サプライチェーン攻撃とは? 手法や事例、効果的な対策を解説
企業は製品やサービスの提供にあたり、多くの外部パートナーと連携しています。こうした供給網(サプライチェーン)は事業を支える一方で、取引先や委託先の弱点を足がかりに侵入を試みる「サプライチェーン攻撃」の対象にもなります。
近年は実際の被害も報告され、事業への影響が大きいケースも少なくありません。自社の対策だけでは防ぎきれないリスクが広がる中、どのように備えるべきか課題を感じている情報システム担当者も多いのではないでしょうか。
本記事では、サプライチェーン攻撃の基本的な仕組みや主な手法、被害事例、効果的な対策などを解説します。
サプライチェーン攻撃とは、標的企業の関連企業などに侵入するサイバー攻撃
サプライチェーン攻撃とは、標的企業そのものではなく、その企業とつながる関連企業や取引先などの脆弱性を突いて侵入するサイバー攻撃の手法です。攻撃者は、標的企業のセキュリティが強固であることを見越して、比較的セキュリティ対策が甘いパートナー企業を“入口”として利用します。
この攻撃手法の背景には、製品やサービスの提供において複数の企業が連携するサプライチェーンの構造があります。例えば、原材料の調達先や業務の委託先、サービスの提供者などが一体となってビジネスが成り立っているため、そのどこかにセキュリティホールがあると、全体のリスクになりかねません。
また、サプライチェーン攻撃は、信頼する取引先を経由するため不正アクセスとして認識されづらく、発見が遅れやすい点にも特徴があります。その結果、被害が連鎖的に広がりやすい点も特徴です。ある一社の被害が次々と他社へと波及し、最終的には多くの企業に深刻なダメージを与える可能性があります。
サプライチェーンの構造とサプライチェーン攻撃の仕組み
サプライチェーンは、原材料の調達から製造、流通、販売、アフターサービスに至るまで、複数の企業や組織が連携して製品やサービスを提供する仕組みです。現代のビジネスにおいては、外部企業との連携や委託が一般化しており、業種・業界を問わず複雑なネットワークが形成されていると言えるでしょう。
この構造は効率性やコスト削減の観点でメリットをもたらしますが、同時にセキュリティ面では大きなリスクとなります。攻撃者はこの連携網の中で比較的セキュリティが甘い企業を見つけ出し、そこから企業間のネットワークを通じて標的企業に侵入します。
例えば、取引先のネットワークに悪意のあるプログラムであるマルウェアを仕込み、そこから標的企業の内部システムに侵入するケースは、サプライチェーン攻撃の典型例です。他にも、システム提供者のソフトウェアに不正なコードを仕込んで正規アップデートを装って拡散するケースなどがあり、リモートアクセスサービスを提供している事業者やクラウドサービスが狙われる可能性もあります。
このように、サプライチェーン攻撃は、どこか一社が破られると連鎖的に他社にも被害が及びかねません。情報セキュリティ対策のレベルは企業規模によってばらつきがあるケースも珍しくなく、攻撃者はセキュリティレベルが脆弱な企業を集中して狙い、そこを突破口として標的企業のシステムに侵入しようとします。
サプライチェーン攻撃の手法
サプライチェーン攻撃には下記の3つの代表的な手法が存在し、それぞれ攻撃対象や侵入経路が異なります。攻撃者は、企業間の連携関係や業務委託の実態に応じて、最も効果的かつ発見されにくい手法を選んで攻撃を仕掛けるため、それぞれでどのように攻撃を行うのかを把握しておきましょう。
| 名称 | 概要 |
|---|---|
| ビジネスサプライチェーン攻撃 | 関連企業や取引先などを踏み台にして侵入する攻撃 |
| サービスサプライチェーン攻撃 | ITシステムの保守・管理を請け負うマネージドサービスプロバイダー(MSP)などのサービス提供事業者を経由する攻撃 |
| ソフトウェアサプライチェーン攻撃 | ソフトウェアの開発・流通過程に不正なコードやバックドアを仕込む攻撃 |
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃とは、標的企業の子会社や下請企業、取引先などのセキュリティが比較的脆弱な関連企業を踏み台として侵入する手法です。中小企業やITリテラシーの低い企業が狙われやすいという点が特徴と言えます。
典型的なのは、「ある取引先のネットワークに侵入し、その業務システムや共有ファイルを通じて標的企業の内部にアクセスする」といったケースです。
実際に、国内外ではこうしたビジネスサプライチェーン攻撃によって、サーバーの停止や工場の稼働停止など、重大な業務影響が発生した事例もあります。企業規模にかかわらず、連携するパートナーのセキュリティ対策状況を把握し、一定の水準を求めてサプライチェーン全体のセキュリティレベル向上を図ることが重要です。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、ITシステムの保守・管理を請け負うマネージドサービスプロバイダー(MSP)などの外部サービス事業者を経由して、標的企業に侵入する手法です。MSPは多くの企業のシステムを管理しているため、ひとたび攻撃されると、利用企業に被害が広がるリスクがあります。
例えば、リモート管理ツールを通じてマルウェアが配信され、複数の企業が同時に感染するといったケースは、サービスサプライチェーン攻撃の一例です。サービスサプライチェーン攻撃は影響が大きくなりがちなため、サービス提供者側のセキュリティ強化はもちろん、サービスを利用する企業も委託先の管理体制を把握・評価することが重要です。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発・流通過程に不正なコードやバックドアを仕込み、利用する企業に悪意のあるプログラムを拡散させる手法です。正規のアップデートプログラムやインストーラーがきっかけとなるため、被害の発見が遅れやすいのが特徴です。
特に、多くの企業が利用する汎用ソフトウェアが標的になると、被害は広範囲かつ甚大になります。開発元だけでなく、利用する企業側でもアップデートの検証や異常な動作の早期発見が求められます。
サプライチェーン攻撃の主な被害事例
サプライチェーン攻撃は実際に複数の企業で深刻な被害をもたらしており、その影響は国内外を問わず拡大しています。被害の内容は、ランサムウェアによる大規模な業務停止や情報漏洩など様々です。
下記では、ビジネスサプライチェーン攻撃・サービスサプライチェーン攻撃・ソフトウェアサプライチェーン攻撃の種類ごとに、代表的なサプライチェーン攻撃の事例を紹介します。
| 項目 | 概要 |
|---|---|
| 大手自動車会社関連企業のランサムウェア感染事件 | ビジネスサプライチェーン攻撃の事例で、日本の大手自動車会社が関連企業のランサムウェア被害をきっかけに社内サーバーの停止と工場の稼働停止に追い込まれた |
| リモートIT管理サービスのランサムウェア感染事件 | サービスサプライチェーン攻撃の事例で、サービスを利用していた最大1,000の事業者がランサムウェアに感染した |
| ファイル転送ソフトウェアの脆弱性悪用事件 | ソフトウェアサプライチェーン攻撃の事例で、多数の企業が機密情報を窃取され身代金を要求された |
- 併せて読みたい
ビジネスサプライチェーン攻撃の事例:大手自動車会社関連企業のランサムウェア感染事件
2022年、日本の大手自動車メーカーの内外装部品を製造する関連企業がランサムウェアによる攻撃を受け、社内サーバーが停止し、工場の稼働も一時停止に追い込まれました。
この攻撃は、侵入が可能な関連企業を攻撃する手法で行われており、標的企業ではなくその関連企業が被害の起点となった典型的なビジネスサプライチェーン攻撃の例です。
この事件は、国内でサプライチェーン攻撃の脅威が現実であることを広く知らしめたケースとなり、多くの企業に対し、取引先のセキュリティ強化の必要性を突きつけました。
サービスサプライチェーン攻撃の事例:リモートIT管理サービスのランサムウェア感染事件
2021年、アメリカのリモートIT管理サービス提供事業者がランサムウェア攻撃を受け、同サービスを利用していた最大1,000の企業に被害が拡大しました。この企業はMSP向けのIT管理ツールを提供していて、攻撃者はそのIT管理ツールの脆弱性を悪用し、最終的にMSPやMSPを利用する企業のネットワークにランサムウェアを拡散させました。
この事例では、ベンダーが迅速にサーバーを停止し、顧客に対して対応策を通知するなど、被害の拡大防止に努めましたが、それでも多くの企業が業務停止や情報漏洩のリスクに直面したと言えます。サービス提供事業者を経由した攻撃のリスクを世界的に印象づけたケースです。
ソフトウェアサプライチェーン攻撃の事例:ファイル転送ソフトの脆弱性悪用事件
2023年、ファイル転送ソフトに存在していた脆弱性を突いた攻撃により、多数の企業が機密情報を窃取され、身代金を要求される事件が発生しました。攻撃者は、正規のアップデート機能を利用してマルウェアを拡散し、システム内に不正アクセスを行いました。
この事件では、企業が保有する機密情報や個人情報の流出が広範囲で発生し、深刻な影響を及ぼしています。多業種にまたがる被害となったことで、ソフトウェアの安全性の確認とアップデート管理の重要性が再認識されました。
サプライチェーン攻撃の最新動向
サプライチェーン攻撃は近年ますます巧妙化・高度化しており、企業にとって重大な脅威となっています。情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」では、「サプライチェーンや委託先を狙った攻撃」は7年連続でランクインし、2025年は2位に位置づけられました。
その背景には、クラウドサービスや外部委託の拡大などにより、企業間のデジタル連携が進んでいることがあります。攻撃対象となる企業やシステムの範囲が広がり、リスクが多様化しているのです。社外からの攻撃を防ごうとする境界防御型セキュリティでは対応しきれない攻撃が増えており、企業はより柔軟かつ広範な視点でセキュリティ対策を講じる必要があります。
サプライチェーン攻撃が企業に与えるリスク
サプライチェーン攻撃は、単なるシステム上の被害にとどまらず、企業経営に大きな影響を及ぼすリスクがあります。主なリスクとしては、下記2点が挙げられます。
| 項目 | 概要 |
|---|---|
| 業務停止や情報漏洩による経済的損失 | 攻撃によりシステム停止やデータ流出が発生し、業務停止による経済的損失や損害賠償リスクが生じる |
| 取引先や関連企業への被害の波及 | サプライチェーン全体に連鎖的に被害が拡大しかねない |
業務停止や情報漏洩による経済的損失
サプライチェーン攻撃があった場合、システムの停止や情報漏洩によって、企業は多大な損害を被る可能性があります。業務の中断による経済的な損失に加え、顧客の個人情報や取引先の機密情報の漏洩に対する損害賠償責任も発生しかねません。
さらに、顧客や取引先からの信頼を失えば、ブランドイメージの低下にもつながります。こうした影響は一時的なものではなく、長期的な事業の継続性にも深刻な影響を及ぼします。
取引先や関連企業への被害の波及
サプライチェーン攻撃は、自社だけでなく、取引先や関連企業にも被害を広げるリスクがあります。中小企業の脆弱性が、大企業にとってのリスク要因になるケースも少なくありません。
また、自社が加害者側となって二次被害を引き起こす恐れもあり、セキュリティレベルの底上げがサプライチェーン全体で求められています。サプライチェーン全体で安全性を確保するには、企業間で対策の状況を共有し、管理することは不可欠です。
サプライチェーン攻撃への効果的な対策
サプライチェーン攻撃を防ぐには、自社だけでなく、取引先や委託先を含めた全体のリスクを見据えた対策が必要です。下記では、企業が実施すべき主な対策を5つ紹介します。
| 項目 | 概要 |
|---|---|
| サプライチェーン攻撃のリスク評価と管理体制の構築 | サプライチェーン全体の関連企業やシステムの脆弱性を洗い出し、リスクの高い企業を特定する |
| PSIRTの導入 | 自社製品やサービスのセキュリティインシデント対応を専門に行う組織であるPSIRTに、脆弱性に関する情報の収集やインシデント発生時の対応、関係者との連携を任せる |
| NIST CSF・NIST SP800の活用 | アメリカのサイバーセキュリティ管理のフレームワークやセキュリティ対策ガイドラインを活用する |
| サイバーセキュリティ経営ガイドラインの活用 | 経済産業省とIPAが策定した経営層向けのガイドラインを活用し、取引先の体制確認を含めた管理を行う |
| サプライチェーン強化に向けたセキュリティ対策評価制度への対応 | 2026年度から開始されることになっているサプライチェーン全体のセキュリティ対策を評価する制度を活用し、対策を検討する |
サプライチェーン攻撃のリスク評価と管理体制の構築
サプライチェーン攻撃への対策には、取引先や委託先を含むサプライチェーン全体の脆弱性を洗い出し、リスクを定期的に評価することが重要です。特にセキュリティ対策が不十分な企業を特定し、対策強化を求める必要があります。
また、リスク評価は定期的に実施して、変化に応じて管理体制を見直し、継続的に改善する体制づくりが攻撃への備えとなります。
PSIRTの導入
サプライチェーン攻撃のリスクを減らすには、PSIRT(Product Security Incident Response Team)の導入も有効です。PSIRTは、自社製品やサービスの脆弱性に迅速に対応する専門チームで、脆弱性に関する情報の収集や、インシデントが発生した際の対応、関係者との連携を担います。
PSIRTの設置により、自社がサイバー攻撃を受けた際、取引先などに被害が拡大するリスクを低減することが可能です。サプライチェーン全体のセキュリティを強化するために、社内にPSIRTを設置し、早期対応できる体制を整えましょう。
- 併せて読みたい
NIST CSF・NIST SP800の活用
サプライチェーン攻撃への対策として、アメリカで公表されたNIST CSFやNIST SP800シリーズを活用するのも効果的です。
NIST CSFは、アメリカ国立標準技術研究所(NIST)が策定したサイバーセキュリティ管理のフレームワークです。また、NIST SP800シリーズは、NISTが発行している具体的なセキュリティ対策のガイドラインで、特にSP800-171は情報管理に重点を置いていて、アメリカでは政府関連機関と取引する企業にはこのガイドラインに沿った管理体制が求められています。
サイバーセキュリティ経営ガイドラインの活用
サプライチェーン攻撃に対応するためには、経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン」を参照するのも有効です。サイバーセキュリティ経営ガイドラインは、経営層が主導して取り組むべきセキュリティ対策を明示していて、取引先の管理やサプライチェーン全体のセキュリティへの目配りの重要性が強調されています。
経営層も関与してガイドラインに沿った抜本的な対策を講じることで、組織全体のセキュリティ意識と対策レベルの底上げが図れます。
サプライチェーン強化に向けたセキュリティ対策評価制度への対応
サプライチェーン攻撃に関するリスク管理には、2026年10月から開始予定のセキュリティ対策評価制度を活用するのも有効です。
2025年11月現在では、サプライチェーンを構成する各企業のセキュリティ対策の状況を「3つ星」「4つ星」「5つ星」で評価して、セキュリティ対策のレベルを可視化する仕組みが検討されています。詳細は、経済産業省の「「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました」をご確認ください。
この制度に対応すると、サプライチェーン全体のセキュリティレベルを管理できるようになり、構成企業に体制の強化を求める際にも指針が明確になります。
適切な対策でサプライチェーン攻撃のリスクを減らそう
サプライチェーン攻撃は、企業間の連携構造を悪用して広範囲に被害を生じさせる深刻な脅威と言えます。自社や取引先などをサプライチェーン攻撃から守るためには、攻撃手法や被害事例を理解し、対策を講じることが不可欠です。まずは自社の現状把握とリスク評価から始め、情報漏洩などを防ぐために必要な対策を段階的に導入しましょう。
情報漏洩対策のために役立つのが、インターコムの「MaLion」シリーズです。IT資産を可視化することで脆弱性のある端末やソフトウェアを早期に把握でき、また、不審な操作をログ監視で検知することで、内部不正の迅速な発見も可能です。
さらに、拠点やグループ会社を含めた統一的なセキュリティポリシーを適用することで、万が一インシデントが発生した際も操作履歴から原因・影響範囲を速やかに特定できるため、適切な対応に
