ビジネスサプライチェーン攻撃とは
ビジネスサプライチェーン攻撃とは、ビジネス上の取引関係を悪用し、セキュリティ対策の弱い取引先を踏み台にして本命の標的に侵入する攻撃手法です。大企業が強固なセキュリティ対策を講じていても、取引先の中小企業のセキュリティが脆弱であれば、そこが侵入口となります。
この攻撃は、ソフトウェアサプライチェーン攻撃とは異なり、ソフトウェアの開発工程ではなくビジネス上の信頼関係を悪用します。取引先として正規のアクセス権限を持っている場合、侵入を検知することが困難になります。
- 攻撃の特徴
- セキュリティ対策の弱い取引先を「入り口」として利用します。大企業を直接攻撃するよりも、対策が不十分な中小の取引先を攻撃する方が、攻撃者にとって効率的です。
- 信頼関係の悪用
- 取引先として正規のアクセス権限を持っていたり、取引先を装ってメールを送信したりすることで、本命の標的の警戒を緩めることができます。
- 日本での被害の多さ
- 日本の製造業はサプライチェーンが複雑で、多数の中小企業が関わっています。そのため、ビジネスサプライチェーン攻撃の被害が多く報告されています。
サプライチェーン攻撃の手口と侵入経路で解説している3つの類型のうち、ビジネスサプライチェーン攻撃は日本国内で最も多く発生しているタイプです。特に製造業、医療機関、物流業界での被害が目立っています。
取引先を踏み台にした侵入
ビジネスサプライチェーン攻撃の最も典型的な手口は、中小の取引先を最初の侵入口として利用し、そこから本命の大企業へ攻撃を拡大させる方法です。
なぜ取引先が狙われるのか
攻撃者は、標的とする大企業を直接攻撃するのではなく、まずセキュリティ対策が弱い取引先を狙います。これは「弱い鎖の環」の考え方に基づいています。
- セキュリティ投資の差
- 大企業は専門のセキュリティチームを持ち、最新のセキュリティ製品を導入していることが多いです。一方、中小企業はセキュリティへの投資が限られ、対策が不十分なことがあります。
- 攻撃者の視点での効率性
- 大企業を直接攻撃するには高度な技術と時間が必要ですが、中小の取引先であれば比較的容易に侵入できます。一度取引先に侵入すれば、そこを踏み台にして大企業にアクセスできます。
- サプライチェーンの複雑さ
- 現代のビジネスは多数の取引先との連携で成り立っています。大企業であっても、すべての取引先のセキュリティ状況を把握・管理することは容易ではありません。
サプライチェーン攻撃では、セキュリティ対策の弱い取引先が標的企業への侵入口として悪用されます。自社だけでなく、サプライチェーン全体のセキュリティ強化が求められています。
— 出典:IPA「情報セキュリティ10大脅威 2025」
攻撃の典型的なパターン
ビジネスサプライチェーン攻撃は、通常、複数の段階を経て実行されます。
- 初期侵入:中小企業に対してフィッシングメールを送信したり、公開サーバーの脆弱性を悪用したりして侵入
- 情報収集:侵入した中小企業のネットワーク内で情報を収集し、大企業との接続方法や認証情報を特定
- 横展開:取得した認証情報やアクセス権限を使用して、大企業のネットワークに侵入
- 目的の達成:大企業のネットワーク内で機密情報を窃取したり、ランサムウェアを展開したりする
この攻撃パターンは、標的型攻撃(APT)の一環として行われることが多く、数週間から数ヶ月かけて慎重に実行されます。
踏み台からの攻撃手法
取引先を踏み台にした後、攻撃者はさまざまな方法で本命の標的に攻撃を仕掛けます。
- 正規のアクセス権限の悪用
- 取引先として付与されたVPNアクセスや業務システムへのアクセス権限を悪用します。正規のアクセスとして認識されるため、検知が困難です。
- 取引先を装った偽装メール
- 取引先のメールアカウントを乗っ取り、本命の標的に対してビジネスメール詐欺(BEC)を仕掛けます。普段やり取りしている相手からのメールであるため、信頼されやすいです。
- マルウェアの横展開
- 取引先のシステムにマルウェアを仕込み、接続されている本命のシステムにも感染を広げます。
VPN・リモートアクセス経由の攻撃
取引先との接続に使用されるVPN機器やリモートアクセス経由の攻撃は、ビジネスサプライチェーン攻撃で最も多い侵入経路の一つです。
VPN機器の脆弱性
VPN機器の脆弱性を悪用した攻撃は、近年急増しています。特に、パッチが適用されていない古いVPN機器は、攻撃者にとって格好の標的となっています。
| 脆弱性の種類 | 悪用方法 | 影響 |
|---|---|---|
| 認証バイパス | 認証をスキップして管理者権限を取得 | VPN機器の完全な制御 |
| 任意コード実行 | リモートから悪意あるコードを実行 | 内部ネットワークへのアクセス |
| 情報漏洩 | 設定情報や認証情報の取得 | 正規ユーザーとしての不正アクセス |
トヨタ・小島プレス事件では、小島プレスが使用していたリモート接続機器の脆弱性が悪用されたとされています。この事例は、VPN機器の脆弱性管理の重要性を示しています。
対策としては、VPN機器のファームウェアを常に最新の状態に保つこと、脆弱性情報を定期的に確認すること、そして脆弱性管理体制を整えることが重要です。
認証情報の窃取
VPN接続用のID・パスワードが窃取され、正規ユーザーとして不正アクセスされるケースも多発しています。
- フィッシングによる窃取
- VPNログインページを模した偽サイトに誘導し、認証情報を入力させます。フィッシングの手口が巧妙化しており、本物との区別が困難になっています。
- ダークウェブでの売買
- 過去の情報漏洩事件で流出した認証情報がダークウェブで売買されています。パスワードリスト攻撃で、他サービスと同じパスワードを使い回している場合にVPNアカウントも侵害されます。
- マルウェアによる窃取
- 取引先のPCがマルウェアに感染し、入力された認証情報が攻撃者に送信されます。
対策としては、多要素認証の導入が最も効果的です。ID・パスワードだけでなく、追加の認証要素を求めることで、認証情報が漏洩した場合でも不正アクセスを防ぐことができます。
リモートアクセスの管理不備
VPN以外にも、リモートデスクトップ(RDP)や各種リモートアクセスツールの管理不備が攻撃に悪用されることがあります。
- 不要なリモートアクセスの放置:過去のプロジェクトで使用していたリモートアクセス経路が、プロジェクト終了後も削除されずに残っている
- アクセス権限の過剰付与:必要以上に広範囲のアクセス権限が取引先に付与されている
- 退職者アカウントの残存:取引先の担当者が退職した後もアカウントが有効なまま放置されている
- デフォルトパスワードの使用:リモートアクセス機器のパスワードが初期設定のまま変更されていない
対策としては、リモートアクセス経路の棚卸しを定期的に実施し、不要なアクセス経路は速やかに閉鎖することが重要です。また、取引先のアカウント管理を徹底し、担当者の変更時には速やかにアカウントを更新または削除する体制を整えることが必要です。
委託先からの情報漏洩
業務委託先のセキュリティ不備により、委託元の機密情報が漏洩するケースも、ビジネスサプライチェーン攻撃の一形態です。
- 委託先でのデータ管理の問題
- 委託先が預かったデータを適切に管理していない場合、外部からの攻撃や内部不正により情報が漏洩する可能性があります。委託先のセキュリティ体制を確認し、契約で適切な管理を義務付けることが重要です。
- 再委託先へのリスク波及
- 委託先がさらに別の企業に再委託している場合、リスクの把握が困難になります。再委託先のセキュリティ水準が低ければ、そこが攻撃の標的となる可能性があります。再委託の制限や、再委託先の管理を契約に盛り込むことが重要です。
- 委託先従業員による内部不正
- 委託先の従業員が意図的にデータを持ち出すケースもあります。内部不正への対策として、委託先に対してもアクセスログの取得や監視の実施を求めることが有効です。
委託先からの情報漏洩を防ぐためには、TPRM(Third Party Risk Management:第三者リスク管理)の体制を構築することが重要です。詳しくはサードパーティリスク管理をご覧ください。
代表的な事例
ビジネスサプライチェーン攻撃の代表的な国内事例を紹介します。これらの事例から、攻撃の実態と影響の大きさを理解できます。
| 事例名 | 発生年 | 攻撃経路 | 影響 |
|---|---|---|---|
| トヨタ・小島プレス事件 | 2022年 | リモート接続機器の脆弱性 | トヨタ国内全14工場が1日停止 |
| 半田病院事件 | 2021年 | VPN機器の脆弱性 | 電子カルテ停止、約2ヶ月の復旧 |
| 大阪急性期・総合医療センター事件 | 2022年 | 給食委託業者経由 | 電子カルテ停止、数十億円の被害 |
| 名古屋港事件 | 2023年 | リモート接続経路 | コンテナ搬出入が約3日間停止 |
サプライチェーンを構成する取引先や委託先のセキュリティ対策が不十分な場合、そこが攻撃の糸口となり、自社のみならずサプライチェーン全体に被害が及ぶ可能性があります。
— 出典:経済産業省「サイバーセキュリティ経営ガイドライン」
トヨタ・小島プレス事件は、日本におけるビジネスサプライチェーン攻撃の代表的な事例です。部品メーカーである小島プレスがランサムウェアに感染し、部品供給が停止したことで、トヨタの国内全14工場が1日操業停止に追い込まれました。この事例は、サプライチェーン全体のセキュリティが重要であることを広く認識させるきっかけとなりました。
医療機関への攻撃も深刻な問題となっています。徳島県の半田病院や大阪急性期・総合医療センターでは、VPN機器の脆弱性や委託業者経由でランサムウェアに感染し、電子カルテが使用不能になる被害が発生しました。医療機関は患者の命に関わるため、攻撃による影響は特に深刻です。
詳しい事例解説は、サプライチェーン攻撃の国内事例をご覧ください。
ビジネスサプライチェーン攻撃への対策
ビジネスサプライチェーン攻撃への対策は、自社のセキュリティ強化と取引先管理の両面から行う必要があります。
- 取引先のセキュリティ評価
- 取引開始前に取引先のセキュリティ体制を評価し、リスクの高い取引先には改善を求めます。セキュリティ質問票の活用や、第三者認証(ISMS等)の取得状況の確認が有効です。詳しくは取引先評価をご覧ください。
- ゼロトラストアーキテクチャの採用
- 「信頼しない、常に検証する」という考え方に基づき、取引先からのアクセスであっても常に認証・認可を行います。これにより、取引先が侵害された場合でも、被害の拡大を防ぐことができます。
- VPN・リモートアクセスの管理強化
- VPN機器の脆弱性管理を徹底し、常に最新のファームウェアを適用します。また、多要素認証の導入、不要なアクセス経路の削除、アクセスログの監視を行います。
- 契約でのセキュリティ条項
- 取引先との契約にセキュリティ要件を盛り込み、遵守を義務付けます。監査権の確保、インシデント発生時の報告義務、損害賠償条項などを明記することが重要です。詳しくは契約条項をご覧ください。
| 対策カテゴリ | 主な対策 | 詳細ページ |
|---|---|---|
| 取引先管理 | 評価、契約、質問票、支援 | 取引先管理カテゴリ |
| 自社対策 | ゼロトラスト、多層防御 | 自社対策カテゴリ |
| 中小企業 | 低コスト対策、踏み台対策 | 中小企業向けカテゴリ |
関連する攻撃手法
ビジネスサプライチェーン攻撃は、他の攻撃手法と組み合わせて実行されることが多いです。関連する攻撃手法を理解することで、より包括的な対策を講じることができます。
- ランサムウェア:取引先経由で侵入後、ランサムウェアを展開して身代金を要求します
- フィッシング:取引先への最初の侵入手段として使われます
- ビジネスメール詐欺(BEC):取引先を装った偽装メールで金銭を詐取します
- 不正アクセス:窃取した認証情報で正規ユーザーとして侵入します
- 情報漏洩:委託先からの機密情報流出が発生します
- 内部不正:委託先従業員によるデータ持ち出しが発生することがあります
- 権限昇格・横展開:取引先から侵入後、本命の標的に向けて攻撃を拡大します
これらの攻撃手法への対策も併せて講じることで、ビジネスサプライチェーン攻撃のリスクを低減できます。
よくある質問
- Q: 自社のセキュリティが万全でも、取引先経由で攻撃されますか?
- A: はい、その可能性があります。自社のセキュリティがいくら強固でも、セキュリティ対策の弱い取引先を経由して攻撃を受ける可能性があります。トヨタ・小島プレス事件がその典型例です。トヨタ自体のセキュリティは強固でしたが、サプライヤーである小島プレスがランサムウェアに感染したことで、トヨタの全工場が停止に追い込まれました。自社だけでなく、サプライチェーン全体のセキュリティを考慮することが重要です。
- Q: 取引先のセキュリティをどこまで管理すべきですか?
- A: 取引先のセキュリティ管理の範囲は、取引の重要度やリスクレベルに応じて決定します。重要な取引先に対しては、セキュリティ質問票による評価、監査の実施、契約でのセキュリティ要件の明記が有効です。一方、すべての取引先に同じレベルの管理を求めることは現実的ではないため、リスクベースでのアプローチが推奨されます。詳しくはTPRM(第三者リスク管理)をご覧ください。
- Q: 中小企業がビジネスサプライチェーン攻撃の踏み台にされないためには?
- A: 中小企業がまず取り組むべきは、基本的なセキュリティ対策の徹底です。具体的には、OSやソフトウェアの更新、強固なパスワードの設定、多要素認証の導入、ファイアウォールの適切な設定、従業員へのセキュリティ教育などがあります。また、IPAが提供する「SECURITY ACTION」への宣言や、「サイバーセキュリティお助け隊サービス」の活用も有効です。詳しくは中小企業向けカテゴリをご覧ください。
- Q: VPN接続は危険なのですか?
- A: VPN接続自体が危険というわけではありません。VPNは、インターネット上で安全な通信を行うための重要な技術です。ただし、VPN機器に脆弱性がある場合や、認証情報が漏洩した場合には、攻撃者に悪用される可能性があります。VPN機器のファームウェアを常に最新に保つこと、多要素認証を導入すること、不要なアクセス経路を削除することで、リスクを軽減できます。また、ゼロトラストネットワークアクセス(ZTNA)への移行も検討に値します。
- Q: 委託先の再委託先まで管理する必要がありますか?
- A: 理想的にはすべての再委託先まで管理することが望ましいですが、現実的には困難な場合も多いです。そのため、契約で再委託の制限(事前承認制、再々委託の禁止など)を設けることが有効です。また、委託先に対して再委託先の管理責任を負わせ、定期的な報告を求めることで、間接的に管理することができます。重要度の高い業務については、再委託を禁止するか、再委託先も含めたセキュリティ評価を行うことを検討してください。
まとめ
ビジネスサプライチェーン攻撃について、重要なポイントを整理します。
- ビジネスサプライチェーン攻撃は、セキュリティ対策の弱い取引先を踏み台にして本命の標的に侵入する攻撃手法
- VPN機器の脆弱性や認証情報の窃取が主な侵入経路となっている
- 委託先からの情報漏洩も重要なリスクであり、TPRM体制の構築が必要
- トヨタ・小島プレス事件など、日本国内で多くの被害が発生している
- 対策には取引先のセキュリティ評価、ゼロトラストの採用、契約でのセキュリティ条項が重要
- ランサムウェアやフィッシングなど、他の攻撃手法と組み合わせて実行されることが多い
次は、MSPやクラウドサービスを経由するサービスサプライチェーン攻撃について学びましょう。
攻撃タイプ別の概要については、サプライチェーン攻撃の種類をご覧ください。サプライチェーン攻撃の全体像については、サプライチェーン攻撃とは|仕組み・事例・対策を初心者にもわかりやすく解説【2025年版】をご参照ください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
攻撃タイプ別に探す(現在のカテゴリ)
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
