サプライチェーン攻撃の3つの類型
サプライチェーン攻撃は、標的となる組織を直接攻撃するのではなく、その組織と関係のある「サプライチェーン」を経由して侵入する攻撃手法です。この攻撃を理解するためには、攻撃が3つの類型に分類されることを知ることが重要です。
なぜ分類が重要なのでしょうか。それは、攻撃タイプによって必要な対策が異なるからです。ソフトウェアの開発工程を狙う攻撃には技術的な対策が必要ですし、取引先を経由する攻撃には取引先管理の強化が求められます。攻撃の種類を正しく理解することで、効果的な防御策を講じることができます。
サプライチェーン攻撃の定義と仕組みを理解したうえで、以下の3類型について学んでいきましょう。
| 類型 | 狙う対象 | 主な手口 | 代表的な事例 |
|---|---|---|---|
| ソフトウェアサプライチェーン攻撃 | ソフトウェアの開発・配布工程 | アップデートの改ざん、ビルドシステムの侵害、OSSパッケージへの悪意あるコード混入 | SolarWinds事件、3CX事件 |
| ビジネスサプライチェーン攻撃 | 取引先・ビジネスパートナー | 取引先を踏み台にした侵入、VPN経由の攻撃、委託先からの情報漏洩 | トヨタ・小島プレス事件 |
| サービスサプライチェーン攻撃 | MSP・クラウド・SaaSプロバイダー | MSPの管理ツール侵害、クラウドサービスの脆弱性悪用 | Kaseya VSA事件 |
このカテゴリでは、それぞれの攻撃タイプについて、手口の詳細、被害事例、対策の方向性を解説します。自組織がどのタイプの攻撃に対してリスクが高いかを把握し、優先的に対策を講じることが重要です。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発・配布プロセスを狙う攻撃手法です。正規のソフトウェアにマルウェアを混入させることで、そのソフトウェアを利用するすべての組織に攻撃を波及させます。
この攻撃の特徴は、信頼されたソフトウェアを「汚染」する点にあります。利用者は正規のベンダーから提供されたソフトウェアだと信じてインストールするため、従来のセキュリティ対策では検知が困難です。
- アップデートの改ざん
- 正規のソフトウェアアップデートに悪意あるコードを混入させる手口です。ユーザーは通常のアップデートと同様にインストールしてしまいます。
- 開発環境への侵入
- ソースコードリポジトリや開発者のアカウントを侵害し、開発段階で悪意あるコードを埋め込みます。
- ビルドシステムの侵害
- CI/CDパイプラインに侵入し、ビルド工程で不正なコードを挿入します。ソースコードは正常でも、ビルド成果物が改ざんされます。
代表的な事例として、2020年のSolarWinds事件があります。ネットワーク監視ソフトウェア「Orion」のアップデートにマルウェアが混入され、米国政府機関を含む18,000以上の組織が影響を受けました。また、2023年の3CX事件では、ビジネス電話システムのアップデートが改ざんされ、多数の企業が被害に遭いました。
詳しくはソフトウェアサプライチェーン攻撃とは|アップデート改ざん・開発工程の脅威を解説をご覧ください。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、取引先やビジネスパートナーを踏み台にして、本命の標的に侵入する攻撃手法です。ソーシャルエンジニアリングやフィッシングを組み合わせた標的型攻撃(APT)の一環として行われることも少なくありません。
この攻撃の特徴は、セキュリティ対策の弱い取引先を「入り口」として利用する点にあります。大企業は強固なセキュリティ対策を講じていても、取引先の中小企業が対策不十分であれば、そこが侵入口になります。
- 取引先を踏み台にした侵入
- セキュリティ対策が弱い中小の取引先に侵入し、そこから大企業のネットワークにアクセスします。取引先として正規のアクセス権限を持っている場合、検知が困難です。
- VPN経由の攻撃
- 取引先との接続用VPN機器の脆弱性を悪用して侵入します。パッチ未適用のVPN機器は攻撃者の格好の標的となります。
- 委託先からの情報漏洩
- 業務委託先でのデータ管理不備により、機密情報が漏洩します。再委託先まで含めると、リスクの把握は容易ではありません。
2022年のトヨタ・小島プレス事件が代表的な例です。部品メーカーである小島プレスがランサムウェアに感染し、トヨタの国内全14工場が1日操業停止に追い込まれました。この事例は、サプライチェーン全体のセキュリティが重要であることを示しています。
詳しくはビジネスサプライチェーン攻撃とは|取引先経由の侵入手法と対策を解説をご覧ください。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダー)やクラウドサービス、SaaSを経由して多数の顧客企業に一斉に攻撃を仕掛ける手法です。
この攻撃の特徴は、「1対多」の効率性にあります。1つのサービス提供者を侵害することで、そのサービスを利用するすべての顧客企業に攻撃を波及させることができます。攻撃者にとって非常に効率的な手法です。
- MSP経由の攻撃
- MSPの管理ツールを侵害し、MSPが管理する顧客企業のシステムに一斉にマルウェアを配布します。MSPは強力な管理権限を持っているため、被害が甚大になります。
- クラウドサービスの侵害
- クラウドプロバイダーのインフラや管理コンソールを侵害します。また、顧客側のクラウド設定不備を悪用した攻撃も増加しています。
- SaaSを介した攻撃
- SaaSアプリケーションの脆弱性やOAuth連携機能を悪用し、利用者のデータにアクセスしたり、マルウェアを配布したりします。
2021年のKaseya VSA事件では、MSP向けのリモート管理ツールが侵害され、そのMSPを利用する1,500以上の企業がランサムウェアに感染しました。この事例は、サービス提供者のセキュリティが顧客企業に直接影響することを示しています。
詳しくはサービスサプライチェーン攻撃とは|MSP・クラウド・SaaS経由のリスクを解説をご覧ください。
攻撃タイプ別の対策方針
サプライチェーン攻撃への対策は、攻撃タイプによって異なります。それぞれの攻撃に対する対策の方向性を理解し、自組織に適した対策を選択することが重要です。
- ソフトウェアサプライチェーン攻撃への対策
- SBOM(Software Bill of Materials:ソフトウェア部品表)を活用して依存関係を可視化し、脆弱性を管理します。また、ソフトウェアの署名検証を徹底し、改ざんされたソフトウェアのインストールを防ぎます。SLSA(Supply-chain Levels for Software Artifacts)フレームワークを採用することで、ビルドプロセスの完全性を確保できます。
- ビジネスサプライチェーン攻撃への対策
- 取引先のセキュリティ評価を定期的に実施し、リスクの高い取引先には改善を求めます。また、ゼロトラストアーキテクチャを採用し、取引先からのアクセスであっても常に検証を行う仕組みを構築します。VPN機器の脆弱性管理も重要です。
- サービスサプライチェーン攻撃への対策
- MSPやクラウドサービスの選定時にセキュリティ基準を設け、契約で責任範囲を明確にします。共有責任モデルを理解し、利用者側の責任範囲については自組織で対策を講じます。サービス提供者任せにせず、多層防御の考え方で自組織を守ることが重要です。
| 攻撃タイプ | 主な対策カテゴリ | 詳細ページ |
|---|---|---|
| ソフトウェア型 | 技術的対策(SBOM、署名検証、SLSA) | 技術者向け対策 |
| ビジネス型 | 取引先管理(評価、契約、監査) | 取引先管理 |
| サービス型 | クラウドセキュリティ、MSP選定 | 自社対策 |
詳細な対策については、各カテゴリのページをご参照ください。
関連カテゴリへの案内
サプライチェーン攻撃についてさらに学びたい方は、目的に応じて以下のカテゴリをご活用ください。
- 技術的な対策を詳しく知りたい方
- 技術者向けカテゴリでは、SBOM、CI/CDセキュリティ、OSSの依存関係管理など、技術的な対策を詳しく解説しています。開発者やセキュリティエンジニアの方におすすめです。
- 取引先管理を強化したい方
- 取引先管理カテゴリでは、取引先の評価方法、契約条項、セキュリティ質問票の活用方法などを解説しています。調達担当や法務担当の方におすすめです。
- 基礎から学びたい方
- 基礎知識カテゴリでは、サプライチェーン攻撃の定義、仕組み、予防法などを初心者向けに解説しています。これからセキュリティを学ぶ方におすすめです。
- 事例を詳しく知りたい方
- 事例・動向カテゴリでは、国内外の被害事例や最新のトレンドを紹介しています。実際の事例から学びたい方におすすめです。
まとめ
サプライチェーン攻撃の種類について、重要なポイントを整理します。
- サプライチェーン攻撃は3つの類型に分類される:ソフトウェア型、ビジネス型、サービス型
- ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発・配布工程を狙い、正規のアップデートにマルウェアを混入させる
- ビジネスサプライチェーン攻撃は、セキュリティの弱い取引先を踏み台にして本命の標的に侵入する
- サービスサプライチェーン攻撃は、MSPやクラウドサービスを侵害して多数の顧客企業に一斉攻撃を仕掛ける
- 攻撃タイプによって必要な対策が異なるため、自組織のリスクを把握して適切な対策を選択することが重要
- フィッシングや不正アクセスなど、他の攻撃手法と組み合わせて実行されることが多い
サプライチェーン攻撃の全体像については、サプライチェーン攻撃とは|仕組み・事例・対策を初心者にもわかりやすく解説【2025年版】をご覧ください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
攻撃タイプ別に探す(現在のカテゴリ)
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
