株式会社松沢書店は2026年5月18日、自社のサーバーが外部からの不正アクセスを受け、ランサムウェアに感染する被害が発生したと公式サイトで発表した。この影響により、「楽譜ナビ」「注文くん」をはじめとする各種サービスが停止し、受発注および出荷業務にも支障が生じた。
同社は外部のセキュリティ専門会社の協力のもと、感染の疑いがあるサーバー・端末の隔離、サーバー再構築、各種パスワードの変更を実施し、安全確認のうえで段階的に業務を再開している。停止していた受発注・出荷業務は、臨時対応としてメール受注の形で順次再開された。発表は代表取締役の松澤秀紀氏名義で行われた。
なお5月22日14時時点の続報では、「楽譜ナビ」の発注機能が一部再開し、「注文くん」は引き続き復旧対応中であることが同社より告知されている。
From: 
【全お取引先さまへ】システム障害およびランサムウェア被害に関するご報告|株式会社松沢書店
【編集部解説】
楽譜・音楽書籍の専門卸として長年業界を支えてきた松沢書店が、ランサムウェア被害を公表しました。同社は1949年の開業以来、東京都板橋区を拠点に、全国の楽器店や書店を通じて、ピアノ講師や音楽家、音楽教室、そして学習者へと楽譜を届ける流通網を担う、いわば「音楽文化の血流」を支える存在です。その物流の心臓部が機能不全に陥ったという事実は、私たちが普段見落としがちな「文化を支えるインフラ」の脆さを浮き彫りにしています。
注目すべきは、被害の中心となった「楽譜ナビ」と「注文くん」という業界向けの基幹サービスです。楽譜ナビは1999年に公開されて以来、全国の楽器店向けに在庫情報や発注機能を提供してきた、業界に不可欠なインフラといえる存在です。これらが停止すれば、末端の小売店、さらにその先にいるピアノ講師や音楽家、子どもたちのレッスンにまで影響が波及することが想定されます。BtoBの一社の被害が、文化的サプライチェーン全体を揺らすという構図がここにあります。
同社は5月22日14時時点で「楽譜ナビ」の発注機能を一部再開しましたが、納品データのダウンロード、注文履歴、在庫数表示などは依然として復旧対応中です。「注文くん」も全機能が復旧途上にあります。店舗在庫数は5月8日時点のデータで止まっているとも告知されており、復旧は段階的かつ慎重に進められている状況がうかがえます。被害発生からおよそ2週間が経過してなお完全復旧に至らない事実は、ランサムウェア被害の根深さを物語っています。
ランサムウェアとは、感染した端末やサーバー内のデータを暗号化し、復号と引き換えに身代金(ランサム)を要求する不正プログラムを指します。近年は単に暗号化するだけでなく、データを窃取したうえで「支払わなければ公開する」と脅す「二重恐喝」型が主流となっており、被害企業は事業停止と情報漏えいの両方のリスクを抱えることになります。
今回の松沢書店の対応で注目したいのは、メール送信時に「安全確認済みの端末・環境のみを利用」「送信ファイルは都度ウイルススキャン」「自動送信は感染が確認されていない基幹サーバーから」と、極めて具体的に説明している点です。サイバー攻撃後の企業はメールが二次感染の媒介になる懸念が高まりますが、ここまで踏み込んで取引先に説明する姿勢は、誠実な情報開示の一例として評価できるでしょう。
2025年から2026年にかけての日本では、アサヒグループホールディングスやアスクル、メディカ出版など、業界を代表する企業が立て続けにランサムウェア被害を公表しています。一般財団法人日本情報経済社会推進協会(JIPDEC)の調査では、企業のランサムウェア感染割合は45.8%にのぼっており、攻撃対象は中小企業にも広がっています。サプライチェーンの「中継点」となる中堅・専門卸が標的となるケースも増えており、今回の事案はその流れの中に位置づけられる出来事だと捉えるべきです。
専門卸というビジネスモデルは、長年培われた業界ネットワークと信頼の上に成立しています。その信頼を可視化していたのが、まさに「楽譜ナビ」のようなデジタル基盤でした。アナログな業界であっても、デジタル依存度は確実に高まっており、サイバーセキュリティはもはやIT企業だけの課題ではないことを、本件は静かに示しています。
長期的な視点で見れば、こうした事案の積み重ねは、中小企業のセキュリティ投資を促す制度設計(補助金、サイバー保険の普及、業界横断的なインシデント情報共有)への圧力となっていくでしょう。文化や生活に密着した産業ほど、止まったときの社会的コストが大きい——その事実が改めて問われている局面と言えます。
復旧の道のりは決して平坦ではないと予想されますが、メール受注やExcel注文書の併用という臨時手段で業務継続を図る同社の判断は、BCP(事業継続計画)の実践例としても示唆に富みます。デジタルが止まったとき、人がどう動くか。テクノロジーの時代だからこそ、その回答が試されています。
【用語解説】
ランサムウェア(Ransomware)
感染したコンピューターやサーバー内のデータを暗号化し、復号と引き換えに身代金(ランサム=身代金)を要求する不正プログラムである。近年は単に暗号化するだけでなく、データを窃取したうえで「支払わなければ公開する」と脅す手口が一般化している。
二重恐喝(ダブルエクストーション)
データの暗号化による事業停止と、窃取データの公開予告という二つの脅迫を組み合わせる攻撃手法である。被害企業は復号鍵の入手と情報漏えい防止の双方を迫られ、心理的・経営的な圧力が高まる構造となっている。
サプライチェーン攻撃
直接的な標的企業ではなく、その取引先や委託先など、結びつきの弱い関連企業を経由して本来の目的に到達する攻撃手法である。中小企業や専門卸など、相対的にセキュリティ投資が限られる事業者が「踏み台」として狙われる傾向が強まっている。
BCP(事業継続計画/Business Continuity Plan)
災害やシステム障害など不測の事態が発生した際に、中核的な業務を継続、あるいは早期に復旧させるための計画である。今回の松沢書店が採ったメール受注やExcel注文書への切り替えは、デジタル基盤が停止した場面で人の手と既存ツールを組み合わせて業務を継続するBCPの実例と捉えられる。
楽譜ナビ/注文くん
株式会社松沢書店が提供する、楽器店を対象とした業界向けの基幹サービスである。「楽譜ナビ」は1999年に公開された、楽譜・音楽書籍の在庫情報や発注機能を全国の楽器店向けに提供するシステム。「注文くん」は1998年に開発された楽譜管理システムで、業務効率化・運営支援を担う。
【参考リンク】
株式会社松沢書店 コーポレートサイト(外部)
楽譜・音楽書籍の専門卸として東京都板橋区に本社を構える同社の公式企業サイト。今回の被害に関する公式報告も掲載されている。
【お取引先小売店様へ】「楽譜ナビ」のサービス一部再開について(5月22日14時時点)(外部)
5月22日付の続報。楽譜ナビの発注機能再開と注文くんの復旧状況を一覧で告知している。
楽譜ナビ(外部)
全国の楽器店向けに楽譜在庫情報や新刊情報を提供する松沢書店のサービスサイトである。
アサヒグループホールディングス株式会社(外部)
2025年9月にランサムウェア攻撃を受け、業務に大きな影響が生じた飲料大手の公式サイトである。
アスクル株式会社(外部)
2025年10月にランサムウェア感染を公表し、物流停止により広範な業務に影響が及んだ事業者向けECサービス事業者である。
株式会社メディカ出版(外部)
2026年3月にランサムウェア攻撃を受けた医療系出版社の公式サイトである。
【参考記事】
2026年 ランサムウェアの事例-国内・海外の最新 被害を解説(外部)
2026年の主要ランサムウェア被害事例を整理し、標的がサプライチェーン全体に拡大していると指摘している。
企業IT利活用動向調査2026から見る日本企業のDX、AI活用、ランサムウェア被害の実態(外部)
ランサムウェア感染割合は45.8%、身代金支払い率は43.8%に低下したことを報告する公式調査である。
ランサムウェア被害防止対策|警察庁(外部)
二重恐喝型ランサムウェアの手口や被害状況を解説する警察庁の公式ページである。
事業継続を脅かす新たなランサムウェア攻撃について|IPA(外部)
情報処理推進機構(IPA)による、ランサムウェアの脅威分析と対策を解説する注意喚起資料である。
【2026年最新】中小企業こそ狙われる「ランサムウェア」とは?被害実例から学ぶ手口と対策ガイド(外部)
中小企業が大企業侵入の「入口」として狙われる構造的理由を解説した記事である。
アスクルのランサムウェア被害から考えるサプライチェーンリスクと事前の備え(外部)
アスクル被害が無印良品・ロフト・ネスレ日本に波及した時系列を整理した分析記事である。
アサヒグループHD、ランサムウェア攻撃によるシステム障害の調査結果と再発防止策を公開(外部)
取引先や従業員の情報約11万5000件の漏えいが確認されたことを伝える記事である。
【関連記事】
はるやまホールディングス、ランサムウェア攻撃で1.8万件の個人情報漏えいの可能性を公表
中堅企業を狙ったランサムウェア被害事例。二重脅迫型攻撃と慎重な調査体制が共通する関連記事である。
アサヒ、サイバー攻撃で受注・出荷停止――ランサムウェアが狙う日本企業の脆弱性【続報】
受注・出荷システム停止という、今回の松沢書店と同じ業務影響パターンを示すアサヒグループの事例。
アスクルがランサムウェア感染で受注・出荷停止、止まらないサイバー攻撃
物流停止が広範なサプライチェーンに波及した代表事例。専門卸への攻撃を理解する重要な前例である。
オリエンタルダイヤモンド、サーバーが暗号化される被害公表─氏名・住所・電話番号が流出した可能性
2026年5月14日公表の直近事例。中堅企業のサーバー暗号化被害として比較参照しやすい記事である。
日本はなぜ狙われるのか? 2025年サイバー攻撃に現れた「4つの傾向」と新時代の防衛戦略
日本企業のランサムウェア被害動向を体系的に整理した分析記事。今回の事案の背景理解に役立つ。
アサヒ攻撃で露呈したDXの落とし穴|2025年上半期116件のランサムウェア、KADOKAWA・トヨタなどから学ぶ対策
2025年上半期116件のランサムウェア被害統計と主要事例を整理。日本企業のDX脆弱性を考察する。
警察庁サイバー脅威レポート最新版|昨年を総括、過去最悪の被害額が並んだ1年間
警察庁公表のランサムウェア統計とQilin等の主要攻撃グループの動向を解説した分析記事。
【編集部後記】
楽譜という、ピアノの発表会や音楽教室の現場を支える紙の文化が、デジタル基盤の停止で揺らぐ——今回の松沢書店の事案は、私たちの「当たり前」がいかに見えないシステムの上に成り立っているかを、静かに教えてくれます。
みなさんの身の回りにも、「止まると困る」専門サービスはきっとあるはずです。それは何でしょうか。そして、そのサービスを支える事業者のセキュリティに、私たちはどれくらい関心を持てているでしょうか。一緒に考えていけたら嬉しいです。
