日本におけるサプライチェーン攻撃の現状
日本国内でもサプライチェーン攻撃による被害が増加しています。IPAの「情報セキュリティ10大脅威 2025」では、「サプライチェーンの弱点を悪用した攻撃」が組織編で2位にランクインしており、3年連続で上位を維持しています。
警察庁の「サイバー空間をめぐる脅威の情勢」によると、ランサムウェア被害のうちサプライチェーン経由での感染が増加傾向にあります。JPCERT/CCへのインシデント報告でも、取引先や委託先を経由した攻撃の報告が増えています。
- 日本企業特有のリスク要因:系列取引・サプライチェーンの長さ
- 日本の製造業は、長い系列取引とサプライチェーンを特徴としています。Tier1からTier2、Tier3と続く多層構造は効率的な生産体制を支える一方で、セキュリティ対策の観点では管理が難しく、弱点となりやすい構造です。
- 日本企業特有のリスク要因:中小企業の多さ
- 日本企業の99%以上は中小企業であり、大企業のサプライチェーンを支えています。しかし、中小企業はセキュリティ投資に割ける予算や人員が限られており、攻撃者にとって侵入しやすいターゲットとなっています。
- 日本企業特有のリスク要因:IT人材不足
- 日本ではIT人材、特にセキュリティ人材の不足が深刻です。専任のセキュリティ担当者を置けない企業も多く、脆弱性対応やインシデント対応が遅れがちになります。
こうした背景から、日本企業はサプライチェーン攻撃に対して構造的に脆弱な面を抱えています。以下では、代表的な国内事例を詳しく分析します。
トヨタ・小島プレス工業の事例(2022年2月)
2022年2月のトヨタ・小島プレス工業事件は、日本におけるサプライチェーン攻撃の象徴的な事例として広く知られています。部品サプライヤーへの攻撃が、日本最大の製造業であるトヨタの全工場を止めるという衝撃的な結果をもたらしました。
事例の概要
2022年2月28日、トヨタ自動車は国内全14工場28ラインの稼働停止を発表しました。原因は、Tier1サプライヤーである小島プレス工業へのランサムウェア攻撃でした。
| 項目 | 内容 |
|---|---|
| 発生日 | 2022年2月26日(土)〜27日(日)に攻撃、28日(月)に稼働停止発表 |
| 被害企業 | 小島プレス工業(直接被害)、トヨタ自動車(波及被害) |
| 攻撃手法 | ランサムウェア |
| 影響範囲 | トヨタ国内全14工場28ライン、約1万3千台の生産 |
| 損失推定 | 数十億円規模(報道推計) |
小島プレス工業は、トヨタグループ向けに内外装樹脂部品を供給するTier1サプライヤーです。従業員約1,600名、売上高約1,400億円の中堅企業であり、大企業と中小企業の中間に位置する規模の企業です。
攻撃の流れ
この事例の攻撃は、以下のような段階で進行したと報告されています。
- 第1段階:子会社のリモート接続機器への侵入
- 攻撃者は、小島プレス工業の子会社が使用していたリモート接続機器の脆弱性を突いて侵入しました。具体的な機器名は公表されていませんが、VPN装置や類似のリモートアクセス機器と推測されています。
- 第2段階:子会社から小島プレス本社への侵入
- 子会社のネットワークを経由して、小島プレス工業本社のネットワークへ侵入しました。子会社と本社のネットワークが適切に分離されていなかった可能性が指摘されています。
- 第3段階:ランサムウェア感染・システム暗号化
- 本社ネットワーク内でマルウェアを展開し、業務システムを暗号化しました。週末に攻撃が実行されたため、発見・対応が遅れました。
- 第4段階:受発注システム停止
- 部品の受発注を管理するシステムが停止し、トヨタとの電子的な部品受発注ができなくなりました。
- 第5段階:トヨタへの報告と工場停止判断
- 小島プレスからトヨタへ状況が報告され、部品供給が見通せないことから、トヨタは全工場の稼働停止を判断しました。
被害の詳細
この事例による被害は、小島プレス工業だけでなく、サプライチェーン全体に波及しました。
- トヨタ自動車への影響
- 国内全14工場28ラインが1日停止し、約1万3千台の生産に影響が出ました。日産やスズキなど他メーカーへの部品供給にも一部影響があったとされています。1日の生産停止による損失は数十億円規模と推計されています。
- 小島プレス工業への影響
- システム復旧には約1ヶ月を要しました。調査・復旧費用、対策費用などの直接コストに加え、信用への影響も発生しました。ただし、トヨタとの取引関係は継続しています。
- サプライチェーン全体への影響
- この事例は、サプライチェーン攻撃のリスクを日本の産業界全体に認識させる契機となりました。自動車業界では、自工会・部工会によるサイバーセキュリティガイドラインの策定が加速しました。
教訓と対策のポイント
トヨタ・小島プレス事件から得られる教訓を整理します。
- 教訓1:Tier2以降の管理も重要
- この事例では、小島プレスの子会社が最初の侵入口となりました。Tier1だけでなく、Tier2、Tier3まで含めたサプライチェーン全体のセキュリティ管理が必要です。
- 教訓2:VPN/リモートアクセスの脆弱性管理
- リモート接続機器の脆弱性が悪用されました。VPN機器へのパッチ適用、多要素認証の導入、不要な機能の無効化などの基本対策が重要です。
- 教訓3:ネットワーク分離の徹底
- 子会社から本社への侵入を許したのは、ネットワーク分離が不十分だった可能性があります。グループ会社間のネットワーク接続には適切なセグメンテーションが必要です。
- 教訓4:週末・休日の監視体制
- 攻撃が週末に実行され、発見が遅れました。24時間365日の監視体制、あるいは休日でも異常を検知できる仕組みが求められます。
- 教訓5:BCP(事業継続計画)の見直し
- サプライヤーのシステム停止を想定したBCPが整備されていたかが問われました。代替調達先の確保、在庫の確保、復旧優先順位の明確化などが重要です。
自動車産業特有の対策については、自動車産業のサプライチェーン攻撃対策で詳しく解説しています。
医療機関(病院)への攻撃事例
医療機関は、24時間稼働が求められ、システム停止が人命に関わる可能性があるため、サプライチェーン攻撃の標的として狙われやすい傾向があります。日本国内でも複数の病院で被害が発生しています。
半田病院の事例(2021年10月)
徳島県つるぎ町立半田病院は、2021年10月にランサムウェア攻撃を受け、電子カルテシステムが約2ヶ月間使用できなくなりました。
| 項目 | 内容 |
|---|---|
| 発生日 | 2021年10月31日 |
| 被害企業 | 徳島県つるぎ町立半田病院 |
| 攻撃手法 | ランサムウェア「LockBit 2.0」 |
| 侵入経路 | VPN装置の脆弱性 |
| 影響 | 電子カルテ停止、約2ヶ月の診療制限 |
| 復旧費用 | 約2億円 |
攻撃者は、病院が使用していたVPN装置(Fortinet社製FortiGate)の既知の脆弱性(CVE-2018-13379)を悪用して侵入しました。この脆弱性は2019年に公表されパッチが提供されていましたが、適用されていませんでした。
病院は約8万5千人分の患者情報を含む電子カルテシステムを失い、紙カルテでの診療を余儀なくされました。新規患者の受け入れ制限、救急患者の転送など、診療に大きな支障が生じました。
有識者会議による調査報告書では、VPN機器の脆弱性対応の遅れ、バックアップ体制の不備、委託業者との責任分界の曖昧さなどが指摘されました。
大阪急性期・総合医療センターの事例(2022年10月)
大阪急性期・総合医療センターは、2022年10月に給食委託業者のVPN経由でマルウェアが侵入し、電子カルテシステムが停止しました。
| 項目 | 内容 |
|---|---|
| 発生日 | 2022年10月31日 |
| 被害企業 | 大阪急性期・総合医療センター |
| 攻撃手法 | ランサムウェア |
| 侵入経路 | 給食委託業者のVPN経由 |
| 影響 | 電子カルテ停止、約2ヶ月で通常診療再開 |
| 復旧費用 | 調査・復旧に数億円 |
この事例は、サプライチェーン攻撃の典型的なパターンを示しています。攻撃者は病院を直接狙うのではなく、セキュリティ対策が比較的手薄な給食委託業者を最初のターゲットにしました。委託業者と病院がVPNで接続されていたため、委託業者のネットワーク経由で病院内部に侵入することができました。
病院は電子カルテが使用できなくなり、紙カルテでの診療に切り替えました。予約診療の延期、救急患者の受け入れ制限など、診療に大きな影響が出ました。
医療機関事例の共通点と教訓
医療機関へのサプライチェーン攻撃事例には、以下のような共通点があります。
- 共通点1:VPN経由での侵入
- いずれの事例もVPN装置の脆弱性や、VPN接続された委託先経由での侵入でした。VPN機器の脆弱性管理と、接続先のセキュリティ確認が重要です。
- 共通点2:委託先管理の不備
- 給食業者、システム保守業者など、医療とは直接関係ない委託先が侵入口となっています。委託先のセキュリティ評価と、接続方法の見直しが必要です。
- 共通点3:バックアップ体制の課題
- バックアップからの復旧に時間を要した事例もあります。オフラインバックアップの確保と、復旧手順の整備が求められます。
- 共通点4:人命に関わる影響
- 医療機関のシステム停止は、診療制限や救急患者の転送につながり、人命に関わる可能性があります。他の業種以上に、事業継続計画の整備が重要です。
医療機関特有のリスクと対策については、医療機関のサプライチェーン攻撃対策で詳しく解説しています。
名古屋港コンテナターミナルの事例(2023年7月)
2023年7月の名古屋港コンテナターミナル事件は、重要インフラへのサプライチェーン攻撃として大きな注目を集めました。
事例の概要
2023年7月4日、名古屋港統一ターミナルシステム(NUTS)がランサムウェア「LockBit 3.0」に感染し、約3日間にわたりコンテナの搬出入が停止しました。
| 項目 | 内容 |
|---|---|
| 発生日 | 2023年7月4日(火) |
| 被害システム | 名古屋港統一ターミナルシステム(NUTS) |
| 攻撃手法 | ランサムウェア「LockBit 3.0」 |
| 侵入経路 | VPN装置の脆弱性(推定) |
| 影響 | 約3日間のコンテナ搬出入停止 |
| 社会的影響 | 日本の輸出入の約10%に影響 |
名古屋港は、自動車部品を中心に日本の輸出入の約10%を扱う国内最大級の港湾です。トヨタ自動車をはじめとする製造業のサプライチェーンにとって重要なインフラであり、その停止は日本経済に大きな影響を与える可能性がありました。
攻撃の経緯と被害
攻撃は7月4日早朝に発生し、NUTSのシステムが暗号化されました。侵入経路はVPN装置の脆弱性と推定されていますが、詳細は公表されていません。
- システムへの影響
- コンテナの搬入・搬出を管理するNUTSが停止し、コンテナの位置情報や搬出入の記録ができなくなりました。バックアップシステムにも影響があり、即座の復旧ができませんでした。
- 物流への影響
- 約3日間、コンテナの搬出入が停止しました。コンテナ船の入港待ちが発生し、陸上輸送にも遅延が生じました。トヨタなど自動車メーカーの部品調達にも影響がありました。
- 復旧対応
- 名古屋港運協会は身代金を支払わず、バックアップからの復旧を選択しました。7月6日にシステムを復旧させ、7月7日から通常運用を再開しました。
教訓
名古屋港事件から得られる教訓を整理します。
- 重要インフラへの攻撃リスク
- 港湾、電力、水道などの重要インフラは、社会的影響が大きいため攻撃者にとって魅力的なターゲットです。身代金を支払わせるプレッシャーをかけやすいと考えられています。
- 経済安全保障の観点
- この事例は、サイバー攻撃が経済安全保障に直結することを示しました。国土交通省は港湾のサイバーセキュリティ強化に向けた検討を加速させています。
- バックアップと復旧計画の重要性
- 身代金を支払わずにバックアップから復旧できたことは、事前の備えの重要性を示しています。ただし、復旧に約3日を要したことは、さらなる改善の余地を示唆しています。
物流・港湾のセキュリティ対策については、物流・港湾のサプライチェーン攻撃対策で詳しく解説しています。
その他の国内事例
上記の代表的な事例以外にも、日本国内ではサプライチェーン攻撃による被害が報告されています。
- KADOKAWA/ニコニコ動画(2024年)
- 大手出版・エンターテインメント企業KADOKAWAがサイバー攻撃を受け、動画配信サービス「ニコニコ動画」が長期間にわたり停止しました。ランサムウェア攻撃により、情報漏洩も発生しました。出版事業や通販事業にも影響が及び、グループ全体の事業に支障が生じました。
- 製造業の事例
- 自動車部品、電子部品など製造業での被害報告が増えています。多くの場合、VPN経由での侵入や、取引先を経由した攻撃パターンが見られます。生産停止や取引先への影響を懸念し、公表されていない事例も多いと推測されています。
- 建設業の事例
- 建設業界でも、設計データの暗号化や工事管理システムの停止といった被害が報告されています。下請け業者経由での攻撃や、リモートアクセス環境の脆弱性が悪用されるケースがあります。
国内事例に共通する特徴
日本国内のサプライチェーン攻撃事例を分析すると、以下のような共通する特徴が浮かび上がります。
- 中小企業が踏み台になるパターン
- 多くの事例で、セキュリティ対策が比較的手薄な中小企業や委託先が最初の侵入口となっています。大企業を直接攻撃するよりも、その取引先を狙う方が成功確率が高いと攻撃者は判断しています。中小企業向け対策をご覧ください。
- VPN経由の侵入が多い
- VPN装置の既知の脆弱性が放置されているケースが目立ちます。Fortinet、Pulse Secureなどの製品で発見された脆弱性が、パッチ適用前に悪用される事例が続いています。
- ランサムウェアとの組み合わせ
- サプライチェーン経由で侵入した後、ランサムウェアを展開してシステムを暗号化し、身代金を要求するパターンが一般的です。ランサムウェア対策も併せて重要です。
- 系列取引・長いサプライチェーン
- 日本特有の系列取引や多層的なサプライチェーン構造が、リスクを増大させています。Tier1だけでなく、Tier2、Tier3までの管理が必要ですが、実際には把握しきれていない企業も多いのが現状です。
- 週末・休日の攻撃
- 多くの事例で、週末や休日に攻撃が実行されています。監視体制が手薄になるタイミングを狙っており、発見・対応が遅れる原因となっています。
国内事例から学ぶ教訓
日本企業特有の課題と対策のポイントを、事例から得られる教訓として整理します。
- 教訓1:Tier2以降のサプライヤー管理
- 直接取引のあるTier1だけでなく、Tier2以降のサプライヤーのセキュリティ状況も把握する必要があります。自動車業界では自工会・部工会ガイドラインに基づく取り組みが進んでいます。取引先管理の詳細をご覧ください。
- 教訓2:VPN/リモートアクセスの脆弱性管理
- VPN機器の脆弱性情報を常に把握し、パッチを迅速に適用する体制が必要です。また、VPNだけに頼らないゼロトラストアーキテクチャへの移行も検討すべきです。ネットワーク対策で詳しく解説しています。
- 教訓3:中小企業のセキュリティ支援
- サプライチェーン全体のセキュリティを高めるには、中小企業への支援が不可欠です。大企業による教育・研修の提供、セキュリティツールの共同調達、補助金の活用などが考えられます。取引先支援をご覧ください。
- 教訓4:業界全体での情報共有
- 自動車業界の自工会・部工会、金融業界の金融ISACなど、業界内での情報共有の枠組みを活用することが有効です。攻撃の手口や対策のベストプラクティスを共有することで、業界全体のセキュリティレベルを向上させることができます。
- 教訓5:経営層の関与
- サプライチェーン攻撃対策には、経営層の理解と予算配分が不可欠です。トヨタ・小島プレス事件のような事例を経営層への説明材料として活用してください。経営者向けガイドが参考になります。
- 教訓6:インシデント対応計画の整備
- 事故が起きてから対応を考えるのでは遅すぎます。サプライヤーのシステム停止を想定したインシデント対応計画を事前に策定し、定期的に訓練を行うことが重要です。インシデント対応計画をご覧ください。
- 教訓7:バックアップと事業継続計画
- ランサムウェア攻撃に備えて、オフラインバックアップの確保と復旧手順の整備が不可欠です。また、サプライヤーのシステム停止を想定したBCP(事業継続計画)の見直しも必要です。事業継続計画(BCP)で詳しく解説しています。
関連する攻撃手法
国内のサプライチェーン攻撃事例には、以下のような攻撃手法が使われています。
| 攻撃手法 | 国内事例での使われ方 | 関連ページ |
|---|---|---|
| ランサムウェア | システム暗号化、身代金要求(ほぼ全ての事例) | ランサムウェア |
| VPN脆弱性悪用 | 病院事例、名古屋港事例での侵入経路 | 不正アクセス |
| マルウェア | システムへの不正なプログラム設置 | マルウェア感染 |
| フィッシング詐欺 | 認証情報の窃取、初期侵入の手段 | フィッシング詐欺 |
| ビジネスメール詐欺(BEC) | 取引先になりすました詐欺メール | ビジネスメール詐欺 |
| 標的型攻撃(APT) | 特定企業を狙った持続的な攻撃 | 標的型攻撃 |
| 情報漏洩 | 窃取したデータの公開・売買による二重脅迫 | 情報漏洩 |
これらの攻撃手法は単独で使われることは少なく、複数の手法が組み合わせて使われることで被害が拡大します。
よくある質問
- Q: トヨタ自体のセキュリティが弱かったのですか?
- A: いいえ、トヨタ自体のセキュリティが破られたわけではありません。サプライヤーである小島プレス工業(およびその子会社)が攻撃を受け、部品の受発注ができなくなったことで、トヨタの工場が停止しました。これがサプライチェーン攻撃の特徴であり、自社のセキュリティだけでなく、取引先のセキュリティも重要であることを示しています。
- Q: 日本の病院はなぜ狙われるのですか?
- A: 病院は24時間稼働が求められ、システム停止が人命に関わる可能性があるため、身代金を支払うプレッシャーが高いと攻撃者は考えています。また、医療機関はIT投資やセキュリティ人材の確保が他業種に比べて遅れている傾向があり、脆弱性が残りやすいことも一因です。委託業者との接続も多く、侵入経路が多いという特徴もあります。
- Q: 中小企業として何から始めればよいですか?
- A: まず、VPN機器を含むネットワーク機器の脆弱性対応を最優先で行ってください。次に、バックアップの確保と復旧手順の整備を進めましょう。IPAの「中小企業の情報セキュリティ対策ガイドライン」や、各種補助金の活用も検討してください。詳しくは中小企業向け対策をご覧ください。
- Q: 身代金は支払われたのですか?
- A: 公表されている事例では、半田病院、名古屋港など、身代金を支払わずにバックアップから復旧した事例が多いです。ただし、身代金の支払いについては公表されないケースも多く、実態は把握しきれていません。なお、身代金を支払っても必ずしもデータが復旧する保証はなく、また攻撃者に資金を提供することになるため、支払いは推奨されていません。
- Q: 自社も同様の攻撃を受ける可能性はありますか?
- A: はい、どの企業もサプライチェーン攻撃の標的になる可能性があります。特に、大企業のサプライチェーンに属する中小企業は、大企業を狙うための踏み台として狙われやすい傾向があります。「うちは狙われない」という認識は改め、事例を参考に自社のリスクを点検することをお勧めします。
まとめ
日本国内のサプライチェーン攻撃事例から得られる主要なポイントを整理します。
- トヨタ・小島プレス事件は、サプライヤー経由の攻撃が大企業の操業を止める象徴的な事例
- 医療機関への攻撃では、委託業者のVPN経由での侵入が多く、人命に関わる影響が発生
- 名古屋港事件は、重要インフラへの攻撃が社会全体に影響を与えることを示した
- 多くの事例でVPN機器の脆弱性が悪用されており、パッチ適用の徹底が重要
- 中小企業が踏み台になるパターンが多く、サプライチェーン全体でのセキュリティ向上が必要
- 週末・休日の攻撃が多いため、24時間の監視体制や異常検知の仕組みが求められる
- バックアップと事業継続計画の整備が、復旧の成否を分ける
次のステップとして、以下のページをご覧ください。
事例・動向カテゴリのトップページはこちらです。
サプライチェーン攻撃の全体像については、サプライチェーン攻撃とは|総合ガイドで詳しく解説しています。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る ← 現在のカテゴリ
- 自社の対策を始める
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
更新履歴
- 初稿公開
