サービスサプライチェーン攻撃とは
サービスサプライチェーン攻撃とは、MSP(マネージドサービスプロバイダー)やクラウドサービス、SaaSといったサービス提供者を侵害し、その顧客企業に攻撃を波及させる手法です。サービス提供者は多数の顧客企業にサービスを提供しているため、1つのサービス提供者を侵害するだけで、多数の企業に同時に攻撃を仕掛けることができます。
この攻撃は、ソフトウェアサプライチェーン攻撃やビジネスサプライチェーン攻撃とは異なり、サービス提供という関係性を悪用します。サプライチェーン攻撃の手口と侵入経路で解説している3つの類型のうち、最も「1対多」の効率性が高い攻撃タイプです。
- 攻撃の特徴
- 1つのサービス提供者を侵害することで、そのサービスを利用するすべての顧客企業に攻撃を波及させることができます。攻撃者にとって非常に効率的な攻撃手法です。
- サービス提供者の強力な権限
- MSPやクラウドサービスプロバイダーは、顧客企業のシステムに対して強力な管理権限を持っています。この権限が悪用されると、顧客企業は防御が困難になります。
- 共有責任の複雑さ
- クラウドサービスでは、セキュリティの責任がサービス提供者と利用者で分担されます(共有責任モデル)。この責任分界が不明確だと、対策の漏れが生じやすくなります。
現代のビジネスでは、多くの企業がMSPやクラウドサービスを利用しています。そのため、サービスサプライチェーン攻撃の影響は広範囲に及ぶ可能性があります。
MSP経由の攻撃
MSP(Managed Service Provider:マネージドサービスプロバイダー)経由の攻撃は、サービスサプライチェーン攻撃の代表的な形態です。MSPは顧客企業のITインフラを管理する立場にあるため、攻撃者にとって魅力的な標的となっています。
MSPとは
MSPとは、企業のITインフラの運用・管理を代行するサービス提供者です。中小企業にとっては、自社でIT部門を持つよりもコスト効率が高いため、広く利用されています。
- MSPの役割
- サーバーの監視・運用、ネットワークの管理、セキュリティ対策、ソフトウェアの更新など、顧客企業のIT環境全般を管理します。
- MSPの持つ権限
- MSPは業務を遂行するために、顧客企業のシステムに対して管理者レベルのアクセス権限を持っています。この権限があるからこそ、リモートからシステムの管理や問題の解決ができるのです。
MSPが狙われる理由
MSPが攻撃者に狙われる理由は明確です。
| 理由 | 詳細 |
|---|---|
| 多数の顧客への入り口 | 1つのMSPを侵害すれば、そのMSPが管理するすべての顧客企業のシステムにアクセスできる可能性がある |
| 強力な管理権限 | MSPは顧客企業のシステムに対して管理者権限を持っているため、侵害されると甚大な被害につながる |
| 信頼された接続 | MSPからのアクセスは正規の管理業務として信頼されているため、不正なアクセスと区別しにくい |
| 攻撃の効率性 | 個々の企業を1社ずつ攻撃するよりも、MSPを経由する方が効率的に多数の企業を攻撃できる |
MSP経由の攻撃手法
MSP経由の攻撃では、攻撃者はまずMSPが使用する管理ツールや管理システムを侵害します。
- リモート管理ツールの侵害
- MSPが顧客企業のシステムを管理するために使用するリモート管理ツール(RMM:Remote Monitoring and Management)を侵害します。このツールは顧客企業のシステムに対して強力な権限を持っているため、侵害されると大きな被害につながります。
- 正規の管理機能の悪用
- 攻撃者は、侵害したリモート管理ツールの正規機能を使用して、顧客企業にマルウェアを配布します。正規のツールからの配布であるため、セキュリティ製品では検知が困難です。
- 顧客企業への一斉攻撃
- 一度MSPを侵害すれば、そのMSPが管理するすべての顧客企業に対して同時に攻撃を仕掛けることができます。これにより、短時間で多数の企業が被害を受けます。
Kaseya VSA事件(2021年)は、MSP経由の攻撃の典型例です。MSP向けのリモート管理ツール「Kaseya VSA」がランサムウェアグループ「REvil」に侵害され、そのツールを利用するMSP経由で1,500以上の企業がランサムウェアに感染しました。
クラウドサービスの侵害
クラウドサービスを経由した攻撃も、サービスサプライチェーン攻撃の重要な形態です。クラウドサービスの普及に伴い、このタイプの攻撃リスクも増大しています。
クラウドプロバイダーへの直接攻撃
クラウドプロバイダー自体を直接攻撃するケースは稀ですが、発生した場合の影響は甚大です。
- クラウドインフラへの攻撃
- AWS、Azure、GCPなどの大手クラウドプロバイダーのインフラ自体が侵害されるケースです。大手プロバイダーは強固なセキュリティ体制を持っていますが、完全に侵害されれば数百万の顧客に影響が及びます。
- 管理コンソール・APIの脆弱性
- クラウドサービスの管理コンソールやAPIに脆弱性がある場合、それを悪用して顧客のデータやシステムにアクセスされる可能性があります。
クラウドサービスの利用においては、サービス提供者と利用者の責任範囲を明確にし、それぞれの責任範囲において適切なセキュリティ対策を講じることが重要です。
— 出典:総務省「クラウドサービス利用・提供における適切な設定のためのガイドライン」
クラウド設定不備の悪用
クラウドプロバイダー自体への攻撃よりも、利用者側の設定不備を悪用した攻撃の方が頻繁に発生しています。
- 公開されたストレージバケット:S3バケットやAzure Blobストレージが誤って公開設定になっており、機密データが外部からアクセス可能な状態
- 過剰な権限付与:IAM(Identity and Access Management)の設定ミスにより、必要以上の権限が付与されている
- セキュリティグループの設定不備:ファイアウォールルールの設定ミスにより、本来遮断すべき通信が許可されている
- 暗号化の未設定:データの暗号化が設定されておらず、データが平文で保存されている
これらの設定不備は、攻撃者に悪用される可能性があります。詳しい対策はクラウドセキュリティ対策をご覧ください。
マルチテナント環境のリスク
クラウドサービスでは、複数の顧客(テナント)が同じインフラを共有するマルチテナントアーキテクチャが一般的です。
- テナント間分離の重要性
- クラウドプロバイダーは、テナント間でデータやシステムが混在しないよう、論理的または物理的な分離を行っています。この分離が不十分だと、あるテナントへの攻撃が他のテナントに影響を及ぼす可能性があります。
- サイドチャネル攻撃のリスク
- 同じ物理サーバー上で動作する仮想マシン間で、サイドチャネル攻撃(CPUの脆弱性を悪用した攻撃など)により情報が漏洩する可能性があります。
SaaSを介した攻撃
SaaS(Software as a Service)を経由した攻撃も増加しています。企業は多数のSaaSを利用しており、それぞれがサプライチェーン攻撃の潜在的な経路となります。
SaaSの脆弱性
SaaSアプリケーション自体に脆弱性がある場合、利用者のデータやシステムが危険にさらされます。
- SaaSアプリケーションの脆弱性
- SaaSアプリケーションにXSSやSQLインジェクションなどの脆弱性がある場合、攻撃者に悪用される可能性があります。利用者側では対応が難しく、SaaSプロバイダーによる修正を待つしかないことが多いです。
- 利用者側での対応の難しさ
- SaaSの場合、利用者はアプリケーション自体を管理できないため、脆弱性への対応はSaaSプロバイダーに依存します。重要なSaaSについては、プロバイダーのセキュリティ体制を確認することが重要です。
SaaS連携機能の悪用
多くのSaaSは、他のサービスとの連携機能を提供しています。この連携機能が悪用されるケースがあります。
| 悪用パターン | 手口 | リスク |
|---|---|---|
| OAuth連携の悪用 | 悪意あるアプリケーションがOAuth認証を通じて過剰な権限を要求 | データの不正アクセス、アカウントの乗っ取り |
| API連携の悪用 | 正規のAPI連携に見せかけて悪意ある処理を実行 | データの窃取、システムへの不正アクセス |
| サードパーティアプリの悪用 | 悪意あるサードパーティアプリをインストールさせる | SaaS内のデータへの不正アクセス |
OAuth・SSOの悪用や同意画面フィッシングへの対策も重要です。
SaaS経由の情報漏洩
SaaSプロバイダーからのデータ漏洩も重要なリスクです。
- SaaSプロバイダーへの攻撃
- SaaSプロバイダー自体がサイバー攻撃を受け、顧客のデータが漏洩するケースがあります。利用者はSaaSプロバイダーのセキュリティ対策を直接制御できないため、プロバイダーの選定時にセキュリティ体制を確認することが重要です。
- 利用者側のデータ管理責任
- SaaSに保存するデータの分類や、アクセス権限の管理は利用者の責任です。重要なデータについては、暗号化や追加のセキュリティ対策を検討する必要があります。
代表的な事例
サービスサプライチェーン攻撃の代表的な事例を紹介します。
| 事例名 | 発生年 | サービス種別 | 影響 |
|---|---|---|---|
| Kaseya VSA事件 | 2021年 | MSP向けRMMツール | 1,500以上の企業がランサムウェアに感染 |
| Accellion FTA事件 | 2021年 | ファイル転送サービス | 多数の企業・政府機関からデータ流出 |
| Microsoft Exchange Server脆弱性 | 2021年 | メールサーバー | 世界中の数万の組織が影響 |
| ConnectWise ScreenConnect | 2024年 | MSP向けリモートアクセスツール | 多数のMSPとその顧客が影響 |
Kaseya VSA事件は、サービスサプライチェーン攻撃の典型例として広く知られています。ランサムウェアグループ「REvil」は、Kaseya VSAのゼロデイ脆弱性を悪用してシステムに侵入し、正規の管理機能を使用して顧客企業にランサムウェアを配布しました。この攻撃により、MSPを利用していた多数の中小企業が被害を受けました。
マネージドサービスプロバイダー(MSP)等のサービス事業者を経由した攻撃も増加しており、サービス選定時のセキュリティ評価が重要となっています。
— 出典:IPA「情報セキュリティ10大脅威 2025」
詳しい事例解説は、サプライチェーン攻撃の海外事例をご覧ください。
共有責任モデルの理解
クラウドサービスを安全に利用するためには、共有責任モデルを正しく理解することが重要です。
- 共有責任モデルとは
- クラウドサービスにおいて、セキュリティの責任がサービス提供者と利用者で分担されるという考え方です。責任範囲はサービスの種類(IaaS、PaaS、SaaS)によって異なります。
| サービス種類 | プロバイダーの責任 | 利用者の責任 |
|---|---|---|
| IaaS | 物理インフラ、仮想化層 | OS、ミドルウェア、アプリケーション、データ |
| PaaS | 物理インフラ、OS、ミドルウェア | アプリケーション、データ |
| SaaS | 物理インフラ、OS、アプリケーション | データ、アクセス管理 |
SaaSであっても、データの管理やアクセス権限の設定は利用者の責任です。「クラウドを使っているから安全」という誤解は危険であり、利用者側の責任範囲については自組織で対策を講じる必要があります。
サービスサプライチェーン攻撃への対策
サービスサプライチェーン攻撃への対策は、サービス提供者の選定と自組織での対策の両面から行う必要があります。
- MSP・サービス提供者の選定基準
- MSPやクラウドサービスを選定する際には、セキュリティ体制を評価基準に含めます。SOC 2認証やISO 27001認証の取得状況、インシデント対応体制、セキュリティ監査の実施状況などを確認します。価格だけでなく、セキュリティも重要な選定基準として考慮することが必要です。
- 共有責任の明確化と契約条項
- 契約締結時に、セキュリティに関する責任範囲を明確にします。インシデント発生時の報告義務、損害賠償条項、監査権の確保などを契約に盛り込みます。責任範囲が曖昧だと、インシデント発生時に対応が遅れる可能性があります。
- クラウドセキュリティ設定の強化
- クラウドサービスのセキュリティ設定を適切に行います。アクセス権限の最小化、多要素認証の有効化、ログの取得と監視、暗号化の設定などが重要です。クラウドセキュリティ態勢管理(CSPM)ツールの活用も有効です。
- 多層防御(サービス提供者任せにしない)
- サービス提供者のセキュリティに依存するだけでなく、自組織でも多層防御を実施します。EDRの導入、ネットワーク監視、定期的なバックアップなど、サービス提供者が侵害された場合でも被害を最小化できる体制を整えます。
詳しい対策については、クラウドセキュリティ対策をご覧ください。
関連する攻撃手法
サービスサプライチェーン攻撃は、他の攻撃手法と組み合わせて実行されることが多いです。
- ランサムウェア:MSP経由でランサムウェアが配布されるケースが多発しています
- クラウド設定不備:設定ミスがサービスサプライチェーン攻撃の糸口となります
- 不正アクセス:サービス提供者のシステムへの不正アクセスが攻撃の起点になります
- 情報漏洩:SaaSからのデータ漏洩が発生します
- OAuth・SSOの悪用:SaaS連携機能の悪用に使われます
- ゼロデイ攻撃:Kaseya事件のように、ゼロデイ脆弱性が悪用されることがあります
- 標的型攻撃(APT):国家レベルの攻撃者がサービスサプライチェーンを狙うことがあります
よくある質問
- Q: MSPを利用するのは危険ですか?
- A: MSPの利用自体が危険というわけではありません。MSPは、専門的なIT管理サービスを提供し、多くの企業にとってコスト効率の高い選択肢です。重要なのは、信頼できるMSPを選定することです。選定時には、セキュリティ認証の取得状況、インシデント対応体制、過去のセキュリティ事故の有無などを確認します。また、MSPに過度に依存せず、自社でもセキュリティ対策を講じることが重要です。
- Q: クラウドサービスを利用する際の注意点は?
- A: クラウドサービスを利用する際は、まず共有責任モデルを理解し、自社の責任範囲を明確にすることが重要です。アクセス権限の設定は最小権限の原則に従い、多要素認証を有効にします。また、ストレージの公開設定、セキュリティグループの設定、暗号化の設定などを適切に行います。クラウドセキュリティ態勢管理(CSPM)ツールを活用して、設定の監視を自動化することも有効です。
- Q: SaaSのセキュリティは利用者側で対策できますか?
- A: SaaSのアプリケーション自体のセキュリティは、SaaSプロバイダーに依存する部分が大きいですが、利用者側でできる対策もあります。アクセス権限の管理、多要素認証の設定、不要な連携アプリの削除、重要データの暗号化、ログの監視などが利用者側でできる対策です。また、SaaSプロバイダーのセキュリティ体制を評価し、信頼できるプロバイダーを選定することも重要な対策の一つです。
- Q: 共有責任モデルとは何ですか?
- A: 共有責任モデルとは、クラウドサービスにおいて、セキュリティの責任がサービス提供者と利用者で分担されるという考え方です。IaaSの場合、物理インフラと仮想化層はプロバイダーの責任ですが、OSより上の層は利用者の責任です。SaaSの場合、アプリケーションまではプロバイダーの責任ですが、データの管理やアクセス権限の設定は利用者の責任となります。この責任分担を正しく理解し、それぞれの責任範囲で適切な対策を講じることが重要です。
- Q: MSP経由の攻撃を検知するにはどうすればよいですか?
- A: MSP経由の攻撃は、正規の管理アクセスと区別が難しいため、検知が困難です。対策としては、MSPのアクセスログを詳細に監視し、通常とは異なるパターン(異常な時間帯のアクセス、大量のファイル操作など)を検知する仕組みを導入することが有効です。また、EDRを導入して端末の挙動を監視したり、ネットワーク監視で不審な通信を検知したりすることも重要です。MSPとの契約で、アクセスログの提供を義務付けることも検討してください。
まとめ
サービスサプライチェーン攻撃について、重要なポイントを整理します。
- サービスサプライチェーン攻撃は、MSPやクラウドサービス、SaaSを経由して多数の顧客企業に一斉に攻撃を仕掛ける手法
- MSP経由の攻撃では、リモート管理ツールを侵害して顧客企業にマルウェアを配布する
- クラウドサービスの侵害や利用者側の設定不備が攻撃経路となる
- SaaSを介した攻撃では、OAuth連携機能の悪用やSaaSプロバイダーからのデータ漏洩が発生する
- Kaseya VSA事件など、大規模な被害事例が発生している
- 共有責任モデルを理解し、利用者側の責任範囲では自組織で対策を講じることが重要
- サービス提供者の選定時にセキュリティ体制を評価し、契約で責任範囲を明確にする
攻撃タイプ別の概要については、サプライチェーン攻撃の種類をご覧ください。サプライチェーン攻撃の全体像については、サプライチェーン攻撃とは|仕組み・事例・対策を初心者にもわかりやすく解説【2025年版】をご参照ください。
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
攻撃タイプ別に探す(現在のカテゴリ)
役職・立場別に探す
業種別に探す
人気のページ
更新履歴
- 初稿公開
