サプライチェーン攻撃の定義
サプライチェーン攻撃(さぷらいちぇーんこうげき、英語:supply chain attack)とは、ターゲットとなる組織を直接攻撃するのではなく、その組織が信頼している取引先、委託先、ソフトウェアベンダーなどを経由して侵入するサイバー攻撃のことです。
日本語では「サプライチェーンリスク」「供給網攻撃」などと呼ばれることもあります。攻撃対象となる組織のサプライチェーン(供給網)の中で、セキュリティ対策が手薄な箇所を見つけ出し、そこを足がかりとして本来のターゲットに到達するのが特徴です。
サプライチェーン攻撃の本質を一言で表すなら、「信頼関係の悪用」です。私たちは日常的に、取引先からのメールを開き、業務ソフトウェアをアップデートし、クラウドサービスにデータを預けています。これらはすべて「相手を信頼している」から行える行動です。攻撃者はこの信頼を逆手に取り、正規の経路を通じて悪意あるコードや侵入経路を紛れ込ませます。
- サプライチェーン攻撃の別名・関連用語
- - **Supply Chain Attack**(英語表記) - **サプライチェーンリスク**(リスク全般を指す場合) - **サプライチェーンの弱点を悪用した攻撃**(IPAによる呼称) - **第三者起点の攻撃**(攻撃経路の観点から) - **Island Hopping Attack**(島から島へ飛び移るように侵入する攻撃)
IPAによる定義
IPA(独立行政法人情報処理推進機構)は、毎年「情報セキュリティ10大脅威」を発表しており、サプライチェーン攻撃を「サプライチェーンの弱点を悪用した攻撃」と呼んでいます。
IPAの定義によると、この攻撃は「商品やサービスを提供するために必要な一連のプロセス(サプライチェーン)の中で、セキュリティ対策が不十分な組織や、ソフトウェアの開発・配布プロセスを悪用して、ターゲットとなる組織に侵入する攻撃」です。
サプライチェーンの弱点を悪用した攻撃は、セキュリティ対策が強固な企業を直接攻撃するのではなく、その企業と取引関係にあるセキュリティ対策が脆弱な企業を足掛かりとして侵入を試みる攻撃です。
— 出典:IPA「情報セキュリティ10大脅威 2025」
この脅威は、2023年から2025年まで3年連続で組織向け脅威の第2位にランクインしており、その深刻さが継続していることがわかります。
| 年度 | 順位(組織向け) | 前年からの変動 |
|---|---|---|
| 2023年 | 2位 | 1ランクアップ(2022年は3位) |
| 2024年 | 2位 | 変動なし |
| 2025年 | 2位 | 変動なし |
経産省・NISCの定義
経済産業省は「サイバーセキュリティ経営ガイドライン」において、サプライチェーンリスクへの対応を重要な経営課題として位置づけています。同ガイドラインでは、「ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」の必要性を強調しています。
NISC(内閣サイバーセキュリティセンター)も「サイバーセキュリティ戦略」において、サプライチェーン攻撃を国家レベルで対処すべき脅威として認識しています。特に、重要インフラや政府機関への影響を考慮し、官民連携での対策を推進しています。
これらの公的機関が共通して強調しているのは、「自組織だけでなく、サプライチェーン全体でのセキュリティ確保が必要」という点です。
サプライチェーン攻撃を簡単に言うと
専門用語を使わずに説明すると、サプライチェーン攻撃は「信頼している相手を経由して侵入される攻撃」です。日常生活に置き換えて考えると、その仕組みがよく理解できます。
たとえ話1:宅配便の中継所
あなたがAさんに大切な荷物を送るとします。宅配便は発送元から配送センター、中継所を経由して届けられます。もし途中の中継所で荷物がすり替えられたらどうでしょうか?
受け取ったAさんは、正規の宅配業者から届いた荷物だと信じて開封してしまいます。しかし中身は、あなたが送ったものではなく、悪意のある何かにすり替えられているのです。
これがソフトウェアサプライチェーン攻撃の仕組みです。
- 荷物 = ソフトウェア
- 中継所 = 開発・配布のプロセス
- すり替え = 悪意あるコードの混入
正規のソフトウェア会社から配布されたアップデートだと信じてインストールしたら、実は途中で悪意あるコードが混入されていた——SolarWinds事件はまさにこのパターンでした。
たとえ話2:信頼する友人経由の詐欺
知らない人から「投資話がある」と持ちかけられても、普通は警戒します。しかし、信頼している友人から「良い投資話がある」と紹介されたらどうでしょうか?
「あの人が言うなら間違いない」と思って話を聞いてしまう人は多いでしょう。詐欺師はこの心理を利用し、まず信頼されている人に近づき、その人を経由してターゲットにアプローチします。
これがビジネスサプライチェーン攻撃の本質です。
- 友人 = 取引先
- 詐欺師 = 攻撃者
- 投資話 = 悪意あるファイルや偽の請求書
取引先のメールアカウントが乗っ取られ、そこから偽の請求書が送られてくる——ビジネスメール詐欺(BEC)はこのパターンの典型例です。
サプライチェーン攻撃の仕組み
サプライチェーン攻撃が成功する背景には、3つの重要な要素があります。これらを理解することで、なぜこの攻撃が効果的で、検知が難しいのかがわかります。
正規の経路を使う理由
攻撃者がサプライチェーンを狙う最大の理由は、正規の経路を使えばセキュリティ対策をすり抜けやすいからです。
企業のネットワークには、外部からの不正なアクセスを防ぐためのファイアウォールや、ウイルスを検知するためのセキュリティソフトが導入されています。しかし、これらの対策は「信頼されている通信」を基本的に許可します。
たとえば、以下のようなケースを考えてみましょう。
- ソフトウェアのアップデート
- 公式のアップデートサーバーからのダウンロードは「安全」と判断され、ほとんどの場合ブロックされません。攻撃者がこのアップデートに悪意あるコードを混入させれば、正規の経路を通じてマルウェアを配布できます。
- 取引先からのメール
- 普段からやり取りしている取引先のドメインからのメールは、スパムフィルターを通過しやすくなっています。攻撃者が取引先を装えば、フィルタリングを回避できる可能性が高まります。
- VPN接続
- 取引先との専用回線やVPN接続は「信頼された接続」として扱われます。取引先のネットワークが侵害されれば、そこを経由して本来のターゲットに侵入できます。
信頼関係の悪用
サプライチェーン攻撃の核心は「信頼関係の悪用」にあります。ビジネスの世界では、取引先との信頼関係がなければ業務は成り立ちません。この当然の信頼が、攻撃者に悪用されるのです。
| 信頼関係の種類 | 具体例 | 攻撃者の悪用方法 |
|---|---|---|
| ソフトウェアベンダーへの信頼 | 公式アップデートは安全という認識 | アップデートへの悪意あるコード混入 |
| 取引先への信頼 | 取引先からの連絡は正当という認識 | 取引先を装った詐欺、侵害した取引先経由の侵入 |
| 委託先への信頼 | 委託先には必要な権限を付与 | 委託先の権限を悪用した不正アクセス |
| OSSコミュニティへの信頼 | 人気のライブラリは安全という認識 | 悪意あるパッケージの公開、正規パッケージへのコード混入 |
検知が難しい理由
サプライチェーン攻撃の検知が難しい理由は、正規のプログラムや通信に紛れ込むからです。
従来のセキュリティ対策は、「既知のマルウェアのパターン」や「不審な通信先」を検知する仕組みが中心でした。しかし、サプライチェーン攻撃では、以下の理由から検知が困難になります。
-
正規のソフトウェアに紛れ込む:悪意あるコードが正規のアップデートに含まれている場合、デジタル署名も正規のものが使われており、セキュリティソフトは「正常」と判断してしまいます。
-
正規の通信経路を使う:取引先との通信や、公式サーバーからのダウンロードは、ファイアウォールやプロキシで許可されていることが多く、ブロックされにくい状態です。
-
潜伏期間が長い:攻撃者は侵入後すぐに活動を開始せず、数週間から数ヶ月間潜伏することがあります。SolarWinds事件では、発見まで約9ヶ月を要しました。
なぜサプライチェーン攻撃は危険なのか
サプライチェーン攻撃が特に危険とされる理由を、5つの観点から解説します。
- 検知が極めて困難
- 前述の通り、正規の経路と信頼関係を悪用するため、従来のセキュリティ対策では見つけにくい特性があります。SolarWinds事件では約9ヶ月、Kaseya事件の準備期間を含めると1年以上発見されませんでした。
- 被害が広範囲に及ぶ
- 1つのソフトウェアベンダーやMSPが侵害されると、そのサービスを利用するすべての組織が影響を受ける可能性があります。SolarWinds事件では18,000社以上、Kaseya事件では1,500社以上が影響を受けました。
- 信頼を裏切られる心理的ダメージ
- 「信頼していた相手から攻撃された」という事実は、組織間の関係性に大きな影響を与えます。取引先との信頼関係の再構築や、顧客への説明など、技術的な復旧以上に難しい課題が生じます。
- 復旧が困難
- どこから侵入されたのか、どこまで被害が及んでいるのかの特定が難しく、復旧に長期間を要します。侵入経路が正規の取引先やソフトウェアである場合、単純にブロックすることもできません。
- 責任の所在が曖昧
- 被害を受けた組織、侵害された取引先、ソフトウェアベンダー——責任の所在が複数にまたがるため、法的な責任追及や補償の問題が複雑になります。
サプライチェーン攻撃と他の攻撃の違い
サプライチェーン攻撃と他の代表的なサイバー攻撃との違いを理解することで、この攻撃の特徴がより明確になります。
| 攻撃の種類 | 攻撃経路 | 主な標的 | 検知難易度 | 被害範囲 |
|---|---|---|---|---|
| サプライチェーン攻撃 | 取引先・ソフトウェア経由 | 最終的なターゲット組織 | 非常に高い | 広範囲(数百〜数万社) |
| 標的型攻撃(APT) | 直接攻撃(メール等) | 特定の組織 | 高い | 限定的(1社〜数社) |
| マルウェア攻撃 | メール添付、Webサイト等 | 不特定多数 | 中程度 | 感染した端末 |
| ランサムウェア攻撃 | 脆弱性、フィッシング等 | 組織全般 | 中程度 | 感染した組織 |
| フィッシング攻撃 | 偽メール、偽サイト | 個人の認証情報 | 低〜中程度 | 騙された個人 |
標的型攻撃(APT)との違い
標的型攻撃(APT)は、特定の組織を狙って長期間にわたり執拗に攻撃を続ける高度な攻撃です。サプライチェーン攻撃との主な違いは、攻撃経路にあります。
- 標的型攻撃:ターゲット組織を直接攻撃する(フィッシングメール、脆弱性の悪用など)
- サプライチェーン攻撃:ターゲット組織を間接的に攻撃する(取引先やソフトウェア経由)
ただし、この2つは排他的なものではありません。高度な攻撃者は、サプライチェーン攻撃を標的型攻撃の一部として組み込むことがあります。SolarWinds事件では、国家レベルのAPT攻撃者がサプライチェーン攻撃を手段として使用しました。
フィッシング攻撃との違い
フィッシング攻撃は、偽のメールやWebサイトで個人をだまし、認証情報や個人情報を盗む攻撃です。サプライチェーン攻撃との違いは、信頼の有無にあります。
- フィッシング攻撃:攻撃者は信頼されていない相手を装って騙す
- サプライチェーン攻撃:攻撃者はすでに信頼されている経路を悪用する
フィッシングは「知らない人を信頼させる」必要がありますが、サプライチェーン攻撃は「すでにある信頼を悪用する」ため、より警戒されにくいという特徴があります。
サプライチェーン攻撃の3つの類型
サプライチェーン攻撃は、攻撃経路によって大きく3つの類型に分類できます。
- ソフトウェアサプライチェーン攻撃
- ソフトウェアの開発・配布プロセスを悪用する攻撃です。正規のアップデートへの悪意あるコード混入、OSSライブラリへの不正コード挿入、ビルド環境への侵入などが含まれます。SolarWinds事件、3CX事件がこの類型の代表例です。
- ビジネスサプライチェーン攻撃
- 取引先や委託先など、ビジネス上のつながりを悪用する攻撃です。取引先のネットワークを経由した侵入、取引先を装った詐欺(BEC)、委託先の権限悪用などが含まれます。トヨタ・小島プレス事件がこの類型の代表例です。
- サービスサプライチェーン攻撃
- MSP(マネージドサービスプロバイダ)やクラウドサービス事業者を悪用する攻撃です。多くの顧客にサービスを提供する事業者を侵害することで、その顧客すべてに影響を与えることができます。Kaseya事件がこの類型の代表例です。
それぞれの類型について詳しく知りたい方は、「サプライチェーン攻撃の種類|攻撃タイプ別」をご覧ください。
関連する攻撃手法
サプライチェーン攻撃は、他の攻撃手法と組み合わせて行われることが多くあります。関連する主要な攻撃手法を理解しておきましょう。
| 攻撃手法 | サプライチェーン攻撃との関連 |
|---|---|
| フィッシング詐欺 | 取引先を装ったフィッシングメールが侵入の入口になる |
| ソーシャルエンジニアリング | 取引先の情報を収集し、なりすましの精度を高める |
| マルウェア感染 | サプライチェーン経由でマルウェアが配布される |
| ランサムウェア | サプライチェーン攻撃でランサムウェアを広範囲に配布 |
| ビジネスメール詐欺(BEC) | 取引先を装った偽の請求書や送金指示 |
| 不正アクセス | 取引先経由で内部ネットワークに不正アクセス |
| 情報漏洩 | サプライチェーン攻撃の結果として機密情報が漏洩 |
よくある質問
- Q: サプライチェーン攻撃は誰が狙われますか?
- A: 最終的なターゲットは大企業や政府機関であることが多いですが、攻撃の「踏み台」として中小企業も狙われます。特に、大企業のサプライチェーンに属する中小企業は、セキュリティ対策が手薄な場合に標的になりやすいです。業種を問わず、取引関係のある組織はすべてリスクがあると考えるべきでしょう。
- Q: 中小企業もサプライチェーン攻撃の対象になりますか?
- A: はい、むしろ中小企業こそ注意が必要です。攻撃者は「最も弱い箇所」を狙うため、セキュリティ対策が十分でない中小企業が入口として利用されます。トヨタ・小島プレス事件では、部品メーカーへの攻撃が大企業の工場停止につながりました。中小企業向けの対策は「中小企業のサプライチェーン攻撃対策」をご覧ください。
- Q: サプライチェーン攻撃を見分ける方法はありますか?
- A: 残念ながら、正規の経路を使う攻撃のため、事前に見分けることは非常に困難です。ただし、「いつもと違う挙動」「不審な通信先」「予期せぬファイルの変更」などの兆候に注意することで、早期発見の可能性を高められます。EDRやSIEMなどの監視ツールの導入も有効です。
- Q: サプライチェーン攻撃を完全に防ぐことはできますか?
- A: 完全な防御は困難です。しかし、リスクを大幅に軽減することは可能です。多層防御の考え方に基づき、予防・検知・対応・復旧の各段階で対策を講じることが重要です。詳しくは「サプライチェーン攻撃対策が難しい理由」をご覧ください。
- Q: 個人でもサプライチェーン攻撃の被害を受けますか?
- A: はい、可能性はあります。個人が利用するソフトウェアやクラウドサービスがサプライチェーン攻撃を受けた場合、個人情報の漏洩やアカウントの乗っ取りにつながることがあります。OSやアプリのアップデート、多要素認証の設定など、基本的なセキュリティ対策を怠らないことが大切です。
まとめ
サプライチェーン攻撃の定義と仕組みについて、重要なポイントを振り返りましょう。
- サプライチェーン攻撃とは、信頼している取引先やソフトウェアを経由して侵入するサイバー攻撃です
- IPAは「サプライチェーンの弱点を悪用した攻撃」と呼び、3年連続で10大脅威の2位にランクインしています
- 攻撃が成功する理由は、正規の経路と信頼関係を悪用し、検知を困難にするためです
- 被害は広範囲に及び、復旧が困難で、責任の所在も曖昧になりがちです
- 標的型攻撃やフィッシングとは異なり、すでに信頼されている経路を悪用するのが特徴です
- ソフトウェア型、ビジネス型、サービス型の3つの類型があります
次は「サプライチェーン攻撃の手口と侵入経路」で、具体的な攻撃パターンを学びましょう。
基礎知識カテゴリ全体については「サプライチェーン攻撃の基礎知識」を、サプライチェーン攻撃の総合ガイドは「サプライチェーン攻撃とは」をご覧ください。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
更新履歴
- 初稿公開
