サプライチェーン攻撃の事例を学ぶ意義
サプライチェーン攻撃の事例を学ぶことには、複数の重要な意義があります。「失敗学」や「インシデントレポート」という考え方があるように、他者の経験から学ぶことは、自社のリスク管理において非常に効果的なアプローチです。
事例を知ることで得られる主なメリットは以下の通りです。
- 攻撃パターンの理解
- 実際の事例を分析することで、攻撃者がどのような手口で侵入し、どのように被害を拡大させるのかを具体的に理解できます。抽象的な脅威情報ではなく、現実に起きた攻撃の流れを知ることで、より実践的な防御策を検討できます。
- 自社の弱点の発見
- 被害企業がどこに脆弱性を抱えていたのかを分析することで、自社にも同様のリスクがないかを点検するきっかけになります。「他人事」ではなく「自分事」として捉えることが、セキュリティ対策の第一歩です。
- 対策の優先順位付け
- 限られた予算と人員の中で、どの対策から着手すべきかを判断する際に、実際に被害が発生している攻撃経路を優先することは合理的です。事例に基づいたリスクベースのアプローチが可能になります。
- 経営層への説明材料
- 「トヨタでさえ1日操業停止に追い込まれた」「病院で電子カルテが2ヶ月使えなくなった」といった具体的な事実は、サイバー攻撃のリスクを経営課題として認識してもらうための有効な材料となります。
事例から学ぶ際に重要なのは、被害企業を批判することではなく、そこから得られる教訓を自社の対策に活かすという姿勢です。どの企業もサプライチェーン攻撃の標的になり得るという認識のもと、謙虚に学ぶ姿勢が求められます。
代表的なサプライチェーン攻撃事例
国内外で発生した主要なサプライチェーン攻撃事例を一覧で整理します。これらの事例を俯瞰することで、攻撃の傾向と対策の方向性が見えてきます。
| 事例名 | 発生年 | 攻撃タイプ | 主な被害 | 影響規模 |
|---|---|---|---|---|
| SolarWinds | 2020年 | ソフトウェア型 | バックドア設置 | 1万8千組織以上 |
| Kaseya VSA | 2021年 | サービス型 | ランサムウェア感染 | 1,500社以上 |
| トヨタ・小島プレス | 2022年 | ビジネス型 | 工場停止 | 全14工場・1万3千台 |
| 3CX | 2023年 | ソフトウェア型 | マルウェア配布 | 60万顧客企業 |
| 名古屋港 | 2023年 | ビジネス型 | システム停止 | 約3日間の物流停止 |
| NotPetya | 2017年 | ソフトウェア型 | データ破壊 | 被害総額100億ドル以上 |
| 半田病院 | 2021年 | ビジネス型 | 電子カルテ停止 | 約2ヶ月の診療制限 |
| 大阪急性期医療センター | 2022年 | ビジネス型 | 電子カルテ停止 | 約2ヶ月で復旧 |
| Codecov | 2021年 | ソフトウェア型 | 認証情報窃取 | 複数企業 |
| ua-parser-js | 2021年 | ソフトウェア型 | マルウェア混入 | 週間700万DL |
これらの事例は、攻撃タイプによって大きく3つに分類できます。ソフトウェアのアップデートや配布経路を狙う「ソフトウェア型」、取引先や委託先を経由する「ビジネス型」、MSPやクラウドサービスを狙う「サービス型」です。
国内の代表的な事例
日本国内で発生したサプライチェーン攻撃の主要事例を紹介します。
- トヨタ・小島プレス工業(2022年2月)
- 部品サプライヤーである小島プレス工業へのランサムウェア攻撃により、トヨタ自動車の国内全14工場が1日停止しました。約1万3千台の生産に影響が出た象徴的な事例です。攻撃は小島プレスの子会社のリモート接続機器を経由して行われたとされています。
- 半田病院(2021年10月)
- 徳島県つるぎ町立半田病院がVPN機器の脆弱性を突いた不正アクセスを受け、電子カルテシステムが暗号化されました。約2ヶ月間の診療制限を余儀なくされ、復旧費用は約2億円に上りました。
- 大阪急性期・総合医療センター(2022年10月)
- 給食委託業者のVPN経由でマルウェアが侵入し、電子カルテが停止しました。紙カルテでの対応を余儀なくされ、完全復旧まで約2ヶ月を要しました。
- 名古屋港コンテナターミナル(2023年7月)
- 名古屋港統一ターミナルシステム(NUTS)がランサムウェア「LockBit」に感染し、約3日間コンテナの搬出入が停止しました。日本の輸出入の約10%を扱う重要インフラへの攻撃として注目を集めました。
- KADOKAWA/ニコニコ動画(2024年)
- 大手出版・エンターテインメント企業への攻撃により、動画配信サービス等が長期間停止しました。情報漏洩も発生し、事業への影響が続きました。
国内事例の詳細については、サプライチェーン攻撃の国内事例|トヨタ・病院の詳細分析をご覧ください。
海外の代表的な事例
世界規模で影響を与えたサプライチェーン攻撃の主要事例を紹介します。
- SolarWinds(2020年12月)
- SolarWinds社のネットワーク監視ソフト「Orion」のアップデートに悪意あるコード(SUNBURST)が仕込まれ、米国政府機関を含む1万8千以上の組織が影響を受けました。ロシアの国家支援グループ(APT29)の関与が指摘されており、標的型攻撃(APT)の一環として実行されました。
- Kaseya VSA(2021年7月)
- リモート管理ソフト「VSA」のゼロデイ脆弱性を悪用し、MSP経由で1,500社以上にランサムウェア「REvil」が配布されました。要求された身代金総額は7,000万ドルに達しました。
- 3CX(2023年3月)
- VoIPソフトウェア企業3CXのデスクトップアプリが改ざんされ、60万以上の顧客企業が影響を受けた可能性があります。この攻撃は、3CXの開発者が使用していた別のソフトウェアが先に侵害されるという「二重のサプライチェーン攻撃」でした。
- NotPetya(2017年6月)
- ウクライナの会計ソフト「M.E.Doc」のアップデート経由で世界中に拡散し、被害総額は100億ドル以上と推定されています。Maersk、FedEx、Merckなど大企業が甚大な被害を受けました。
- Codecov(2021年)
- コードカバレッジツールのBashスクリプトが改ざんされ、CI/CD環境から認証情報が窃取されました。Twitch、HashiCorpなど複数の企業が影響を受けました。
海外事例の詳細については、サプライチェーン攻撃の海外事例|SolarWinds・Kaseya解説をご覧ください。
事例に共通する特徴
国内外のサプライチェーン攻撃事例を分析すると、いくつかの共通する特徴が浮かび上がります。これらの特徴を理解することで、自社のリスク評価と対策立案に役立てることができます。
- 信頼関係の悪用
- サプライチェーン攻撃の本質は、企業間の信頼関係を悪用することにあります。正規の取引先やソフトウェアベンダーからの通信・ファイルは、通常のセキュリティチェックをすり抜けやすい傾向があります。「信頼できる相手」からの攻撃であるため、検知が困難です。
- 正規の配布経路の侵害
- SolarWinds、3CX、NotPetyaなどの事例では、正規のソフトウェアアップデート経路が侵害されました。デジタル署名が施された正規のアップデートとして配布されるため、従来のセキュリティ対策では検知できません。
- 中小企業が踏み台に
- トヨタ・小島プレス事件や病院事例では、セキュリティ対策が比較的手薄な中小企業や委託先が最初の侵入口となりました。大企業を直接攻撃するよりも、その取引先を狙う方が容易なケースが多いのです。
- VPN/リモートアクセスの脆弱性
- 国内の多くの事例で、VPN機器の既知の脆弱性が悪用されています。パッチ適用の遅れや設定不備が、攻撃者に侵入口を与えてしまっています。不正アクセスの入り口として最も狙われやすい箇所の一つです。
- 検知までの時間の長さ
- SolarWinds事件では、攻撃開始から発覚まで約9ヶ月を要しました。正規の経路を使った攻撃は検知が難しく、長期間にわたって気づかれないまま被害が拡大するケースが少なくありません。
- 被害の連鎖的拡大
- 1社への攻撃が、そのサプライチェーン全体に波及するのがサプライチェーン攻撃の特徴です。Kaseya事件では1社への攻撃が1,500社以上に、小島プレス事件では1社への攻撃がトヨタ全工場の停止につながりました。
- 復旧の長期化
- 病院事例では完全復旧まで約2ヶ月を要するなど、サプライチェーン攻撃からの復旧は長期化する傾向があります。単なるシステム復旧だけでなく、侵入経路の特定、再発防止策の実施、関係者への説明など、多岐にわたる対応が必要になるためです。
事例から得られる教訓
サプライチェーン攻撃の事例から得られる教訓を整理します。これらの教訓は、今後の対策を検討する際の指針となります。
- 教訓1:サプライチェーン全体の可視化が必要
- 自社のサプライチェーンにどのような企業・サービスが含まれているかを把握することが第一歩です。Tier1だけでなく、Tier2以降のサプライヤーまで含めた可視化が求められます。サプライチェーンの可視化について詳しく解説しています。
- 教訓2:取引先のセキュリティ確認を怠らない
- 取引開始前のデューデリジェンスや、定期的なセキュリティ評価が重要です。質問票の送付、第三者評価の活用、契約へのセキュリティ条項の盛り込みなど、具体的な方法があります。取引先管理の詳細をご覧ください。
- 教訓3:VPN/リモートアクセスの管理を厳格に
- VPN機器の脆弱性は多くの事例で悪用されています。パッチの迅速な適用、多要素認証の導入、不要なポートの閉鎖など、基本的な対策の徹底が求められます。
- 教訓4:検知能力への投資が重要
- 攻撃を100%防ぐことは困難です。侵入を前提とした検知・対応能力の強化が必要です。EDR、NDR、SIEMなどの導入や、SOCサービスの活用を検討してください。
- 教訓5:バックアップと復旧計画の整備
- ランサムウェア攻撃への備えとして、オフラインバックアップの確保と復旧手順の整備が不可欠です。バックアップ自体が暗号化される事例も増えているため、3-2-1ルールなどの徹底が求められます。
- 教訓6:インシデント対応計画の事前準備
- 事故が起きてから対応を考えるのでは遅すぎます。インシデント対応計画の策定、連絡体制の整備、定期的な訓練の実施が重要です。インシデント対応計画について解説しています。
- 教訓7:経営層の関与と予算確保
- サプライチェーン攻撃対策には、経営層の理解と適切な予算配分が不可欠です。事例を経営層への説明材料として活用し、投資の必要性を訴えることが重要です。経営者向けガイドをご活用ください。
- 教訓8:業界全体での情報共有
- 自動車業界の自工会・部工会ガイドライン、金融業界の金融ISACなど、業界内での情報共有の枠組みを活用することが有効です。自社だけでなく業界全体でセキュリティレベルを向上させる取り組みが求められます。
攻撃タイプ別の事例分類
サプライチェーン攻撃は、攻撃経路によって大きく3つのタイプに分類できます。事例をこの分類で整理することで、それぞれのリスクと対策の方向性が明確になります。
| 攻撃タイプ | 特徴 | 代表的事例 | 対策の方向性 |
|---|---|---|---|
| ソフトウェアサプライチェーン攻撃 | ソフトウェアのアップデートや配布経路を侵害 | SolarWinds、3CX、Codecov、NotPetya | SBOM導入、署名検証、ビルド環境保護 |
| ビジネスサプライチェーン攻撃 | 取引先・委託先を経由して侵入 | トヨタ・小島プレス、病院事例、名古屋港 | 取引先評価、VPN管理、アクセス制御 |
| サービスサプライチェーン攻撃 | MSP・クラウドサービスを経由 | Kaseya | サービス選定、責任分界の明確化 |
- ソフトウェアサプライチェーン攻撃
- ソフトウェアのビルドプロセスや配布経路を侵害し、正規のアップデートにマルウェアを仕込む手法です。デジタル署名が施されていても安全とは限らず、SBOMによる依存関係の把握やビルド環境の保護が重要です。
- ビジネスサプライチェーン攻撃
- セキュリティが比較的手薄な取引先や委託先を最初に攻撃し、そこを踏み台として本来のターゲットに侵入する手法です。日本国内の事例の多くがこのタイプに該当します。取引先のセキュリティ評価と、接続経路の管理が重要です。
- サービスサプライチェーン攻撃
- MSP(マネージドサービスプロバイダ)やクラウドサービスを侵害し、その顧客企業に被害を波及させる手法です。「1対多」の管理関係を悪用するため、被害が急速に拡大します。
攻撃タイプ別の詳細は、サプライチェーン攻撃の種類|ソフトウェア・ビジネス・サービス3類型をご覧ください。
業種別の事例傾向
サプライチェーン攻撃の被害は特定の業種に集中する傾向があります。業種ごとの特徴とリスクを理解することで、より効果的な対策が可能になります。
| 業種 | 代表的事例 | 主な攻撃経路 | 特徴的なリスク |
|---|---|---|---|
| 製造業 | トヨタ・小島プレス | 部品サプライヤー経由 | 生産停止、サプライチェーン断絶 |
| 医療機関 | 半田病院、大阪急性期 | 委託業者VPN経由 | 診療停止、人命への影響 |
| 物流・インフラ | 名古屋港 | システム脆弱性 | 社会インフラの停止 |
| IT・通信 | SolarWinds、3CX | ソフトウェア配布経路 | 顧客への被害波及 |
| 金融 | 複数事例 | 委託先、OSSライブラリ | 金銭被害、信用失墜 |
- 製造業のリスク
- 長いサプライチェーンを持つ製造業は、Tier2以降のサプライヤー管理が課題です。1社の被害が生産ライン全体を止める可能性があり、経済的影響が甚大です。製造業の対策をご覧ください。
- 医療機関のリスク
- 24時間稼働が求められ、システム停止が人命に関わる医療機関は、復旧を急ぐあまり身代金を支払う誘惑に駆られやすい傾向があります。医療機関の対策で詳しく解説しています。
- 金融機関のリスク
- 厳格な規制の下にある金融機関でも、委託先やOSSライブラリ経由のリスクは存在します。金融機関の対策をご覧ください。
業種別の詳細な対策は、サプライチェーン攻撃の業種別対策をご覧ください。
関連する攻撃手法
サプライチェーン攻撃の事例には、様々な攻撃手法が組み合わせて使われています。これらの手法を理解することで、より包括的な対策が可能になります。
| 攻撃手法 | 事例での使われ方 | 関連ページ |
|---|---|---|
| ランサムウェア | システム暗号化、身代金要求 | ランサムウェア |
| フィッシング詐欺 | 認証情報の窃取、初期侵入 | フィッシング詐欺 |
| VPN脆弱性悪用 | ネットワークへの侵入経路 | 不正アクセス |
| マルウェア | バックドア設置、情報窃取 | マルウェア感染 |
| 標的型攻撃(APT) | 国家支援グループによる長期侵入 | 標的型攻撃 |
| ソーシャルエンジニアリング | 人間の心理を突いた情報収集 | ソーシャルエンジニアリング |
| 情報漏洩 | 窃取したデータの公開・売買 | 情報漏洩 |
これらの攻撃手法は単独で使われることは少なく、サプライチェーン攻撃と組み合わせて使われることで被害が拡大します。例えば、取引先経由で侵入した後にランサムウェアを展開する、あるいはフィッシング詐欺で入手した認証情報を使って取引先システムに侵入するといったパターンが見られます。
よくある質問
- Q: 最も被害が大きかったサプライチェーン攻撃事例は何ですか?
- A: 金銭的被害という観点では、2017年のNotPetyaが被害総額100億ドル以上と最大級です。Maersk社だけで約3億ドル、FedEx(TNT)で約4億ドル、Merck社で約8億ドルの損失が報告されています。影響を受けた組織数という観点では、SolarWinds事件が1万8千以上の組織に影響を与えた可能性があり、最も広範な被害をもたらしました。
- Q: 日本企業のサプライチェーン攻撃事例はありますか?
- A: はい、複数の事例が報告されています。代表的なものとして、2022年のトヨタ・小島プレス事件(全工場停止)、2021年の半田病院事件(電子カルテ停止)、2022年の大阪急性期医療センター事件、2023年の名古屋港コンテナターミナル事件などがあります。詳細は国内事例ページをご覧ください。
- Q: 事例から学んで対策を始めるにはどうすればよいですか?
- A: まず、事例に共通する脆弱性(VPN機器、取引先管理など)が自社にも存在しないかを点検することをお勧めします。次に、優先度の高いリスクから順に対策を進めてください。具体的な対策方法は対策ガイドで解説しています。中小企業の場合は中小企業向けガイドが参考になります。
- Q: 中小企業でも参考になる事例はありますか?
- A: トヨタ・小島プレス事件は、中小企業(小島プレス工業およびその子会社)が最初の侵入口となった事例として、中小企業にとって重要な教訓を含んでいます。大企業の取引先である中小企業こそが狙われやすいという現実を示しています。中小企業向け対策で詳しく解説しています。
- Q: 事例の情報はどこで入手できますか?
- A: IPA(情報処理推進機構)の「情報セキュリティ10大脅威」、JPCERT/CCのインシデント報告、警察庁の「サイバー空間をめぐる脅威の情勢」などの公的機関の発表が信頼性の高い情報源です。また、セキュリティベンダー各社のレポートも参考になります。最新動向は最新動向と統計で紹介しています。
まとめ
サプライチェーン攻撃の事例と教訓について、主要なポイントを整理します。
- サプライチェーン攻撃は国内外で実際に甚大な被害を引き起こしており、どの企業も標的になり得る
- 事例は「ソフトウェア型」「ビジネス型」「サービス型」の3タイプに分類でき、それぞれ対策の方向性が異なる
- 共通する特徴として、信頼関係の悪用、中小企業の踏み台化、VPN脆弱性の悪用などが挙げられる
- 事例から得られる教訓を自社の対策に活かすことが重要
- 経営層の関与、予算確保、業界全体での情報共有が対策の成否を左右する
- ランサムウェアやフィッシング詐欺など、複数の攻撃手法が組み合わせて使われる
次のステップとして、以下のページをご覧ください。
事例・動向カテゴリのトップページはこちらです。
サプライチェーン攻撃の全体像については、サプライチェーン攻撃とは|総合ガイドで詳しく解説しています。
## 重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
- 記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る ← 現在のカテゴリ
- 自社の対策を始める
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
更新履歴
- 初稿公開
