な侵入経路であり、全インシデントの80%以上を占めている ³。コロナ禍以降に普及したテレワーク環境を支えるこれらの仕組みが、最大の弱点となっている。攻撃者は、パッチが適用されていないVPN機器の脆弱性を突いたり、推測しやすいパスワードや漏洩した認証情報を用いてRDP経由で不正アクセスを試みたりする ¹⁹。

• フィッシングメール: 従業員を騙して悪意のある添付ファイルを開かせたり、不正なウェブサイトへのリンクをクリックさせたりする古典的ながら依然として強力な手口である ¹⁹。攻撃は日々巧妙化しており、業務連絡や取引先を装った極めて見分けのつきにくいメールが用いられる。

進化する恐喝の手口と攻撃の「産業化」

現代のランサムウェア攻撃は、単にデータを暗号化して身代金を要求するだけの単純なものではなくなっている。攻撃者は被害者から最大限の利益を引き出すために、多層的な脅迫戦術を駆使する。

• 二重・三重の恐喝（Double/Triple Extortion）: 現在の主流となっているのが「二重の恐喝」である。攻撃者はデータを暗号化する前に、まず機密情報を外部に窃取（Exfiltration）する。そして、身代金を支払わなければ暗号を解除しないだけでなく、盗んだ情報をインターネット上に公開すると脅迫する ⁷。さらに、これに加えてDDoS攻撃（分散型サービス妨害攻撃）を仕掛け、被害企業のウェブサイトなどを機能不全に陥らせることで圧力を最大化する「三重の恐喝」も確認されている ¹⁶。

• サービスとしてのランサムウェア（RaaS: Ransomware as a Service）: サイバー犯罪の世界では、分業化と専門化が進んでいる。RaaSは、高度な技術を持つ攻撃グループがランサムウェア本体を開発・提供し、技術レベルの低い「アフィリエイト」と呼ばれる実行犯が実際の攻撃を行うビジネスモデルである ⁷。これにより、サイバー攻撃の参入障壁が劇的に下がり、中小企業を狙った攻撃の量が爆発的に増加する一因となっている ⁵。

• AI（人工知能）による脅威の高度化: 新たな脅威として、攻撃者によるAIの悪用が始まっている。生成AIを用いることで、文法的に自然で説得力のあるフィッシングメールを大量に作成したり、従来のウイルス対策ソフトを回避する多態性マルウェアのコードを自動生成したりすることが可能になる ²³。2024年には日本国内で、AIを用いてランサムウェアを作成した容疑者が逮捕される事件も発生しており、専門知識がなくとも高度な攻撃が可能になりつつある現実を示している ²⁵。

RaaSとAIの組み合わせは、サイバー犯罪の「産業化」と「民主化」を象徴している。これにより、攻撃は一部の熟練ハッカーによる標的型攻撃から、半自動化された大規模な「ばらまき型」の攻撃へと変貌を遂げた。この変化は、侵入を完全に防ぐことを前提とした従来の防御モデルがもはや有効ではないことを意味する。攻撃の侵入をある程度許容せざるを得ない「侵害前提（Assume Breach）」の考え方に立ち、侵入後の迅速な検知、対応、そして復旧能力の強化へと、セキュリティ戦略の重心を移すことが急務となっている。

第4章 データ損失を超えて：ランサムウェアがもたらす多面的な事業への影響

ランサムウェア攻撃がもたらす損害は、単にデータが利用できなくなるという技術的な問題に留まらない。その影響は事業のあらゆる側面に及び、時には企業の存続そのものを脅かす。経営者は、この攻撃が引き起こす多面的なリスクを、事業運営の観点から正確に理解する必要がある。

直接的な金銭的コスト

インシデント発生直後から、企業は多額の金銭的負担を強いられる。

• 調査・復旧費用: 被害の範囲を特定するためのフォレンジック調査、システムの復旧作業、専門家へのコンサルティング費用など、多岐にわたるコストが発生する。警察庁のデータによれば、被害企業の半数以上が、調査と復旧のために500万円以上の費用を支出している ³。北海道の家具メーカーの事例では、データ復旧だけで約300万円の費用がかかった ⁶。

• 高額な和解金: 特に医療機関や重要インフラなど、社会的な影響が大きい組織が被害に遭った場合、その損害賠償や解決金は莫大な額に上ることがある。大阪急性期・総合医療センターの事例では、システム障害に関する解決金として10億円の支払いで合意しており、被害の深刻さを物語っている ²⁶。

事業運営の麻痺

金銭的コスト以上に深刻なのが、事業そのものが停止することによる機会損失である。

• 業務停止による売上損失: システムやデータにアクセスできなくなることで、生産、受注、出荷、顧客対応といったあらゆる業務が停止する。被害企業の38%が、復旧に1週間以上を要しているというデータもあり、その間の売上損失は甚大なものとなる ³。前述の家具メーカーは、1ヶ月の業務停止により約1,500万円の売上を失った ⁶。

• サプライチェーンへの波及効果: 一社の被害が、取引先全体に連鎖的な影響を及ぼす。ある調査では、サイバーインシデントを経験した企業の約7割が、取引先に何らかの影響を与えたと回答している ¹⁷。これにより、自社だけでなくサプライチェーン全体の機能が麻痺するリスクがある。

信用とブランド価値の失墜

一度失った信用を取り戻すことは、システムの復旧よりもはるかに困難である。

• 顧客・取引先からの信頼喪失: 情報漏洩や納期の遅延は、顧客や取引先からの信頼を根底から揺るがす。攻撃を受けたことで事業の不安定さが露呈し、新規契約が見送られたり、既存の取引が打ち切られたりするケースは少なくない。家具メーカーの事例では、約500万円相当の新規案件2件がインシデントを理由に見送られた ⁶。ある会計事務所は、顧客情報の漏洩により信頼を失い、廃業寸前にまで追い込まれた ¹⁴。

• 法的・規制上の責任: 個人情報保護法をはじめとする各種法令に基づき、監督官庁への報告義務や本人への通知義務が生じる。対応を怠れば、行政処分や罰金の対象となる可能性もある ⁷。

これらの二次的、三次的な損害は、しばしば初動対応にかかる直接的なコストをはるかに上回る。ランサムウェア攻撃の真のコストは、一過性の支出ではなく、事業価値に対する長期的かつ持続的なダメージなのである。この事実を認識すれば、サイバーセキュリティへの事前投資が、単なるコストではなく、事業継続性を確保するための極めて合理的な「保険」であることが理解できるだろう。その投資判断の基準は、要求される身代金の額ではなく、事業そのものが破綻するリスクの大きさでなければならない。

第5章 強靭な要塞の構築：中小企業のための実践的サイバー防衛フレームワーク

ランサムウェアの脅威に対抗するためには、技術、組織、そして人材の三位一体となった多層的な防御体制を構築することが不可欠である。中小企業はリソースが限られているため、完璧を目指すのではなく、現実的で費用対効果の高い対策から優先的に着手することが重要となる ⁹。

1. 技術的基盤の強化（テクノロジー層）

これらは、サイバー防御の土台となる基本的な衛生管理（ハイジーン）である。

• 脆弱性管理とパッチ適用: OS、ソフトウェア、そして特にVPN機器やルーターといったインターネットとの境界に位置する機器を常に最新の状態に保つ。公開された脆弱性を放置することは、攻撃者に玄関の扉を開け放していることに等しい ⁶。

• 認証とアクセス制御の強化: 推測されにくい複雑なパスワードの使用を徹底し、可能な限り多要素認証（MFA）を導入する。特に、テレワークで利用するVPNやクラウドサービスへのアクセスにはMFAを必須とすべきである ⁶。

• バックアップと復旧: これが最後の砦であり、最も重要な対策である。重要なデータは定期的にバックアップを取得し、「3-2-1ルール」（3つのコピーを、2種類の異なる媒体で、1つはオフライン・オフサイトで保管）に従って保管する。そして、バックアップが正常に復元できることを定期的にテストすることが極めて重要である ⁶。

• ネットワークとエンドポイントの保護: 最新のウイルス対策ソフトを導入し、より高度な脅威検知と対応が可能なEDR（Endpoint Detection and Response）の導入を検討する。また、不正な通信をブロックするために、ファイアウォールやWAF（Web Application Firewall）を適切に設定・運用する ¹⁸。

2. 堅牢なプロセスと方針の整備（組織層）

技術的なツールを効果的に機能させるためには、組織としてのルール作りが欠かせない。

• インシデント対応計画（IRP）の策定: 被害が発生してから対応を考えていては手遅れになる。「誰が、いつ、誰に、何を報告し、どのような意思決定を行うのか」を定めた、シンプルで実行可能な計画書を事前に作成しておく。これにより、有事の際の混乱を最小限に抑えることができる ⁶。

• サプライチェーン管理: 取引先や業務委託先のセキュリティ体制も自社のリスクに直結する。契約時にセキュリティに関する条項を盛り込んだり、重要な委託先に対してはセキュリティ対策状況の確認を求めたりすることが望ましい ⁶。

• 資産管理: 自社がどのようなハードウェアやソフトウェアを保有し、どこで重要なデータを扱っているかを把握する。管理対象が不明では、守るべきものを守ることはできない ⁶。

3. 「人的ファイアウォール」の構築（人材層）

どんなに高度な技術を導入しても、従業員のセキュリティ意識が低ければ、その防御は簡単に突破されてしまう。

• セキュリティ意識向上トレーニング: フィッシング攻撃に対する最も効果的な防御策は、従業員一人ひとりの警戒心である。不審なメールの見分け方や、受け取った際の報告手順について、定期的な教育を実施する。疑似的なフィッシングメールを送信する訓練は、知識の定着に極めて有効である ⁶。

• セキュリティ文化の醸成: 「怪しいと思ったら、まず報告・相談する」という文化を根付かせることが重要である。従業員がミスを恐れずにセキュリティ上の懸念を報告できる心理的安全性を確保し、セキュリティは全員の責任であるという意識を組織全体で共有する ⁶。

以下の表は、主要な感染経路と、中小企業が取るべき具体的な対策をまとめたものである。自社の現状と照らし合わせ、対策の優先順位付けに活用されたい。

表1：主要なランサムウェア感染経路と中小企業向け対策

第6章 公的支援の活用：政府の補助金・サービス活用ガイド

前章で述べたようなセキュリティ対策の重要性を認識しつつも、その導入コストが中小企業にとって大きな負担となることは事実である。この課題に対応するため、日本政府は中小企業のサイバーセキュリティ強化を支援する複数の公的制度を用意している。これらは単なる補助金ではなく、日本経済全体のサプライチェーン強靭化を目的とした戦略的投資であり、中小企業はこれを積極的に活用すべきである ²⁸。

プログラム1：IT導入補助金2025（セキュリティ対策推進枠）

本制度は、中小企業がサイバーセキュリティ対策サービスを導入する際の費用の一部を補助するものである ³⁰。

• 目的: サイバーインシデントによる事業継続リスクを低減し、中小企業の生産性向上を支援する ²⁸。

• 補助対象経費: 主に、後述する「サイバーセキュリティお助け隊サービス」として国に認定されたサービスの利用料（最大2年分）が対象となる ³⁰。

• 補助率・補助上限額: 事業者の規模に応じて補助率が設定されており、補助額は5万円から150万円の範囲となる。詳細は下表を参照されたい ³²。

表2：IT導入補助金2025（セキュリティ対策推進枠）の概要

プログラム2：サイバーセキュリティお助け隊サービス

IT専門の人材がいない中小企業でも、手軽かつ安価に導入・運用できることをコンセプトに設計された、ワンパッケージのマネージドセキュリティサービスである ³⁴。

• コンセプト: 専門家による「見守り」「駆けつけ」「相談」といった不可欠なサービスをパッケージ化し、中小企業の実態に即した価格で提供する ³⁴。

• 主要なサービス内容: 具体的に提供されるサービスは、以下の要素で構成されている ³⁴。

表3：「サイバーセキュリティお助け隊サービス」の主要な構成要素

申請の必須要件：「SECURITY ACTION」自己宣言

これらの補助金・サービスを利用する上で、全ての事業者が事前に済ませておくべき手続きが「SECURITY ACTION」の自己宣言である。

• 制度概要: 中小企業自らが情報セキュリティ対策に取り組むことを宣言する制度。IPAのウェブサイトからオンラインで申し込むことができ、「情報セキュリティ5か条」に取り組むことを宣言する「一つ星」と、「情報セキュリティ自社診断」で自社の状況を把握した上で、情報セキュリティポリシー（基本方針）を策定・公開することを宣言する「二つ星」がある ³²。

• 申請プロセス: 申し込みフォームに事業者情報等を入力して申請すると、約1週間程度で補助金申請に必要となる「自己宣言ID」がメールで通知される ³⁹。補助金の公募締切から逆算し、余裕を持った手続きが推奨される。

これらの公的支援は、セキュリティ対策への第一歩を踏み出すための強力な後押しとなる。自社のリスクを評価し、これらの制度を戦略的に活用することで、限られた予算の中でも実効性の高い防御体制を構築することが可能となる。

第7章 未来への道筋：新たなリスク時代における経営者の責務

本レポートで明らかにしてきたように、2025年現在のサイバー空間において、中小企業はもはや傍観者ではいられない。むしろ、経済合理性に基づいて行動する攻撃者にとって、中小企業こそが主要な攻撃対象となっている。攻撃手法はRaaSやAIの活用により産業化・高度化し、その被害は事業の存続を揺るがすほどに甚大化している。

この厳しい現実は、中小企業の経営者に対し、サイバーセキュリティに対する認識の根本的な変革を迫るものである。もはや、セキュリティはIT担当者任せにできる技術的な問題ではない。それは、事業継続、ブランド価値、顧客からの信頼、そしてサプライチェーン全体における自社の立ち位置を左右する、経営の中核をなす戦略課題である ¹³。

この新たなリスクの時代を乗り越え、持続的な成長を遂げるために、経営者は以下の責務を果たす必要がある。

1. リスクの受容と認識: 「自社は標的である」という事実を、経営の前提として明確に認識すること。希望的観測を捨て、サイバー攻撃を自然災害と同様の、いつ発生してもおかしくない事業リスクとして位置づけることが全ての出発点となる。

2. 資源の戦略的配分: セキュリティ対策をコストではなく、未来への投資と捉え、継続的かつ適切な予算を確保すること。本レポートの第5章で示したような基本的な対策は、事業継続のための「必要経費」である。

3. 公的支援の積極的活用: 第6章で詳述した「IT導入補助金」や「サイバーセキュリティお助け隊サービス」は、国が中小企業の重要性を認識し、その防御を支援するために提供している貴重なリソースである。これを活用しない手はない。情報を収集し、積極的に申請・導入を検討することは、賢明な経営判断と言える。

4. トップダウンでの文化醸成: セキュリティは、経営者の強いリーダーシップがあって初めて組織全体に浸透する。経営者自らがセキュリティの重要性を語り、従業員への教育を奨励し、インシデントを恐れずに報告できる文化を育むことが、最も強固な「人的ファイアウォール」を構築する鍵となる。

もはや問われているのは、攻撃される「可能性」ではない。いつ、どのような形で攻撃されるかという「必然性」に、いかに備えるかである。事前対策への主体的な投資と、インシデントを前提とした事業継続計画の策定こそが、この不確実な時代において企業の未来を守る唯一の道筋である。

引用文献

1. 警察庁が2025年上半期のサイバー脅威情勢まとめ発表、検挙件数は ..., 9月 23, 2025にアクセス、 https://internet.watch.impress.co.jp/docs/news/2048752.html

2. IPA 発表「情報セキュリティ 10 大脅威 2025」でシステムの脆弱性を突いた攻撃がランクアップ, 9月 23, 2025にアクセス、 https://www.cybertrust.co.jp/blog/security/top10-information-security-threats2025.html

3. 中小企業におけるサイバーセキュリティの脅威と対策, 9月 23, 2025にアクセス、 https://security-portal.nisc.go.jp/cybersecuritymonth/2025/seminar/pdf/seminar_ejima.pdf

4. 中小企業の情報セキュリティ体制、未だ不十分 IPAが調査結果公表 - MSコンパス, 9月 23, 2025にアクセス、 https://mscompass.ms-ins.com/business-news/small-bussiness-security/

5. 2024年は中小企業のランサムウェア被害が増加、警察庁報告書 - MSコンパス, 9月 23, 2025にアクセス、 https://mscompass.ms-ins.com/business-news/ransomware-police-report/

6. 【中小企業向け】情報セキュリティ10大脅威2025【組織編】サマリー, 9月 23, 2025にアクセス、 https://nakanoyutaka.net/ipa-security-top10-threats-2025-sme-guide/

7. 情報セキュリティ10大脅威2025と過去の順位推移 | JPAC BLOG, 9月 23, 2025にアクセス、 https://blog.jpac-privacy.jp/https-blog-jpac-privacy-jp-10threats2025/

8. 「インシデント損害額 調査レポート 別紙「被害組織調査」」 - JNSA, 9月 23, 2025にアクセス、 https://www.jnsa.org/result/incidentdamage/data/2024-2.pdf

9. 【2025年版】中小企業が今すぐできる情報セキュリティ対策5選～串本町の事業者を狙った攻撃から身を守る方法, 9月 23, 2025にアクセス、 https://kushimoto-shokokai.com/archives/10373

10. なぜ中堅中小企業が狙われるのか？ ～7つの弱点からその特徴と傾向を分析する 第1回 | ESET, 9月 23, 2025にアクセス、 https://www.eset.com/jp/blog/business/seven-weak-points01/

11. 今、中小企業が狙われている！サイバー攻撃の脅威と今すぐ始めるべき３つの対策, 9月 23, 2025にアクセス、 https://www.nttcom.co.jp/dscb/column/detail140/index.html

12. ランサムウェア対策を徹底するには？中小企業が直面する脅威と防御策 | iTSCOM for Business, 9月 23, 2025にアクセス、 https://www.itscom.co.jp/forbiz/column/vpn/13645/

13. 中堅・中小企業が狙われる理由③ ランサムウェア - 情報セキュリティ教材WEB, 9月 23, 2025にアクセス、 https://security-learning.jp/2025/08/29/359/

14. なぜサイバー攻撃で中小企業が狙われるのか？大手だけじゃない、あなたの会社も危ない理由, 9月 23, 2025にアクセス、 https://drws.jp/columns/detail.php?uuid=1785957909682feb5427b400.73305

15. 「情報セキュリティ10大脅威2025」決定｜Biz Clip（ビズクリップ） - NTT西日本法人サイト, 9月 23, 2025にアクセス、 https://business.ntt-west.co.jp/bizclip/articles/bcl00163-046.html

16. 2025年9月12日 サイバーセキュリティニュースまとめ｜centervil - note, 9月 23, 2025にアクセス、 https://note.com/clever_chives813/n/n33b80df149d1

17. 中小企業の実態判明 サイバー攻撃の7割は取引先へも影響 - 経済産業省, 9月 23, 2025にアクセス、 https://www.meti.go.jp/press/2024/02/20250219001/20250219001.html

18. 【中小企業も要注意】2025年 情報セキュリティ最新動向！ 10大脅威に対する「技術 × 教育 × 運用」三位一体の対策とは？, 9月 23, 2025にアクセス、 https://web-scan.jp/article/3532/

19. 【2025年版】ランサムウェアの感染経路6つ｜手口や対策を全解説 ..., 9月 23, 2025にアクセス、 https://www.ntt.com/bizon/ransomware-routes.html

20. サイバー犯罪者を紐解く（彼らはなぜ、中小企業も攻撃の対象にするのか） - Tokio Cyber Port, 9月 23, 2025にアクセス、 https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/column-detail121

21. 情報セキュリティ10大脅威 2025 解説書(組織編) - IPA, 9月 23, 2025にアクセス、 https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf

22. サイバーセキュリティ 2025 （2024 年度年次報告・2025 年度年次計画） （案） - NISC, 9月 23, 2025にアクセス、 https://www.nisc.go.jp/pdf/council/cs/dai44/44shiryou1.pdf

23. 2025年セキュリティインシデントランキング【上半期の最新事例からサイバー攻撃対策を学ぶ】, 9月 23, 2025にアクセス、 https://www.iij.ad.jp/global/column/column159.html

24. 2024年サイバーセキュリティレポート ランサムウェア攻撃の新たな攻撃スキームや生成AIのリスクマネジメントを解説 - ESET, 9月 23, 2025にアクセス、 https://eset-info.canon-its.jp/malware_info/special/detail/250325.html

25. 生成AIの悪用で何が起こる？ランサムウェア作成の現実と影響 - KOTORA JOURNAL, 9月 23, 2025にアクセス、 https://www.kotora.jp/c/110671-2/

26. 2025年9月1日 サイバーセキュリティニュースまとめ｜centervil - note, 9月 23, 2025にアクセス、 https://note.com/clever_chives813/n/necc5f03613db

27. 【2025年最新】ランサムウェア対策12選とソリューション一覧 - 株式会社クエスト, 9月 23, 2025にアクセス、 https://www.quest.co.jp/column/ransomware-protection_01_2025.html

28. 「IT導入補助金2025（セキュリティ対策推進枠）」≪7次, 9月 23, 2025にアクセス、 https://privacy.hojyokin-portal.jp/subsidies/61534

29. サイバーセキュリティお助け隊について, 9月 23, 2025にアクセス、 https://www.mhlw.go.jp/content/10808000/000943452.pdf

30. 『IT導入補助金 2025』の概要 - 中小企業庁, 9月 23, 2025にアクセス、 https://www.chusho.meti.go.jp/koukai/yosan/r7/r6_it_summary.pdf

31. 中小企業庁担当者に聞く「IT導入補助金2025」 - ミラサポPlus, 9月 23, 2025にアクセス、 https://mirasapo-plus.go.jp/hint/28998/

32. 【2025年版】IT導入補助金セキュリティ枠の完全解説まとめ, 9月 23, 2025にアクセス、 https://www.pull-net.jp/it-subsidy-2025/security/

33. 新規申請・手続きフロー詳細 - IT導入補助金, 9月 23, 2025にアクセス、 https://it-shien.smrj.go.jp/applicant/flow/

34. IT導入補助金も活用できる！ 「サイバーセキュリティお助け隊サービス」とは, 9月 23, 2025にアクセス、 https://cybersecurity-taisaku.metro.tokyo.lg.jp/tip/business20/

35. サイバーセキュリティお助け隊サービス ユーザー向けサイト - IPA, 9月 23, 2025にアクセス、 https://www.ipa.go.jp/security/otasuketai-pr/

36. サイバーセキュリティお助け隊サービスについて - 厚生労働省, 9月 23, 2025にアクセス、 https://www.mhlw.go.jp/content/10808000/001348334.pdf

37. サイバーセキュリティお助け隊サービス基準, 9月 23, 2025にアクセス、 https://www.ipa.go.jp/security/sme/otasuketai/nq6ept000000faii-att/siryo_servicekijun.pdf

38. サイバーセキュリティお助け隊サービス – HOME, 9月 23, 2025にアクセス、 https://syber-otasuke.com/

39. セキュリティアクション SECURITY ACTION 自己宣言の申込方法 - IPA, 9月 23, 2025にアクセス、 https://www.ipa.go.jp/security/security-action/entry/

40. SECURITY ACTION セキュリティ対策自己宣言 - IPA, 9月 23, 2025にアクセス、 https://www.ipa.go.jp/security/security-action/it-hojo.html

41. IT導入補助金申請に必要な「セキュリティアクション」自己宣言IDとは？ | G1-info, 9月 23, 2025にアクセス、 https://g1info.jp/2023/12/01/it-hojokin-securityactionid/