チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「中小企業ってランサムに狙われやすくなったんでしゅか?大企業ほど対策できないからでしゅか?」
「松沢書店も東京鋪装工業も、5月だけで連続して被害が出ているんでしゅよね?」
チップスボス、最近、中小企業のランサム被害が続いていますでしゅが、何か共通の傾向があるんでしゅか?
ボスそうだな。攻撃グループは「身代金額は小さくても確実に取れる」中小ターゲットへ拡散している。今回の松沢書店と東京鋪装工業は、業種も規模も違うが、業務停止・情報流出の影響パターンは共通している。
2026年5月、楽譜販売の松沢書店と道路舗装の東京鋪装工業が相次いでランサムウェア被害を公表しました。
本記事では両事案の概要と、中小企業に求められる優先対策を整理していきます。
中小企業は予算・人員の制約から防御層が薄くなりがちで、攻撃者の格好の標的になっています。
事件の概要、攻撃の典型パターン、優先度の高い対策の順に見ていきます。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
業種と規模は異なるものの、業務停止と情報漏洩リスクという共通の被害パターンを示しました。
両社の公表内容を比較すると、攻撃を受けてから公表までの動き方が明確に分かります。
主要な事実は以下の通りです。
| 項目 | 東京鋪装工業 | 松沢書店 |
|---|---|---|
| 業種 | 道路舗装・建設 | 楽譜販売・卸 |
| 検知日 | 2026年4月2日 | 2026年5月中旬 |
| 公表日 | 2026年5月12日 | 2026年5月18日 |
| 主な影響 | 顧客・取引先・従業員の情報流出可能性 | 「楽譜ナビ」「注文くん」停止、受発注業務に影響 |
詳細はScanNetSecurityの東京鋪装工業報道と同じく松沢書店の報道で確認できます。
チップス検知から公表まで1か月以上かかってるケースもあるんでしゅね。中小企業だと調査リソースが厳しいでしゅよね…
ボスその通りだ。社内に専門人材がいないと、外部フォレンジック委託の調整だけで数週間かかる。被害把握が遅れる構造が、中小企業を一段と狙わせやすくしているわけだ。
中小企業を狙う攻撃は、自動化された侵入経路と業務停止圧力の組み合わせが典型です。
中小企業特有のリスクは、業務システム停止と顧客対応の二段階で拡大します。
典型的な被害連鎖は以下の通りです。
大規模な予算がなくとも、優先順位を絞れば短期間で防御力を底上げできます。
推奨される取り組みは以下の通りです。
チップス「事前にIRベンダーと契約しておく」って発想は新鮮でしゅ!中小企業でも準備しておけるんでしゅね。
ボスふふふ、リテイナー契約は規模に応じた選択肢がある。検知から復旧までの初動が短縮できれば、被害額は何倍も変わるからな。
2026年5月の松沢書店・東京鋪装工業の事例は、業種・規模を問わずランサムが中小企業へ拡散している実態を示しました。
大企業並みの防御は難しくとも、境界製品の堅牢化、バックアップの分離、外部IR連携の準備という3点を押さえれば、被害の出方は大きく変わります。
「自社は狙われない」という前提を捨て、現実的な備えを始めましょう。
チップス身近な中小企業の話を聞くと、他人事じゃないって実感しましゅ!
ボスそう、その当事者意識が一番の防御になる。サプライチェーンの一員として、自社の備えが取引先を守ることにもつながるのだ。
オススメ案件
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
【セキュリティ製品の運用・新規構築支援】新宿御苑(リモート併用)/WAF・IPS・IDS
【銀行向けセキュリティ対策・AWSクラウド運用支援】勝どき/FISC準拠・AWS(IAM/Backup)
【大手商社向けSASE(Zscaler/Prisma)導入・構築支援】飯田橋(ハイブリッド)/ネットワーク・セキュリティ
【船舶サイバーセキュリティ規制(IACS UR E26/E27)対応】新浦安/OT・ICSセキュリティ
【通信会社向けフリーWiFiシステム構造改革】基本リモート/Splunk(o11y・ITSI)
【某官公庁向けNW・セキュリティ基盤の設計構築】西新橋・23区内DC/Cisco・FortiGate・PaloAlto
