小さな会社のサイトは本当に攻撃対象になりますか？

はい。Verizon 2025 DBIR では、中小企業の侵害の 88% にランサムウェアが関与し、大企業の 39% を大きく上回りました。現代の攻撃の多くは標的を一つずつ選ばず、脆弱性を持つサイトを自動で探して攻撃するため、会社の規模は安全の理由になりません。

知名度のないサイトでもなぜ見つかってしまうのですか？

攻撃者は人手でサイトを探すのではなく、インターネット全体を機械的にスキャンするツールを使います。古いプラグインや既知の脆弱性を持つサイトは、公開された瞬間からこのスキャンの対象になります。アクセス数の多寡や知名度は関係ありません。

WordPress を使っていると危険ですか？

WordPress 自体が危険なのではありません。Patchstack の 2025 年レポートでは、報告された脆弱性 11,334 件のうち 91% がプラグイン、9% がテーマで、コア本体はわずか 6 件でした。リスクの大半は追加した部品にあり、入れすぎない・更新を怠らないことで大きく下げられます。

被害に遭うと具体的に何が起きますか？

サイトの改ざん、顧客情報の流出、ランサムウェアによるデータ暗号化と身代金要求などが代表例です。Verizon 2025 DBIR ではランサム身代金の中央値は 11.5 万ドルで、被害者の 64% は支払いを拒否しています。金銭被害に加え、復旧の手間と顧客からの信頼低下が続きます。

まず何から手を付ければよいですか？

HTTPS の常時化、使っていないプラグインの削除、更新の徹底、管理画面へのアクセス制限といった基礎から始めます。これらは OWASP Top 10:2025 の上位リスクに直結し、専門ツールを買わなくても着手できます。詳細は WEB セキュリティ 5 原則の記事で扱っています。

Insight ／安全なサイト

「うちは狙われない」は本当か

2026 年 5 月 15 日公開最終更新 2026 年 5 月 15 日読了目安 8 分

この記事の結論

「小さい会社だから狙われない」は実データと合いません。Verizon 2025 DBIR では中小企業の侵害の 88% にランサムウェアが関与し、大企業の 39% を大きく上回りました。攻撃の多くは標的を選ばず自動化されているため、規模の小ささは安全の理由になりません。まず基礎の防御から固めることが現実的です。

図 1：「狙われない」という思い込みと、実データが示す現実には大きなギャップがある。

1. 「狙われない」という思い込みの正体

「うちのような小さな会社のサイトを、わざわざ攻撃する人はいないだろう」。この感覚は自然なものですが、攻撃者の行動を「人が標的を吟味して選ぶ」とイメージしている点に誤りがあります。実際の攻撃の多くは、人ではなくプログラムが自動で行っています。

もう一つの思い込みは「うちのサイトには盗まれて困るものがない」というものです。しかし攻撃者にとっての価値は、サイトの中身だけではありません。サーバーを別の攻撃の踏み台にする、ページを改ざんして詐欺サイトへ誘導する、といった「サイトそのものの乗っ取り」に目的があるケースが多くあります。

つまり「狙われない理由」として挙がるものの大半は、攻撃の実態と噛み合っていません。次章から、何が実際に起きているのかを一次データで確認します。

2. データが示す現実 — 中小企業の侵害の 88%

通信大手 Verizon が毎年公開する「2025 Data Breach Investigations Report（DBIR）」は、22,000 件超のインシデントと、うち 12,195 件の確認された侵害を分析した報告書です。そこでは中小企業の侵害の 88% にランサムウェアが関与したと示されています。

同じ報告書で、大企業の侵害にランサムウェアが関与した割合は 39% でした。中小企業の方が、ランサムウェアという特定の攻撃にさらされる比率が明らかに高いのです。攻撃者は「守りが薄く、復旧体制も整っていない相手」を効率の良い標的と見なしています。

日本の状況も同じ傾向です。IPA（情報処理推進機構）の「情報セキュリティ 10 大脅威」では、組織編の 1 位はランサム攻撃で、2021 年以降この順位は動いていません。海外特有の話ではなく、国内の組織にとっても最大級の脅威です。

図 2：中小企業の侵害は 88% がランサムウェア関与。大企業の 39% を大きく上回る。

3. なぜ知名度のないサイトまで見つかるのか

「広告も出していないし、検索でもほとんど出てこないサイトを、どうやって見つけるのか」。答えは、攻撃者が人手でサイトを探していないからです。インターネット全体を機械的に巡回し、既知の脆弱性を持つサイトを自動で洗い出すツールが使われています。

このスキャンは、サイトのアクセス数や知名度を見ません。判定基準は「攻撃できる穴があるか」だけです。古いプラグイン、初期設定のまま放置された管理画面、既知の脆弱性 — こうした弱点を持つサイトは、公開された瞬間から自動スキャンの対象に入ります。

OWASP（オープンな WEB セキュリティ団体）が公開する「OWASP Top 10:2025」でも、1 位はアクセス制御の不備、2 位は設定ミスです。いずれも高度な攻撃技術ではなく「穴をふさぎ忘れた状態」を突くものであり、自動スキャンと相性が良いリスクと言えます。

図 3：自動スキャン型攻撃は規模を見ず、「穴があるか」だけで標的を選ぶ。

4. WordPress サイトに潜む「追加した部品」のリスク

中小企業のサイトでよく使われる WordPress には、特有の注意点があります。ただし「WordPress だから危険」という単純な話ではありません。リスクの所在を正確に押さえることが大切です。

セキュリティ企業 Patchstack の「State of WordPress Security in 2025」によれば、2025 年に WordPress エコシステムで報告された新規脆弱性 11,334 件のうち、91% がプラグイン、9% がテーマ、コア本体はわずか 6 件でした。つまりリスクのほぼ全ては、後から追加した部品に集中しています。

これは裏を返せば、対策の方向が明確だということです。使っていないプラグインを削除する、更新を放置しない、出所の不明な部品を入れない。この 3 つだけでも、攻撃される面積を大きく減らせます。具体的な手順はWordPress のセキュリティ記事で扱っています。

5. 被害に遭うと何が起きるか

「狙われる」と聞いてもピンとこないのは、被害の中身が具体的に見えていないからかもしれません。実際に起きるのは、サイトの改ざん、顧客情報の流出、ランサムウェアによるデータの暗号化と身代金要求といった事態です。

金銭面の負担も小さくありません。Verizon 2025 DBIR では、ランサム身代金の中央値は 11.5 万ドルと報告されています。同報告書では被害者の 64% が支払いを拒否していますが、支払いを拒否しても、暗号化されたデータの復旧やシステムの再構築には別途コストと時間がかかります。

そして見落とされがちなのが、信頼の損失です。顧客情報を漏らした、サイトが詐欺に使われた — こうした事実は、復旧後も取引先や顧客の記憶に残ります。中小企業にとって、この信頼の毀損は金銭被害以上に重い場合があります。

6. いま何から手を付けるべきか

ここまで読むと不安が募るかもしれませんが、中小企業がやるべきことは明確で、しかも高価なツールを必要としません。攻撃の多くが「ふさぎ忘れた穴」を突くものである以上、基礎を固めるだけで攻撃される面積は大きく縮みます。

優先すべきは、OWASP Top 10:2025 の上位リスクに直結する基礎対策です。HTTPS の常時化、使っていないプラグインの削除、更新の徹底、管理画面へのアクセス制限。どれも特別な投資なしに、いますぐ着手できるものばかりです。

【Top 5】「狙われない」を卒業するために、まずやること

1. HTTPS を常時化する — 通信を暗号化し、改ざんと盗聴の基本的な防御を作る。
2. 使っていないプラグイン・テーマを削除する — 攻撃される面積そのものを減らす。
3. 更新を放置しない — 既知の脆弱性は更新で塞げる。自動スキャンが狙うのは「未更新」。
4. 管理画面へのアクセスを制限する — OWASP 1 位のアクセス制御。誰が入れるかの境界を引く。
5. 現状を一度きちんと確認する — どこに穴があるかを把握しなければ、対策の優先順位は決まらない。

「うちは狙われない」の反対は「過剰に怖がる」ではありません。正しい姿勢は、攻撃の実態を知り、効くところから順に手を打つことです。T.C.HARTON は方法論ページで、自社サイトのセキュリティ実装内容を公開しています。何から守ればよいか、一緒に整理できます。

よくある質問

小さな会社のサイトは本当に攻撃対象になりますか？: はい。Verizon 2025 DBIR では、中小企業の侵害の 88% にランサムウェアが関与し、大企業の 39% を大きく上回りました。現代の攻撃の多くは標的を一つずつ選ばず、脆弱性を持つサイトを自動で探して攻撃するため、会社の規模は安全の理由になりません。
知名度のないサイトでもなぜ見つかってしまうのですか？: 攻撃者は人手でサイトを探すのではなく、インターネット全体を機械的にスキャンするツールを使います。古いプラグインや既知の脆弱性を持つサイトは、公開された瞬間からこのスキャンの対象になります。アクセス数の多寡や知名度は関係ありません。
WordPress を使っていると危険ですか？: WordPress 自体が危険なのではありません。Patchstack の 2025 年レポートでは、報告された脆弱性 11,334 件のうち 91% がプラグイン、9% がテーマで、コア本体はわずか 6 件でした。リスクの大半は追加した部品にあり、入れすぎない・更新を怠らないことで大きく下げられます。
被害に遭うと具体的に何が起きますか？: サイトの改ざん、顧客情報の流出、ランサムウェアによるデータ暗号化と身代金要求などが代表例です。Verizon 2025 DBIR ではランサム身代金の中央値は 11.5 万ドルで、被害者の 64% は支払いを拒否しています。金銭被害に加え、復旧の手間と顧客からの信頼低下が続きます。
まず何から手を付ければよいですか？: HTTPS の常時化、使っていないプラグインの削除、更新の徹底、管理画面へのアクセス制限といった基礎から始めます。これらは OWASP Top 10:2025 の上位リスクに直結し、専門ツールを買わなくても着手できます。詳細は WEB セキュリティ 5 原則の記事で扱っています。

出典

Verizon, 2025 Data Breach Investigations Report — verizon.com/business/resources/reports/dbir
Patchstack, State of WordPress Security in 2025 — patchstack.com/whitepaper/state-of-wordpress-security-in-2025
OWASP, OWASP Top 10:2025 — owasp.org/Top10/2025/
IPA, 情報セキュリティ 10 大脅威 — ipa.go.jp/security/10threats/
IPA, 安全なウェブサイトの作り方（第 7 版） — ipa.go.jp/security/vuln/websecurity/about.html

Free Diagnosis

あなたのサイトに「狙われる穴」はありませんか？

無料診断では、現状サイトの HTTPS 設定やセキュリティヘッダー、既知の弱点を機械検証し、どこに穴があるかをお見せします。「狙われない」かどうかは、推測ではなく確認で判断できます。診断だけで終わっても費用は一切かかりません。

1 分で無料診断を申し込む