サプライチェーン攻撃の代表的な手口
サプライチェーン攻撃には、複数の手口が存在します。攻撃者は状況に応じて最も効率的な方法を選択し、時には複数の手口を組み合わせて攻撃を行います。
主要な攻撃パターンを理解しておくことで、自社のサプライチェーンのどこにリスクがあるのかを把握しやすくなります。
| 手口の分類 | 概要 | 代表的な事例 |
|---|---|---|
| ソフトウェアアップデートの改ざん | 正規のアップデートに悪意あるコードを混入 | SolarWinds事件、3CX事件 |
| OSSへの悪意あるコード混入 | オープンソースのリポジトリに不正コードを紛れ込ませる | event-stream事件、ua-parser-js事件 |
| ビルド環境への侵入 | CI/CDパイプラインを侵害してコードを改ざん | Codecov事件 |
| 取引先ネットワーク経由 | セキュリティが手薄な取引先を経由して侵入 | トヨタ・小島プレス事件 |
| クラウド・MSP経由 | サービス提供者を侵害して顧客すべてに被害を拡大 | Kaseya事件 |
| 委託先データ漏洩 | 業務委託先から預けたデータが漏洩 | 多数の情報漏洩事件 |
以下のセクションでは、これらの手口を「ソフトウェア経由」「取引先経由」「クラウド・SaaS経由」の3つの侵入経路に分類して詳しく解説します。
ソフトウェア経由の侵入経路
ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発・配布プロセスを悪用する手口です。多くの組織が利用するソフトウェアを標的にすることで、一度の攻撃で広範囲に被害を与えることができます。
アップデートの改ざん
正規のソフトウェアアップデートに悪意あるコードを混入させる手口は、サプライチェーン攻撃の中でも最も影響が大きいものの一つです。
攻撃者は、ソフトウェアベンダーの開発環境やアップデートサーバーに侵入し、配布されるアップデートファイルに悪意あるコードを埋め込みます。このアップデートは正規のデジタル署名が施されているため、セキュリティソフトやユーザーは「安全なアップデート」と判断してしまいます。
- SolarWinds事件(2020年)の手口
- 攻撃者はSolarWinds社の開発環境に侵入し、ネットワーク管理ソフト「Orion」のビルドプロセスに悪意あるコードを挿入しました。正規のアップデートとして配布されたマルウェア「SUNBURST」は、18,000社以上の組織にインストールされ、米国政府機関を含む約100の組織が実際に侵害されました。詳細は「海外事例」をご覧ください。
この手口が危険な理由は、ユーザーが自ら進んでマルウェアをインストールしてしまう点にあります。「公式のアップデートだから安全」という信頼を完全に悪用しているのです。
OSSへの悪意あるコード混入
オープンソースソフトウェア(OSS)は、現代のソフトウェア開発に欠かせない存在です。しかし、その開放性ゆえに、攻撃者に悪用されるリスクも存在します。
- タイポスクワッティング
- 人気のあるパッケージと似た名前(スペルミスを誘う名前)のパッケージを公開し、開発者が誤ってインストールすることを狙う手口です。たとえば「lodash」というパッケージに対して「1odash」(数字の1)や「lodahs」などの名前で悪意あるパッケージを公開します。詳しくは「パッケージのタイポスクワッティング」をご覧ください。
- 依存関係混乱(Dependency Confusion)
- 企業が内部で使用しているプライベートパッケージと同じ名前のパッケージを、公開リポジトリに高いバージョン番号で公開する手口です。パッケージマネージャーが公開リポジトリを優先する設定になっていると、悪意あるパッケージがインストールされてしまいます。詳しくは「依存関係混乱」をご覧ください。
- 正規パッケージへのコード挿入
- すでに多くの開発者に使われている正規のOSSパッケージに、悪意あるコードを挿入する手口です。メンテナのアカウントを乗っ取ったり、メンテナ権限を譲り受けたりして実行されます。2018年のevent-stream事件では、週間200万ダウンロードのパッケージが悪用されました。
ビルド環境への侵入
ソフトウェアの開発プロセスには、ソースコードをビルド(コンパイル)して配布可能な形式に変換するCI/CD(継続的インテグレーション/継続的デリバリー)パイプラインが使われています。このパイプラインを侵害することで、ソースコードには存在しない悪意あるコードを、最終成果物にのみ混入させることが可能です。
- CI/CDパイプラインへの侵入
- ビルドサーバーやCI/CDツール(Jenkins、GitHub Actions、CircleCIなど)の脆弱性や設定ミスを悪用して侵入します。ビルドスクリプトを改ざんすることで、正規のソースコードから悪意あるバイナリを生成できます。
- 署名キーの窃取
- コード署名に使用する秘密鍵を窃取することで、攻撃者が作成した悪意あるソフトウェアに正規の署名を施すことができます。署名されたソフトウェアはセキュリティソフトに信頼されやすく、検知が困難になります。
CI/CDセキュリティの詳細は「サプライチェーン攻撃対策のCI/CD」をご覧ください。
取引先経由の侵入経路
ビジネスサプライチェーン攻撃は、取引先や委託先などのビジネス上のつながりを悪用する手口です。セキュリティ対策が強固な大企業を直接攻撃するのではなく、対策が手薄な取引先を経由して侵入します。
VPN・リモートアクセス経由
多くの企業は、取引先との業務連携のためにVPN接続やリモートアクセス環境を構築しています。これらの接続は業務上不可欠ですが、適切に管理されていないとセキュリティホールになりかねません。
- トヨタ・小島プレス事件(2022年)の手口
- 攻撃者は、トヨタの部品サプライヤーである小島プレス工業の子会社が使用していたリモート接続機器の脆弱性を悪用して侵入しました。そこから小島プレス工業のネットワークに入り込み、ランサムウェアを展開。結果として、トヨタ自動車の国内全14工場が1日停止する事態となりました。詳細は「国内事例」をご覧ください。
取引先との接続で注意すべきポイントは以下の通りです。
- VPN機器やリモートアクセス機器のファームウェアを最新に保つ
- 接続に使用するアカウントには多要素認証を必須とする
- 接続元のIPアドレスや時間帯を制限する
- 取引先に付与するアクセス権限は必要最小限に抑える
委託先システム経由
IT運用やシステム開発を外部に委託している場合、委託先は業務遂行のために一定の特権アクセスを持っていることが多くあります。この特権が悪用されると、重大な被害につながります。
- 委託先が持つ特権アクセスの例
- - システム管理者権限でのサーバーアクセス - データベースへの直接アクセス - クラウド環境の管理コンソールへのアクセス - 本番環境へのデプロイ権限
委託先のセキュリティ対策が不十分な場合、攻撃者は委託先を侵害し、そこから本来のターゲット企業のシステムに侵入することができます。
取引先のなりすまし
取引先を装って詐欺を行う手口も、広義のサプライチェーン攻撃に含まれます。特にビジネスメール詐欺(BEC)は、取引先への信頼を悪用した代表的な攻撃です。
- 偽の請求書
- 取引先を装って「振込先口座が変わりました」という連絡とともに偽の請求書を送付し、攻撃者の口座に送金させる手口です。
- 取引先メールアカウントの乗っ取り
- 実際の取引先のメールアカウントを乗っ取り、そこから偽の連絡を送る手口です。正規のメールアドレスから送信されるため、見破ることが非常に困難です。
- 経営者へのなりすまし
- 取引先の経営者になりすまして、緊急の送金や情報提供を要求する手口です。「社長からの直接指示」という心理的圧力を利用します。
クラウド・SaaS経由の侵入経路
サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダ)やクラウドサービス事業者を標的にする手口です。多くの顧客にサービスを提供する事業者を1社侵害するだけで、その顧客すべてに被害を広げることができます。
MSP(マネージドサービスプロバイダ)侵害
MSPは、複数の企業のIT環境を代行して管理するサービスを提供しています。効率的な管理のために、MSPは顧客のシステムに対して広範なアクセス権限を持っていることが一般的です。
- Kaseya事件(2021年)の手口
- 攻撃者はKaseya社のリモート監視・管理ソフト「VSA」のゼロデイ脆弱性を悪用しました。VSAを利用しているMSP約60社が侵害され、そのMSPが管理する顧客企業1,500社以上にランサムウェア「REvil」が配布されました。攻撃者が要求した身代金の総額は7,000万ドル(約100億円)に達しました。詳細は「海外事例」をご覧ください。
MSP経由の攻撃が危険な理由は、1回の侵入で数百〜数千社に影響を与えられる点にあります。攻撃者にとって非常に「効率の良い」攻撃方法です。
SaaS設定不備の悪用
クラウドサービスやSaaSの設定ミスを悪用する攻撃も増加しています。多くの企業がクラウドサービスを利用していますが、適切なセキュリティ設定が行われていないケースが少なくありません。
- APIキーの漏洩
- クラウドサービスへのアクセスに使用するAPIキーが、GitHubなどの公開リポジトリに誤ってコミットされるケースがあります。攻撃者はこれらの漏洩したキーを自動的にスキャンし、発見次第悪用します。
- 過剰な権限付与
- 「とりあえず管理者権限を付与」という運用は、攻撃者にとって好都合です。一つのアカウントが侵害されると、広範囲のデータやシステムにアクセスされてしまいます。
- 公開設定のミス
- クラウドストレージ(S3バケットなど)の公開設定ミスにより、機密データがインターネット上に公開されてしまうケースが後を絶ちません。
クラウドの設定不備については「クラウド設定不備」をご覧ください。
攻撃の流れ(タイムライン)
サプライチェーン攻撃は、通常複数の段階を経て実行されます。典型的な攻撃の流れを理解することで、どの段階で検知・阻止できるかを考える手がかりになります。
- 第1段階:初期侵入(サプライヤーへの侵入)
- 攻撃者は、ターゲット組織のサプライチェーンの中で、セキュリティが手薄な箇所を特定します。ソフトウェアベンダー、取引先、MSPなど、最も侵入しやすい組織に対して、フィッシング、脆弱性の悪用、ソーシャルエンジニアリングなどの手法で侵入します。この段階は数週間から数ヶ月かけて行われることもあります。
- 第2段階:悪意の埋め込み
- 侵入に成功したら、攻撃者は正規の製品やサービスに悪意あるコードを埋め込みます。ソフトウェアの場合はビルドプロセスへの介入、取引先経由の場合はネットワーク内での足場確保が行われます。この段階では目立つ活動を避け、発見されないよう慎重に行動します。
- 第3段階:正規チャネルでの配布
- 悪意あるコードが埋め込まれた製品やサービスが、正規の配布チャネルを通じてターゲット組織に届けられます。ソフトウェアアップデート、取引先からの通信、クラウドサービス経由など、信頼されている経路を使うため、セキュリティ対策をすり抜けやすくなります。
- 第4段階:ターゲット組織への侵入
- ターゲット組織が悪意ある製品やサービスを利用することで、攻撃者はターゲット組織のネットワーク内に足場を確保します。この時点ではまだ目立つ活動は行わず、検知を避けながら内部環境の調査を行います。
- 第5段階:横展開と権限昇格
- 攻撃者はネットワーク内で横方向に移動(ラテラルムーブメント)し、より高い権限を持つアカウントやシステムへのアクセスを獲得します。Active Directoryの管理者権限やクラウドの管理コンソールへのアクセスが狙われます。
- 第6段階:目的達成
- 攻撃者の目的に応じて、データの窃取、ランサムウェアの展開、システムの破壊などが実行されます。この段階になって初めて被害が表面化することが多く、発見時にはすでに大きな被害が発生しています。
侵入経路別の検知難易度
各侵入経路によって、検知の難しさは異なります。自社のサプライチェーンのどこにリスクがあるかを評価する際の参考にしてください。
| 侵入経路 | 検知難易度 | 主な検知方法 | 対策の優先度 |
|---|---|---|---|
| ソフトウェアアップデート改ざん | 非常に高い | 振る舞い検知、ネットワーク監視、SBOM管理 | 最高 |
| OSS悪意あるコード混入 | 高い | 依存関係スキャン、コードレビュー、SBOM | 高 |
| ビルド環境侵入 | 高い | ビルドログ監視、整合性チェック、SLSA | 高 |
| 取引先VPN経由 | 中程度 | 接続元監視、異常検知、ログ分析 | 高 |
| 取引先なりすまし(BEC) | 中程度 | メール認証、送金確認プロセス | 中 |
| MSP・クラウド経由 | 高い | 異常行動検知、ログ監視、権限管理 | 高 |
| SaaS設定不備 | 低〜中程度 | 設定監査、CSPM、アクセスログ監視 | 中 |
検知難易度が「高い」または「非常に高い」侵入経路については、予防に重点を置いた対策が特に重要です。一方、検知が比較的容易な経路については、監視・検知体制の強化が有効です。
関連する攻撃手法
サプライチェーン攻撃は、しばしば他の攻撃手法と組み合わせて実行されます。関連する攻撃手法を理解することで、包括的な対策を検討できます。
- フィッシング詐欺
- サプライヤーへの初期侵入や、取引先を装ったなりすましに使用されます。サプライチェーン攻撃の入口として最も多い手法の一つです。
- ソーシャルエンジニアリング
- サプライヤーの従業員を騙して認証情報を窃取したり、内部情報を収集したりする際に使用されます。
- マルウェア感染
- サプライチェーン経由で配布されるペイロードとして、さまざまな種類のマルウェアが使用されます。
- ランサムウェア
- Kaseya事件のように、サプライチェーン攻撃でランサムウェアを大規模に配布するケースが増加しています。
- 不正アクセス
- サプライヤーへの侵入や、取引先経由でのターゲット組織への侵入は不正アクセスの一形態です。
- ビジネスメール詐欺(BEC)
- 取引先を装った詐欺は、ビジネスサプライチェーン攻撃の代表的な手口です。
- 標的型攻撃(APT)
- 国家レベルの攻撃者がサプライチェーン攻撃をAPTの一手段として使用することがあります。
よくある質問
- Q: 攻撃者はどうやって取引先を特定するのですか?
- A: 攻撃者は公開情報を活用して取引関係を調査します。企業のウェブサイト(取引先一覧、導入事例)、プレスリリース、求人情報、SNS、LinkedInなどから情報を収集します。また、ターゲット企業の従業員に対するソーシャルエンジニアリングで、取引先や使用しているソフトウェアの情報を聞き出すこともあります。
- Q: 一番多い侵入経路は何ですか?
- A: 統計によって異なりますが、近年特に増加しているのは「ソフトウェアサプライチェーン経由」と「MSP・クラウドサービス経由」です。また、日本国内では「取引先のVPN・リモートアクセス経由」の被害報告が多くなっています。いずれの経路も、一度の侵入で広範囲に被害が及ぶ可能性がある点が共通しています。
- Q: 侵入経路を完全に塞ぐことは可能ですか?
- A: 残念ながら、すべての侵入経路を完全に塞ぐことは困難です。ビジネスを行う以上、取引先との接続やソフトウェアの利用は不可欠だからです。重要なのは、リスクの高い経路を特定して重点的に対策し、侵入された場合に早期検知・迅速対応できる体制を整えることです。「侵入前提」のセキュリティ対策が求められています。
まとめ
サプライチェーン攻撃の手口と侵入経路について、重要なポイントを振り返りましょう。
- 侵入経路は大きくソフトウェア経由、取引先経由、クラウド・SaaS経由の3つに分類されます
- ソフトウェアアップデートの改ざんは検知が最も困難で、被害も広範囲に及びます
- 取引先のVPN・リモートアクセスは国内で多くの被害事例があります
- MSP・クラウドサービスの侵害は、1社への攻撃で数百〜数千社に被害が拡大します
- 攻撃は初期侵入→悪意の埋め込み→配布→侵入→横展開→目的達成の段階を経て進行します
- 侵入経路によって検知難易度が異なるため、経路ごとに適切な対策が必要です
攻撃タイプ別のより詳しい解説は「サプライチェーン攻撃の種類」を、定義と仕組みの復習は「サプライチェーン攻撃の定義と仕組み」をご覧ください。
基礎知識カテゴリ全体については「サプライチェーン攻撃の基礎知識」を、サプライチェーン攻撃の総合ガイドは「サプライチェーン攻撃とは」をご覧ください。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
更新履歴
- 初稿公開
