サプライチェーン攻撃とは
サプライチェーン攻撃(読み方:サプライチェーンこうげき、英語:supply chain attack)とは、取引先、委託先、ソフトウェアベンダー、サービス提供者など、サプライチェーン上の「信頼されている第三者」を経由して行われるサイバー攻撃です。
IPA(独立行政法人情報処理推進機構)は、この攻撃を「サプライチェーンの弱点を悪用した攻撃」と呼び、「情報セキュリティ10大脅威」において2019年から7年連続でランクインさせています。2025年版では組織向け脅威の2位にランクされており、企業にとって喫緊の課題となっています。
| 年 | 順位 | 備考 |
|---|---|---|
| 2019年 | 4位 | 初めてランクイン |
| 2020年 | 4位 | — |
| 2021年 | 4位 | SolarWinds事件発生 |
| 2022年 | 3位 | トヨタ・小島プレス事件発生 |
| 2023年 | 2位 | 名古屋港事件発生 |
| 2024年 | 2位 | — |
| 2025年 | 2位 | 7年連続ランクイン |
サプライチェーン攻撃は、サプライチェーンリスクやサードパーティリスクとも関連する概念です。詳しい定義と仕組みはサプライチェーン攻撃の定義と仕組みで解説しています。
サプライチェーン攻撃の定義
サプライチェーンとは、製品やサービスが最終的な消費者に届くまでの一連の流れを指します。原材料の調達、製造、物流、販売といった物理的なサプライチェーンだけでなく、ITの文脈では以下のような「つながり」がサプライチェーンに含まれます。
- 取引先・委託先
- 業務を委託している企業、部品や材料を調達している企業との関係
- ソフトウェア
- 業務で利用しているソフトウェア、そのソフトウェアが依存しているライブラリやコンポーネント
- サービス
- クラウドサービス、SaaS、MSP(マネージドサービスプロバイダ)などの外部サービス
IPAの定義によれば、サプライチェーン攻撃とは「商流に関わる組織やソフトウェア開発の工程を侵害し、信頼関係を悪用して標的組織を攻撃する手法」です。
なぜ「サプライチェーン」が狙われるのか
攻撃者がサプライチェーンを狙う理由は、主に以下の3点です。
1. 直接攻撃より侵入しやすい
大企業や政府機関は、強固なセキュリティ対策を施しています。しかし、その取引先である中小企業や、利用しているソフトウェアの開発元には、必ずしも同等のセキュリティ対策が施されているとは限りません。攻撃者は「弱い環」を見つけて侵入を試みます。
2. 信頼関係を悪用できる
取引先からのメール、正規ベンダーからのソフトウェアアップデート、信頼しているサービスからの通知は、受け取る側も疑いにくいものです。この「信頼」を悪用することで、通常のセキュリティ対策をすり抜けることができます。
3. 1回の攻撃で多数に影響を与えられる
広く利用されているソフトウェアやサービスを侵害すれば、そのソフトウェア・サービスを利用しているすべての組織に攻撃を拡散できます。攻撃者にとって「効率が良い」攻撃手法なのです。
サプライチェーン攻撃を簡単に言うと
専門用語を使わずに説明すると、サプライチェーン攻撃は「信頼している相手を経由して忍び込む攻撃」です。
日常生活に置き換えて、いくつかのたとえ話で理解してみましょう。
- たとえ話1:配達業者を装った泥棒
- あなたは普段から利用している配達業者を信頼しています。ある日、その配達業者を装った人物が荷物を届けに来ました。「いつもの配達業者だから大丈夫」と思ってドアを開けると、実は泥棒でした。本物の配達業者の制服を着て、本物の伝票を持っていたので、見分けがつかなかったのです。サプライチェーン攻撃も同様に、「信頼している相手」を装うことで、警戒心を解いて侵入します。
- たとえ話2:正規のアプリストアに紛れ込んだ偽アプリ
- スマートフォンのアプリストアは審査があるから安全だと思っていませんか?しかし、ごく稀に、正規のアプリストアに悪意のあるアプリが紛れ込むことがあります。「公式ストアからダウンロードしたから安心」と思っていたら、実はそのアプリに悪意のあるプログラムが仕込まれていた…。ソフトウェアサプライチェーン攻撃はこれに似ています。
- たとえ話3:取引先の社員証を持った偽物
- オフィスのセキュリティを考えてみてください。社員証を持っている人は通過できますが、取引先の社員証を持っている人も、「取引先だから」という理由で通してしまうかもしれません。しかし、その取引先の社員証が盗まれていたり、偽造されていたりしたら…。ビジネスサプライチェーン攻撃では、取引先のネットワークや認証情報が悪用されます。
このように、サプライチェーン攻撃の本質は「信頼を悪用する」ことにあります。だからこそ、自社だけでなく、取引先やソフトウェア、サービスまで含めたセキュリティ対策が必要になるのです。
サプライチェーン攻撃の仕組みと流れ
サプライチェーン攻撃は、どのように行われるのでしょうか。攻撃者がサプライチェーンを悪用する仕組みを段階的に解説します。詳しい手口はサプライチェーン攻撃の手口と侵入経路で解説しています。
攻撃の流れ(5段階)
サプライチェーン攻撃は、一般的に以下の5段階で進行します。
- 第1段階:標的の選定とサプライチェーンの調査
- 攻撃者はまず、最終的に侵入したい組織(本命のターゲット)を選定します。次に、そのターゲットが利用しているソフトウェア、取引している企業、依存しているサービスを調査します。標的組織のホームページ、プレスリリース、求人情報、LinkedInなどから、どのような技術スタックを使っているか、どの企業と取引しているかを推測することができます。
- 第2段階:サプライチェーンへの侵入
- 調査の結果、セキュリティが相対的に弱いサプライヤー、ソフトウェアベンダー、サービス提供者を見つけ出し、そこへの侵入を試みます。フィッシングメール、脆弱性の悪用、認証情報の窃取など、様々な手法が使われます。
- 第3段階:悪意あるコードの埋め込み
- サプライチェーンへの侵入に成功すると、攻撃者は悪意あるコード(マルウェア、バックドア)を埋め込みます。ソフトウェアのソースコード、ビルドシステム、アップデート配信サーバーなどが改ざんの対象となります。
- 第4段階:正規ルートでの配布
- 埋め込まれた悪意あるコードは、正規のソフトウェアアップデート、取引先からの納品物、サービスを通じて、本命のターゲットに配布されます。正規のルートで届くため、受け取る側は疑いにくく、セキュリティ製品も検知しにくい状況が生まれます。
- 第5段階:最終ターゲットへの侵入・被害拡大
- 本命のターゲットに悪意あるコードが到達すると、攻撃者は遠隔からの操作(C2通信)、情報窃取、ランサムウェアの展開など、本来の攻撃目的を実行します。ここまでの段階で、攻撃者は「信頼されたサプライチェーン」の一部として潜入しているため、検知・対応が遅れがちです。
なぜ検知が難しいのか
サプライチェーン攻撃が検知しにくい理由は、以下の通りです。
正規の経路を使う:ソフトウェアのアップデートや取引先との通信は、通常のビジネス活動の一部です。これを悪用するため、異常として検知されにくくなります。
信頼されたソフトウェア・取引先からの攻撃:信頼リストに登録されたソフトウェアや、ホワイトリストに含まれる取引先からの通信は、セキュリティチェックを通過しやすくなります。
署名済みのソフトウェアに潜むリスク:コード署名されたソフトウェアは、「正規のベンダーが作成した」ことの証明です。しかし、ベンダー自体が侵害されていれば、署名済みでありながら悪意あるコードを含むソフトウェアが配布されることになります。
サプライチェーン攻撃の種類
サプライチェーン攻撃は、攻撃対象によって大きく3つの類型に分類されます。詳しくはサプライチェーン攻撃の種類で解説しています。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発・配布過程を狙った攻撃です。
攻撃者は、ソフトウェアのソースコード、ビルドシステム、アップデート配信サーバーなどを侵害し、正規のソフトウェアに悪意あるコードを混入させます。また、オープンソースソフトウェア(OSS)のライブラリを汚染する手法も増えています。
代表的な事例:
- SolarWinds事件(2020年):IT管理ソフトのアップデートにマルウェアを混入
- 3CX事件(2023年):ビジネスフォンソフトウェアのビルドシステムを侵害
- event-stream事件(2018年):npmパッケージに悪意あるコードを注入
詳しくはソフトウェアサプライチェーン攻撃をご覧ください。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、取引先・委託先を踏み台にした攻撃です。
攻撃者は、セキュリティ対策が相対的に弱い取引先や委託先に侵入し、そこを踏み台にして本命のターゲットに攻撃を仕掛けます。VPN経由での侵入、委託先からの情報漏洩、取引先メールアカウントの乗っ取りなどの手法が使われます。
代表的な事例:
- トヨタ・小島プレス事件(2022年):サプライヤーのランサムウェア感染がトヨタ全工場に影響
- 病院事例(徳島・大阪等):VPN経由でのランサムウェア感染
詳しくはビジネスサプライチェーン攻撃をご覧ください。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダ)、クラウドサービス、SaaSを経由した攻撃です。
多くの企業がIT管理を外部に委託したり、クラウドサービスを利用したりしています。これらのサービス提供者が侵害されると、その顧客企業すべてに被害が拡散する可能性があります。
代表的な事例:
- Kaseya VSA事件(2021年):MSP向けソフトウェアの脆弱性を悪用し、1,500社以上が被害
詳しくはサービスサプライチェーン攻撃をご覧ください。
3つの類型の比較
| 類型 | 攻撃対象 | 代表的な手口 | 代表事例 |
|---|---|---|---|
| ソフトウェア型 | ソフトウェアの開発・配布過程 | アップデート改ざん、OSS汚染、ビルドシステム侵害 | SolarWinds、3CX |
| ビジネス型 | 取引先・委託先 | VPN侵入、認証情報窃取、委託先経由の情報漏洩 | トヨタ・小島プレス |
| サービス型 | MSP・クラウド・SaaS | サービス提供者の侵害、共有基盤の悪用 | Kaseya VSA |
サプライチェーン攻撃の被害事例
サプライチェーン攻撃の被害は、国内外で多数報告されています。代表的な事例を紹介します。詳しくはサプライチェーン攻撃の事例と動向をご覧ください。
国内事例
日本国内で発生した代表的なサプライチェーン攻撃事例を紹介します。詳細はサプライチェーン攻撃の国内事例で解説しています。
トヨタ・小島プレス事件(2022年)
2022年2月、トヨタ自動車のTier1サプライヤーである小島プレス工業がランサムウェアに感染しました。
- 概要
- 小島プレス工業の子会社が利用していたリモート接続機器の脆弱性を悪用して侵入され、ランサムウェアが展開されました。
- 影響
- 小島プレス工業のシステム停止により、トヨタへの部品供給が停止。トヨタは国内全14工場28ラインの稼働を1日停止し、約1万3千台の生産に影響が出ました。
- 教訓
- サプライチェーン全体でのセキュリティ対策の重要性が改めて認識されました。大企業のセキュリティは、サプライヤーのセキュリティに依存していることが明らかになりました。
医療機関の事例(徳島・大阪等)
2021年から2022年にかけて、複数の医療機関でVPN経由のランサムウェア感染が発生しました。
- 概要
- つるぎ町立半田病院(2021年)、大阪急性期・総合医療センター(2022年)などで、VPN装置の脆弱性を悪用したランサムウェア感染が発生しました。
- 影響
- 電子カルテシステムが停止し、数週間から数か月にわたる診療制限を余儀なくされました。
- 教訓
- 保守ベンダーのリモートアクセス経路が攻撃の侵入口となりうることが明らかになりました。VPN装置の脆弱性管理の重要性が再認識されました。
その他の国内事例
- 名古屋港コンテナターミナル(2023年):VPN脆弱性を悪用したランサムウェア攻撃により、国内最大級の港湾が約3日間機能停止
- 製造業各社:サプライヤー経由のランサムウェア感染、委託先からの情報漏洩など、多数の事例が報告されています
海外事例
海外で発生した代表的なサプライチェーン攻撃事例を紹介します。詳細はサプライチェーン攻撃の海外事例で解説しています。
SolarWinds事件(2020年)
SolarWinds事件は、史上最大規模のサプライチェーン攻撃の一つです。
- 概要
- 米国のIT管理ソフトウェア企業SolarWinds社の製品「Orion」のアップデートにマルウェア「Sunburst」が混入されました。
- 影響
- 米国政府機関(財務省、国土安全保障省等)を含む18,000以上の組織がマルウェアを含むアップデートをダウンロード。実際に侵害を受けた組織は約100社とされています。
- 攻撃者
- ロシア政府系のAPTグループとされています。
- 教訓
- ソフトウェアサプライチェーンの脆弱性が明らかになり、ビルドシステムのセキュリティ、SBOM(ソフトウェア部品表)の重要性が認識されました。
Kaseya VSA事件(2021年)
- 概要
- MSP(マネージドサービスプロバイダ)向けのIT管理ソフトウェア「Kaseya VSA」のゼロデイ脆弱性を悪用した攻撃が発生しました。
- 影響
- Kaseya VSAを利用していたMSPを経由して、1,500社以上のMSP顧客企業がランサムウェア「REvil」に感染しました。
- 教訓
- サービスサプライチェーンのリスクが明らかになりました。MSPを利用する場合、MSPのセキュリティ対策も確認する必要があることが認識されました。
3CX事件(2023年)
- 概要
- ビジネスフォンソフトウェアを提供する3CX社のビルドシステムが侵害され、正規のソフトウェアにマルウェアが混入されました。「サプライチェーン攻撃がサプライチェーン攻撃を引き起こした」という二重のサプライチェーン攻撃でした。
- 影響
- 全世界60万社以上の顧客に影響の可能性がありました。
- 教訓
- 開発環境・ビルド環境のセキュリティの重要性が再認識されました。
事例から学ぶ共通の教訓
これらの事例から、以下の共通の教訓が得られます。詳しくは事例から学ぶ教訓をご覧ください。
- サプライチェーン全体のセキュリティを考慮する必要がある
- VPN装置など外部接続点の脆弱性管理が重要
- 信頼されたソフトウェア・取引先からの攻撃にも備える
- バックアップと復旧計画(BCP)の整備が不可欠
- インシデント発生時の迅速な情報共有と連携が重要
- 定期的なセキュリティ評価と監査の実施
- 経営層のコミットメントとリソース配分が必要
サプライチェーン攻撃が増加している背景
サプライチェーン攻撃が増加している背景には、いくつかの要因があります。詳しくはサプライチェーン攻撃の最新動向で解説しています。
DX推進と外部委託の増加
デジタルトランスフォーメーション(DX)の進展に伴い、多くの企業がIT化を加速させています。同時に、コスト削減や専門性確保のために、外部への委託やアウトソーシングも増加しています。
これにより、企業のサプライチェーンはより複雑になり、管理すべきサードパーティの数が増加しています。取引先の数が増えれば増えるほど、サプライチェーン全体のセキュリティを確保することは難しくなります。
クラウドサービス・SaaSの普及
クラウドサービスやSaaSの利用が拡大しています。企業は、自社でシステムを構築・運用するよりも、クラウドサービスを利用する方が効率的と考えるようになりました。
しかし、クラウドサービスを利用するということは、そのサービス提供者のセキュリティに依存することを意味します。また、複数のクラウドサービスを連携させる場合、その接続点がリスクになる可能性があります。「共有責任モデル」の理解と、適切な責任分担が重要です。
OSSの普及と依存関係の複雑化
現代のソフトウェア開発では、オープンソースソフトウェア(OSS)の利用が一般的になっています。ある調査によれば、商用ソフトウェアの90%以上がOSSを含んでいるとされています。
OSSは効率的な開発を可能にしますが、同時に依存関係(dependency)の問題も生じます。一つのソフトウェアが数十から数百のOSSライブラリに依存しており、さらにそれらのライブラリが別のライブラリに依存している場合もあります。
2021年のLog4Shell(Log4jの脆弱性)事件は、広く使われているOSSライブラリに重大な脆弱性が発見された場合の影響の大きさを示しました。
攻撃者にとっての効率性
攻撃者の視点では、サプライチェーン攻撃は「効率の良い」攻撃手法です。
- 一度の攻撃で多数のターゲットに影響:広く使われているソフトウェアやサービスを侵害すれば、その利用者すべてに攻撃を拡散できます
- 検知されにくい:正規の経路を使うため、セキュリティ製品や監視をすり抜けやすい
- 攻撃のROIが高い:一つのサプライヤーを侵害する労力で、多数のターゲットに到達できます
サプライチェーン攻撃の対策
サプライチェーン攻撃への対策は、自社のセキュリティ強化と、取引先管理の両面から進める必要があります。
自社で実施すべき対策
自社内で実施すべきセキュリティ対策について概説します。詳しくは自社で実施するサプライチェーン攻撃対策をご覧ください。
基本的なセキュリティ対策の徹底
サプライチェーン攻撃対策の基本は、一般的なセキュリティ対策の徹底です。
- 多層防御:単一の対策に頼らず、複数の防御層を設ける
- 脆弱性管理・パッチ適用:特にVPN装置、リモートアクセス機器の脆弱性対応を優先
- アクセス制御・認証強化:多要素認証の導入、最小権限の原則の適用
詳しくは基本的なセキュリティ対策をご覧ください。
ネットワーク・境界防御
外部との接続点は、サプライチェーン攻撃の侵入経路となりえます。
- ネットワーク分離:重要なシステムとインターネット接続系を分離
- VPN・リモートアクセス管理:VPN装置の脆弱性管理、接続の監視
- ゼロトラストの考え方:「信頼しない、常に検証する」アプローチ
詳しくはネットワーク・境界防御をご覧ください。
検知・監視・インシデント対応
侵入を100%防ぐことは困難であり、検知・対応能力も重要です。
- ログ監視、EDR/XDR:不審な挙動の検知
- 異常検知:通常と異なる通信パターンやアクセスの検知
- インシデント対応計画:サプライチェーン攻撃を想定した対応計画の策定
詳しくはインシデント対応をご覧ください。
取引先管理(サプライチェーン管理)
取引先・委託先のセキュリティ管理は、サプライチェーン攻撃対策の核心です。詳しくは取引先管理によるサプライチェーン攻撃対策をご覧ください。
取引先のセキュリティ評価
取引を開始する前に、取引先のセキュリティ対策状況を評価することが重要です。
- 取引開始前の評価:セキュリティ体制、認証取得状況、過去のインシデント履歴
- セキュリティ質問票の活用:標準化された質問票による評価
- 定期的な再評価:継続的な取引先においても定期的にセキュリティ状況を確認
詳しくは取引先のセキュリティ評価をご覧ください。
契約によるセキュリティ確保
契約条項にセキュリティ要件を盛り込むことで、取引先のセキュリティ対策を担保します。
- セキュリティ条項の明記:対策実施義務、インシデント報告義務
- 監査権の確保:必要に応じて取引先のセキュリティ状況を監査できる権利
- 再委託の制限:無断での再委託禁止、再委託先への要件適用
詳しくは契約条項の盛り込みをご覧ください。
継続的なモニタリング
取引開始時の評価だけでなく、継続的なモニタリングが重要です。
- TPRM(第三者リスク管理):取引先リスクを継続的に管理するフレームワーク
- サプライチェーンの可視化:どのような取引先・サービスに依存しているかの把握
詳しくはサードパーティリスク管理(TPRM)をご覧ください。
技術的対策(開発者向け)
ソフトウェア開発に携わる技術者向けの対策も重要です。詳しくは技術者向けサプライチェーン攻撃対策をご覧ください。
SBOMの活用
SBOM(Software Bill of Materials:ソフトウェア部品表)は、ソフトウェアに含まれるコンポーネントの一覧です。
- ソフトウェアの構成要素を可視化
- 脆弱性が発見された際の影響範囲の特定
- 米国大統領令でも義務化が進む
詳しくはSBOMをご覧ください。
CI/CDセキュリティ
開発パイプラインのセキュリティも重要です。
- ビルドパイプラインの保護:ビルドシステムへのアクセス制御、監査ログ
- SLSAフレームワーク:ソフトウェアサプライチェーンの完全性を保証するためのフレームワーク
詳しくはCI/CDセキュリティをご覧ください。
企業規模別のサプライチェーン攻撃対策
企業の規模によって、サプライチェーン攻撃対策のアプローチは異なります。
大企業・経営者向けの対策
大企業においては、サプライチェーン攻撃対策を経営課題として捉える必要があります。詳しくは経営者向けサプライチェーン攻撃対策をご覧ください。
- 経営課題としての認識
- サプライチェーン攻撃は、事業継続に直結するリスクです。経営層がリスクを理解し、適切なリソースを配分する必要があります。トヨタ・小島プレス事件では、1日の操業停止で約1万3千台の生産に影響が出ました。
- ガバナンス設計
- サプライチェーンセキュリティを管理するための組織体制、責任分担、報告体制を整備します。調達部門、IT部門、リスク管理部門の連携が重要です。
- 投資判断
- サプライチェーン攻撃対策への投資を、リスク低減効果と費用対効果の観点から判断します。
中小企業向けの対策
中小企業は、大企業のサプライチェーンの一部として「踏み台」にされるリスクがあります。詳しくは中小企業向けサプライチェーン攻撃対策をご覧ください。
- 中小企業が狙われる理由
- 中小企業は、大企業に比べてセキュリティ対策が手薄な傾向があります。攻撃者は、セキュリティが弱い中小企業に侵入し、そこを踏み台にして取引先の大企業を攻撃します。
- 限られたリソースでの対策
- 予算や人員が限られる中小企業では、優先順位をつけて対策を実施することが重要です。まずは基本的なセキュリティ対策(パスワード管理、ウイルス対策、バックアップ)から始めます。
- 低コストで始める方法
- IPAの「サイバーセキュリティお助け隊サービス」や「SECURITY ACTION」など、中小企業向けの支援制度を活用できます。無料のセキュリティ診断ツールやガイドラインも公開されています。
業種別のサプライチェーン攻撃対策
業種によって、サプライチェーン攻撃のリスクや対策のポイントは異なります。詳しくは業種別サプライチェーン攻撃対策をご覧ください。
業種別リスクの違い
業種によってサプライチェーン攻撃のリスクが異なる理由は、以下の通りです。
- 保有する情報の種類:金融機関は口座情報、医療機関は患者情報など、業種によって保有する機微情報が異なります
- サプライチェーンの構造:自動車産業はTier構造、金融機関は多数のベンダーとの接続など、業種によってサプライチェーンの特性が異なります
- 規制・ガイドライン:金融機関にはFISC安全対策基準、医療機関には厚生労働省ガイドラインなど、業種固有の規制があります
主要業種の対策概要
| 業種 | 主なリスク | 準拠すべき規制・ガイドライン | 詳細ページ |
|---|---|---|---|
| 金融機関 | 口座情報漏洩、不正送金、システム停止 | FISC安全対策基準、金融庁ガイドライン | 金融機関の対策 |
| 小売/EC | クレジットカード情報漏洩、サイト改ざん | PCI DSS | 小売/ECの対策 |
| 医療機関 | 患者情報漏洩、電子カルテ停止 | 厚生労働省ガイドライン | 医療機関の対策 |
| 教育機関 | 学生情報漏洩、研究データ流出 | 文部科学省ガイドライン | 教育機関の対策 |
| 製造業 | 生産停止、製造技術流出 | 経産省工場セキュリティGL | 製造業の対策 |
| 自動車産業 | サプライヤー経由の生産停止 | 自工会・部工会ガイドライン | 自動車産業の対策 |
| 物流・港湾 | 物流停止、経済活動への影響 | 国土交通省方針 | 物流・港湾の対策 |
| 重要インフラ | 社会機能停止、国民生活への影響 | NISC行動計画、経済安全保障推進法 | 重要インフラの対策 |
| 官公庁・自治体 | 住民情報漏洩、行政サービス停止 | 政府統一基準群 | 官公庁・自治体の対策 |
| グローバル企業 | 海外拠点経由の侵入、各国規制対応 | GDPR、各国規制 | グローバル企業の対策 |
よくある質問(FAQ)
サプライチェーン攻撃に関するよくある質問をまとめました。詳しくはサプライチェーン攻撃Q&Aをご覧ください。
- Q1: サプライチェーン攻撃と標的型攻撃の違いは?
- A: 標的型攻撃は特定の組織を狙った攻撃全般を指し、サプライチェーン攻撃はその手法の一つです。標的型攻撃では、フィッシングメールなどで直接ターゲットを攻撃することもありますが、サプライチェーン攻撃は取引先やソフトウェアを経由して攻撃する点が特徴です。高度な標的型攻撃では、サプライチェーン攻撃が組み合わされることが多くなっています。
- Q2: サプライチェーン攻撃とAPT(高度標的型攻撃)の関係は?
- A: APT(Advanced Persistent Threat)は、高度な技術と潤沢なリソースを持つ攻撃者(しばしば国家支援型)による長期的・持続的な攻撃を指します。サプライチェーン攻撃は、APTでよく使われる手法の一つです。SolarWinds事件のように、APTグループがサプライチェーン攻撃を使って政府機関に侵入する事例があります。詳しくは標的型攻撃(APT)をご覧ください。
- Q3: 中小企業もサプライチェーン攻撃の標的になりますか?
- A: はい、中小企業も標的になります。むしろ、大企業よりもセキュリティ対策が手薄な中小企業が、踏み台として狙われることがあります。トヨタ・小島プレス事件では、大企業のサプライヤーである中小企業が侵入経路となりました。中小企業向け対策もご覧ください。
- Q4: サプライチェーン攻撃を完全に防ぐことはできますか?
- A: 残念ながら、サプライチェーン攻撃を100%防ぐことは困難です。サプライチェーンは広範で複雑であり、すべてのリスクを排除することは現実的ではありません。重要なのは、リスクを低減し、万が一侵入された場合に早期検知・迅速対応できる体制を整えることです。「予防」と「検知・対応」の両面からの対策が必要です。
- Q5: サプライチェーン攻撃の被害に遭った場合どうすればよいですか?
- A: まず、被害の拡大を防ぐための初動対応(影響範囲の特定、ネットワーク分離など)を行います。次に、証拠保全を行いながら調査を進めます。必要に応じて警察(#9110)、IPA(03-5978-7509)、JPCERT/CCなどの専門機関に相談してください。また、取引先や顧客への通知、監督官庁への報告が必要な場合もあります。
- Q6: 取引先のセキュリティレベルをどう確認すればよいですか?
- A: セキュリティ質問票の送付、認証取得状況(ISMS、Pマーク等)の確認、必要に応じた現地監査などの方法があります。また、セキュリティ評価サービスを提供する外部機関を活用することもできます。取引先のセキュリティ評価で詳しく解説しています。
- Q7: サプライチェーン攻撃対策の予算はどのくらい必要ですか?
- A: 企業規模や業種によって異なりますが、まずは既存のセキュリティ予算の中で優先順位をつけて対策を始めることができます。VPN装置の脆弱性対策、バックアップの整備など、比較的低コストで効果の高い対策から始めることをお勧めします。中小企業向けには、IPAの無料ツールや支援制度も活用できます。
- Q8: OSSを使うのはサプライチェーン攻撃のリスクになりますか?
- A: OSSの利用自体がリスクなのではなく、適切に管理されていないOSSの利用がリスクになります。どのOSSを使っているか把握し(SBOM)、脆弱性情報を追跡し、適切にアップデートすることで、リスクを低減できます。OSSの利用は現代のソフトウェア開発において避けられないため、適切な管理が重要です。
- Q9: クラウドサービスを使っていればサプライチェーン攻撃は防げますか?
- A: クラウドサービスを使うこと自体はサプライチェーン攻撃の防止にはなりません。むしろ、クラウドサービス提供者がサプライチェーン攻撃の標的になる可能性もあります。「共有責任モデル」を理解し、クラウドサービス提供者のセキュリティを評価するとともに、自社の責任範囲のセキュリティ対策を行うことが重要です。
- Q10: サプライチェーン攻撃に関する相談窓口はありますか?
- A: 以下の公的機関に相談できます。
- IPA(情報処理推進機構):03-5978-7509
- JPCERT/CC(JPCERTコーディネーションセンター):インシデント報告受付
- 警察庁サイバー犯罪相談窓口:#9110
- 各都道府県警察のサイバー犯罪相談窓口
サプライチェーン攻撃について詳しく学ぶ
この記事では、サプライチェーン攻撃の概要を解説しました。さらに詳しく学びたい方のために、64ページにわたる関連コンテンツを用意しています。目的・立場・業種に応じて、適切なページをお選びください。
目的別ガイド
- 基礎から学びたい方
- サプライチェーン攻撃の定義、種類、仕組みを基礎から学べます。
→ サプライチェーン攻撃の基礎知識 - 事例を知りたい方
- 国内外の被害事例、最新動向、統計データを確認できます。
→ サプライチェーン攻撃の事例と動向 - 自社の対策を始めたい方
- 自社で実施すべき対策、ネットワーク防御、インシデント対応を学べます。
→ 自社で実施するサプライチェーン攻撃対策 - 取引先管理を強化したい方
- 取引先評価、契約条項、TPRM(第三者リスク管理)を学べます。
→ 取引先管理によるサプライチェーン攻撃対策
立場別ガイド
- 経営者・役員の方
- 経営課題としての捉え方、ガバナンス設計、投資判断を解説します。
→ 経営者向けサプライチェーン攻撃対策 - 中小企業の担当者の方
- 限られたリソースでの対策、低コストで始める方法を解説します。
→ 中小企業向けサプライチェーン攻撃対策 - 開発者・技術者の方
- SBOM、CI/CDセキュリティ、OSS管理など技術的な対策を解説します。
→ 技術者向けサプライチェーン攻撃対策
業種別ガイド
業種ごとの固有のリスクと対策を解説しています。
まとめ
サプライチェーン攻撃について、重要なポイントをまとめます。
- サプライチェーン攻撃とは、取引先、委託先、ソフトウェア、サービスなど「信頼されている第三者」を経由したサイバー攻撃
- IPAの「情報セキュリティ10大脅威」で7年連続ランクイン、2025年版では2位の深刻な脅威
- 3つの類型:ソフトウェア型、ビジネス型、サービス型
- 代表的な事例:トヨタ・小島プレス(国内)、SolarWinds・Kaseya・3CX(海外)
- 増加の背景:DX推進、クラウド普及、OSS利用拡大、攻撃者にとっての効率性
- 対策の両輪:自社のセキュリティ強化と取引先管理
- 自社対策:基本対策の徹底、ネットワーク・境界防御、検知・監視・インシデント対応
- 取引先管理:セキュリティ評価、契約条項、継続的モニタリング
- 技術的対策:SBOM、CI/CDセキュリティ
- 企業規模別の対応:大企業は経営課題として、中小企業は踏み台リスクを認識
- 業種別の対応:業種固有のリスクと規制に対応
- 100%の防御は困難:予防と検知・対応の両面から対策
サプライチェーン攻撃は、自社だけでなくサプライチェーン全体のセキュリティを考える必要がある、複雑で対処が難しい脅威です。しかし、基本的なセキュリティ対策の徹底と、取引先管理の強化から始めることで、リスクを大幅に低減することができます。
まずは、自社の現状を把握し、優先度の高い対策から着手してください。詳しい対策は、目的・立場・業種に応じた関連ページを参照してください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド ← 現在のページ
目的別に探す
役職・立場別に探す
攻撃の種類を知る
業種別に探す
人気のページ
サプライチェーン攻撃のよくある質問
はい、むしろ中小企業の方が標的になりやすい面があります。大企業への「踏み台」として、セキュリティ対策が手薄な取引先の中小企業が狙われます。自社だけでなく、どの大企業と取引しているかが攻撃者の関心事です。
信頼されているソフトウェアやサービスからの不審な通信、予期しないシステムの動作、ネットワークトラフィックの異常などに注意します。ただし高度な攻撃は検知困難なため、専門業者による定期的な脅威ハンティングが推奨されます。
透明性が高い反面、メンテナンスが不十分な場合や依存関係が複雑な場合にリスクがあります。プロジェクトの活発さ、セキュリティ監査の有無、脆弱性への対応速度を確認し、SBOMで依存関係を把握することが重要です。
クラウド事業者のセキュリティ認証を確認し、SLAにセキュリティ要件を明記します。データの暗号化、アクセス制御、監査ログの定期確認など、利用者側でもできる対策を実施してください。
完全に防ぐことは困難ですが、リスクを大幅に軽減できます。サプライヤー評価、ゼロトラストアーキテクチャ、継続的監視、インシデント対応計画など、多層的なセキュリティ対策を組み合わせることで被害を最小限に抑えられます。
SBOM(ソフトウェア部品表)は、ソフトウェアに含まれる全コンポーネント、ライブラリ、依存関係のリストです。脆弱性発見時に影響範囲を迅速に特定でき、クラウド・ソフトの供給リスク管理に不可欠です。アメリカ政府は連邦調達でSBOMを義務化しています。
法的責任は状況により異なりますが、一般的には最終サービス提供者が顧客に対して責任を負います。契約でサプライヤーの責任範囲を明確にしておくことが重要ですが、適切なサプライヤー管理を怠っていた場合は免責されません。
契約でセキュリティ基準を要求できますが、実施状況の継続的監視には限界があります。重要なサプライヤーには監査権を確保し、定期的な評価を実施します。中小サプライヤーにはコスト面での配慮も必要です。
パッチが存在しない脆弱性を使った攻撃は検知が困難ですが、ゼロトラストの原則、異常検知システム、ネットワークセグメンテーションなどで、侵入されても被害を限定できます。完全な防御は不可能でも、影響範囲は最小化できます。
国産でも海外製でも、セキュリティレベルは個々の企業によります。重要なのは開発元がどこかではなく、どのようなセキュリティ対策を実施しているか、監査に協力的か、透明性が高いかです。国産だから安全という保証はありません。
AIによる異常検知は、通常のパターンから逸脱する挙動を発見する点で有効です。ただし、高度な攻撃は正常な動作を模倣するため、AI単独では不十分です。人間の専門知識とAIを組み合わせた対策が最も効果的です。
サイバー保険の中にはサプライチェーン攻撃による損害をカバーするものがあります。ただし、適用条件が厳しく、基本的なセキュリティ対策が講じられていない場合は保険金が支払われないこともあります。保険は最後の手段であり、予防が最優先です。
はい、急増しています。Gartnerの予測では、2025年までに組織の45%がサプライチェーン攻撃を経験するとされています。攻撃の費用対効果が高く、国家支援のAPTグループが好む手法のため、今後も増加が予想されます。
リスクレベルに応じて異なりますが、高リスクのサプライヤーは年1回以上、中リスクは2年に1回程度が目安です。ただし、重大なインシデント発生時や、契約内容の大幅な変更時には臨時監査が必要です。
ブロックチェーンは、サプライチェーンの透明性と追跡可能性を向上させる可能性があります。製品の来歴や、ソフトウェアのビルドプロセスを改ざん不可能な形で記録できます。ただし、ブロックチェーンそのものがサイバー攻撃を防ぐわけではなく、あくまで検証と追跡のツールです。
更新履歴
- 情報加筆・更新
- 初稿公開
