「オラクル製品を直接導入していないから関係ない」と考えるのは危険です。中小企業でも次のいずれかに該当すれば4月CPUの影響範囲に入ります。(1) 会計・勤怠・基幹業務システムを外部ベンダーに委託しており、バックエンドでOracle DatabaseやOracle WebLogicが動いている、(2) Java SEを利用する業務アプリケーション（社内Webツール・受託開発システム・古いクライアントアプリ）が残っている、(3) MySQL Community Editionを使った自社Webサービス・社内ツールを運用している。オラクル製品はサプライチェーンの上流に埋め込まれがちで、自社では直接気づかないケースが多いのが特徴です。

• 社内の資産台帳で「Oracle」「MySQL」「Java」「WebLogic」「GoldenGate」の文字列を検索し、該当システムを棚卸しする
• 基幹システムの保守委託先・SIerに対して、4月CPUの適用計画と適用予定日の回答を書面で依頼する
• 自社運用のMySQL・Java実行環境は、ベンダーが提示するパッチを速やかに適用する（開発・検証環境で先行検証 → 本番）
• 当面適用できないシステムは、WAF・IP制限・不要ポート閉塞で攻撃面を減らす代替策を取る
• 過去CPUの未適用があるシステムも優先的に洗い出す（過去の未適用こそ悪用されやすい）

これは税務署の事案ですが、同じ手口（「警察・捜査を名乗る電話」「身の潔白を証明するために資料を送れ」）は中小企業にも日常的に及びます。特に、経理・総務・人事・法務など「機密性の高い書類を扱う部署」の担当者が対象になりやすく、個人スマートフォンに直接電話を受けてしまうと、社内の相談窓口に行く前に判断を誤ります。今回の被害者は20代の若手職員でしたが、「権威を装う攻撃」に弱いのは年齢や役職を問いません。1件のLINE送信で数百人の個人情報が一気に流出する性質を踏まえれば、BEC（ビジネスメール詐欺）と同等のリスクとして扱うべき手口です。

• 「警察・税務署・監督官庁を名乗る電話で、業務資料の送付を求められた場合は、その場で応じず必ず上長・総務に相談する」を社内ルールとして明文化する
• 業務資料をLINE・個人メール・個人クラウドに送信することを原則禁止し、違反時の扱いを就業規則で定める
• 詐欺電話の手口（権威を装う・焦らせる・第三者に相談させない）を全社員向けに15分程度の朝礼教材などで共有する
• 業務資料のスマートフォン撮影を技術的に抑止する（MDMでカメラ制御、画面キャプチャ制御など）
• 疑わしい電話を受けた場合の即時連絡先（社内IT・情報システム担当）を全社員に周知する

中小企業も、物流・倉庫・運送・資材調達など大手企業のサプライチェーンに組み込まれている事業者は他人事ではありません。大手側の専門システム（調達・受発注・EDI・車両配送管理）に自社担当者のメールアドレスや電話番号が登録されているため、そのシステムが侵害されれば中小側の情報も同時に流出します。また、流出したメールアドレスを起点に、取引先の正規担当者を装ったフィッシング・BEC攻撃が届くケースが典型パターンです。本件で暗号化被害が出ていない点は幸いですが、持ち出された連絡先情報は二次攻撃の材料として長期間流通する可能性があります。

• 主要取引先から「当社のシステムに不正アクセスがあった」旨の連絡を受けたら、自社担当者の登録情報（氏名・メール・電話）を洗い出し、当面フィッシングへの警戒レベルを上げる
• 取引先の公式ドメインと異なる送信元から届くメール（特に請求・支払先変更・緊急連絡）は、電話など別手段で必ず裏取りする
• 自社が利用する取引先提供のSaaS・専用システムで、多要素認証（MFA）が設定可能なものはすべて有効化する
• サプライチェーン上の重要取引先には、定期的にセキュリティインシデント時の連絡ルール・速報共有を依頼する
• 自社従業員の業務用メール・個人情報は最小限にとどめ、不要になったアカウントは速やかに削除・無効化する