こんにちは。高知県高知市で情報処理支援機関として企業さまに伴走支援を提供している、株式会社ICUの川島です。
今日はセキュリティの話です。「またか」と思った方、正直にうなずいてください。私も何度も書いています。でも、今回はちょっと事情が違います。
数日前にも、こんなことを聞かれました。
「うちは小さい会社だから狙われないでしょう? 大企業の話ですよね?」
結論から言うと、むしろ逆です。
2025年上半期に国内で報告されたランサムウェア被害のうち、66%が中小企業でした。攻撃する側の「実力」がAIによって底上げされていて、状況は去年とも違います。何が変わったのか、そして日々の仕事の中でできることは何か、整理してお伝えします。
攻撃する側に何が起きているか
IPAが今年1月に発表した「情報セキュリティ10大脅威 2026」で、「AIの利用をめぐるサイバーリスク」が初めてランクインし、いきなり3位に入りました。
何が起きているかというと、AIのおかげで攻撃の「裾野」が一気に広がっています。
以前は高い技術力を持った一部の人間にしかできなかった攻撃が、AIの支援で素人でも実行できるようになった。
たとえば、皆さんの会社に届くフィッシングメール。以前は日本語がおかしいものが多かったので「変なメールが来たな」と気づけました。今はAIが自然な日本語で、取引先の名前や用件まで正確に書いたメールを自動生成できます。受け取った側が気づくのは、はっきり言って難しい。
もう一つ知っておいてほしいのが「ゼロデイ脆弱性」です。ゼロデイとは、ソフトウェアに欠陥が見つかったけれど、まだ修正プログラムが出ていない状態のこと。
「なおす猶予が0(ゼロ)日」だからゼロデイです。
Googleの脅威分析チームが今月発表したレポートでは、2025年に確認されたゼロデイ攻撃は90件。そのうち48%が企業向け製品を狙ったもので、セキュリティ機器やネットワーク機器といった「守るために入れたもの」自体が標的になっています。
(出典:2026年3月6日 Googleの脅威分析チームブログ)
「うちは関係ない」が一番危ない
私自身、お客さまのセキュリティ対応を支援していて感じるのは、被害に遭う会社には共通するパターンがあります。
一番よくあるのが「うちは狙われる規模じゃない」という思い込みです。被害の大半が中小企業だという事実は、先ほどお伝えした通り。大企業よりセキュリティが手薄な分、狙いやすいターゲットになっています。
それと並んで多いのが「更新を後回しにする」習慣です。パソコンやソフトの更新通知が来ても「今は忙しいから後で」と閉じてしまう。ある調査では、インターネットに公開しているシステムでパッチ未適用の企業が約50%もありました。Microsoftは今年2月の定例更新だけで6件ものゼロデイ脆弱性を修正しています。「後で」と言っている間に、その穴を突かれます。
同じくらい目につくのが、「一人に任せきり」の体制です。ITに詳しい社員がいると、セキュリティも全部その人に頼りがちです。でも、フィッシングメールを開くのはその人ではありません。社員全員が当事者です。
今日から社員全員でできること
今日からできることで、一番効果が大きいのはソフトウェアの更新です。通知が来たら、その日のうちに適用してください。ゼロデイの「猶予ゼロ」に対して、私たちにできるのは「修正が出た瞬間に動く」ことだけです。
パスワードの話もしておきます。使い回しはやめてください。一つのサービスから漏れたパスワードで、別のサービスに不正ログインされる被害が絶えません。12文字以上で、サービスごとに変える。覚えようとしないでください。
「1Password」や「Bitwarden」といったパスワード管理ソフトを使えばいい。個人でも始められますし、会社で導入するなら管理部門に相談してみてください。
最後にこれだけ言わせてください。
メールの添付ファイルやURLを開く前に、一呼吸置きましょう。少しでも「あれ?」と思ったら、メールのリンクは踏まずに、公式サイトを自分で開いて確認する。
取引先からの添付ファイルでも、電話で一本確認を入れる。その数十秒が会社を守ります。
「知っている」を「やっている」に変える
セキュリティの話を何度も聞いて、内容は知っているという方は多いと思います。
でも、知っていることと、毎日やっていることは違います。
攻撃メールはもう、昔みたいに日本語がおかしくありません。見た目で弾けない以上、習慣で防ぐしかないんです。
全部を一度にやらなくても大丈夫です。
今日の仕事が終わるとき、画面の隅に更新通知が残っていたら、「後で」を押さずにすぐにやってください。それだけで、一歩前に進むはずです。
