「うちは狙われない」が通じない — 海外で相次ぐ非営利団体へのサイバー攻撃報告
海外の脅威インテル(脅威情報を収集・分析する専門アカウントや組織)発信では、非営利団体がランサムウェアグループのリークサイトに掲載されたという観測報告が2026年に入って続いています。日本の統計と照らし合わせながら、非営利が構造的に狙われやすい理由と、今日から無料でできる対策を整理します。
最終更新: 2026年7月19日
2026年7月時点の情報です。X上の観測報告(2026年7月19日確認)は伝聞情報として扱い、団体名は記載していません。警察庁統計と当サイトのセキュリティ入門ガイドの調査にもとづきます。
1. 何が起きているか
Xでは2026年7月19日時点のライブサーチによると、海外の脅威インテル系アカウントが、ランサムウェアグループが被害組織を公表するために使う「リークサイト」(身代金を支払わなかった被害者の情報を公開する、攻撃側が運営するサイト)に、米国の福祉・支援団体や青少年支援団体系列とみられる組織が掲載された、という観測報告を2026年5月から7月にかけて複数回投稿しているとされています。
これらの投稿の中には、投稿者自身が「リークサイトへの掲載は攻撃側の一方的な主張であり、被害の事実は未確認のクレームである」と明記しているものもあります。実際に被害が発生したかどうかは、各団体の公式発表がない限り断定できません。この記事でも団体名は伏せ、「福祉団体」「青少年支援団体」程度の抽象度にとどめます。
あわせて、米国のBBB(Better Business Bureau、商事改善協会。消費者と企業の信頼構築を目的とする非営利組織)が2026年7月、BEC(Business Email Compromise、取引先や経営者になりすまして送金を指示するビジネスメール詐欺)は営利企業・政府機関・非営利団体を問わず、支払い担当者を狙うと注意喚起したとされています。
2. 日本のデータで見る「狙われるのは大企業」の誤解
「攻撃を受けるのは知名度の高い大企業」というイメージを持つ方は多いかもしれませんが、警察庁が公表している令和7年上半期のサイバー空間をめぐる脅威の情勢によると、日本国内で報告されたランサムウェア被害のうち約6割は中小企業が占めています。非営利団体の多くは、規模の面では中小企業に近い体制で運営されています。
同資料では、被害を受けた団体のうち復旧に1,000万円超の費用がかかった事例が5割を超える一方、1か月未満で復旧できた事例も5割強にとどまるとされています。つまり「被害に遭えば高コスト・長期化しやすい」一方で、「早期に復旧できるとは限らない」という厳しい実態がうかがえます。非営利団体にとって、こうした費用や業務停止は事業継続そのものを揺るがしかねません。
3. なぜ非営利団体が狙われやすいか(構造)
非営利団体には、攻撃側から見て「効率よく狙える」条件がいくつか揃いやすい傾向があります。
- 振込・支払いの権限が少人数(事務局長・経理担当など)に集中しており、なりすましメール1通で承認が通ってしまいやすい
- 寄付者・利用者・会員などの個人情報を、企業に比べて相対的に少ない人員で管理していることが多い
- 専任のIT・セキュリティ担当者がいない団体が多く、MFA(多要素認証)設定やソフトウェア更新が後回しになりがち
また、ランサムウェア攻撃の多くは自動化されたツールでインターネット上の脆弱な設定を無差別に探索する形で行われるとされ、「組織の規模や知名度で選ばれる」わけではありません。設定が手薄なところが、結果として狙われやすくなる構造です。
4. 今日からできる無料の対策
- MFA(多要素認証、パスワードに加えてスマホ等での確認を求める仕組み)を無料枠で有効化する。あなた(団体の管理者)がMicrosoft 365なら全ビジネスプランの「security defaults」、Google Workspaceなら全エディションの2段階認証を管理コンソールから有効化・強制できます。詳しくは セキュリティ入門ガイド で解説しています。
- 振込・支払いフローに「口頭・別経路での確認」を一段挟む。サービス側ではなく、団体の運用ルールとして、金額や振込先の変更依頼はメールだけで完結させず、電話など別の連絡手段で本人確認する。BEC対策の基本です。
- ウイルス対策ソフトをTechSoup Japanの寄贈プログラムで導入する。Norton(年度20本まで)・Bitdefender(年度50本まで)が対象です。詳しくは セキュリティ入門ガイド と TechSoup登録ガイド を確認してください。
- パスワードの使い回しを解消する。職員一人ひとりが管理すべき項目で、 パスワード管理ガイド で無料で使えるパスワードマネージャーを紹介しています。
いずれも追加費用なしで始められる対策です。恐れる必要はありませんが、「うちは小さいから狙われない」という前提は見直したほうがよさそうです。
5. 出典リンク
X上の投稿内容は伝聞情報であり、当サイトが独自に検証したものではありません。リークサイトへの掲載や被害の発生については、関係団体の公式発表がない限り事実として断定していません。個人・団体名は記載していません。掲載内容の誤りにお気づきの際は、お問い合わせからご指摘いただけると助かります。