2025年のサプライチェーン攻撃の概況
サプライチェーン攻撃は、2025年時点で企業が直面する最も深刻なサイバー脅威の一つとして認識されています。IPAの「情報セキュリティ10大脅威 2025」では、「サプライチェーンの弱点を悪用した攻撃」が組織編で2位にランクインし、3年連続で上位を維持しています。
| 年度 | IPA 10大脅威(組織編)順位 | 主なトピック |
|---|---|---|
| 2023年 | 2位 | トヨタ・小島プレス事件の影響 |
| 2024年 | 2位 | 名古屋港事件、医療機関被害継続 |
| 2025年 | 2位 | ソフトウェアSC攻撃の増加 |
国内外の動向を概観すると、日本国内では取引先・委託先を経由した「ビジネスサプライチェーン攻撃」が依然として主流である一方、グローバルではOSSパッケージを狙った「ソフトウェアサプライチェーン攻撃」が急増しています。
この記事では、以下の観点から最新の統計とトレンドを解説します。
- 発生件数の推移(国内・グローバル)
- 被害額のデータ
- 攻撃手法のトレンド
- 狙われやすい業種・企業規模
- 規制・ガイドラインの動向
- 今後の予測
サプライチェーン攻撃の発生件数推移
サプライチェーン攻撃の発生件数は、国内外ともに増加傾向にあります。ただし、「サプライチェーン攻撃」の定義や報告基準が統一されていないため、正確な件数の把握は困難です。以下では、複数のデータソースから傾向を分析します。
| 年 | 国内の傾向 | グローバルの傾向 | 主な事例 |
|---|---|---|---|
| 2020年 | 認知度上昇 | SolarWinds発覚 | SolarWinds |
| 2021年 | 増加傾向 | 急増(Kaseya等) | Kaseya、半田病院 |
| 2022年 | 大規模事例発生 | 継続的増加 | トヨタ・小島プレス、大阪急性期 |
| 2023年 | 重要インフラ被害 | 3CX等ソフトウェア型増加 | 名古屋港、3CX |
| 2024年 | 継続的発生 | OSS攻撃急増 | KADOKAWA等 |
国内の発生件数
警察庁の「サイバー空間をめぐる脅威の情勢」によると、ランサムウェア被害の報告件数は高止まりしており、その中でサプライチェーン経由の感染事例が増加しています。
- 警察庁への報告件数
- ランサムウェア被害の報告件数は、2023年に197件、2024年も同水準で推移しています。これらのうち、VPN経由の侵入や取引先経由の感染など、サプライチェーン攻撃の要素を含む事例が増えています。
- JPCERT/CCへのインシデント報告
- JPCERT/CCへのインシデント報告でも、取引先や委託先を経由した攻撃の報告が増加傾向にあります。特に、VPN機器の脆弱性を悪用した侵入が多く報告されています。
- 報告されていない事例
- 実際の被害件数は、公表されている数字よりも多いと推測されています。特に中小企業では、被害に気づいていない、または公表を控えているケースがあります。
グローバルの発生件数
グローバルでは、特にソフトウェアサプライチェーン攻撃の増加が顕著です。
- Sonatypeのレポート
- ソフトウェアサプライチェーンセキュリティ企業Sonatypeの調査によると、OSSリポジトリ(npm、PyPI、Maven等)を狙った悪意あるパッケージの数は、2019年から2022年の間に742%増加しました。この傾向は2023年以降も継続しています。
- ENISAのレポート
- 欧州サイバーセキュリティ機関(ENISA)の「Threat Landscape for Supply Chain Attacks」によると、サプライチェーン攻撃は2020年から2021年にかけて4倍に増加し、その後も増加傾向が続いています。
- Gartnerの予測
- 調査会社Gartnerは、2025年までに世界の組織の45%がソフトウェアサプライチェーン攻撃の影響を受けると予測しています(2021年比で3倍)。
サプライチェーン攻撃の被害額
サプライチェーン攻撃の被害額は、直接的な損失だけでなく、操業停止による機会損失、信用への影響など、広範囲に及びます。
平均被害額
被害額に関する統計データを整理します。
| 指標 | 金額 | 出典 |
|---|---|---|
| データ侵害の平均コスト(グローバル) | 約445万ドル(約6.7億円) | IBM Cost of a Data Breach 2024 |
| サプライチェーン侵害の追加コスト | 平均より約12%高い | IBM Cost of a Data Breach 2024 |
| 日本のランサムウェア平均被害額 | 約5,000万円〜1億円 | 各種調査報告 |
| 復旧にかかる平均日数 | 約3週間〜2ヶ月 | 事例分析 |
- 日本国内の平均被害額
- 日本ネットワークセキュリティ協会(JNSA)やIPAの調査によると、ランサムウェア被害の平均復旧コストは数千万円から1億円規模に達することがあります。サプライチェーン攻撃の場合、被害が複数組織に波及するため、さらに高額になる傾向があります。
- グローバルの平均被害額
- IBMとPonemon Instituteの「Cost of a Data Breach Report 2024」によると、データ侵害の平均コストは約445万ドル(約6.7億円)です。サプライチェーンを経由した侵害の場合、平均より約12%高いコストがかかるとされています。
最大被害額の事例
過去の事例における被害額を整理します。
| 事例 | 推定被害額 | 被害の内容 |
|---|---|---|
| NotPetya(2017年) | 100億ドル以上 | グローバル企業への被害総額 |
| Maersk(NotPetya) | 約3億ドル | ITインフラ再構築、業務停止 |
| Merck(NotPetya) | 約8億ドル | 製造停止、システム復旧 |
| トヨタ・小島プレス | 数十億円(推定) | 1日の生産停止 |
| 半田病院 | 約2億円 | 復旧費用 |
- NotPetya(100億ドル以上)
- 史上最大の被害をもたらしたサプライチェーン攻撃です。Maersk、FedEx(TNT)、Merckなど大企業が甚大な被害を受けました。詳細は海外事例をご覧ください。
- SolarWinds(影響範囲の大きさ)
- SolarWinds事件の直接的な金銭被害額は明確ではありませんが、1万8千以上の組織が影響を受けた可能性があり、対応コストを含めると莫大な金額に上ります。
- 国内事例
- トヨタ・小島プレス事件では、1日の生産停止による損失が数十億円と推定されています。病院事例では、復旧費用に加え、診療制限による収入減も発生しています。詳細は国内事例をご覧ください。
間接被害・機会損失
サプライチェーン攻撃の被害は、直接的な復旧コストだけではありません。
- 操業停止による機会損失
- 製造業では生産停止、小売業では販売機会の喪失、医療機関では診療制限など、業種に応じた機会損失が発生します。トヨタ・小島プレス事件では、1日の生産停止で約1万3千台の生産に影響が出ました。
- 評判・信用への影響
- セキュリティ事故の公表は、企業の評判や信用に影響を与えます。取引先からの信頼低下、株価への影響、顧客離れなど、長期的な影響が生じる可能性があります。
- 対応コスト
- インシデント対応、フォレンジック調査、法的対応、顧客・取引先への通知、規制当局への報告など、復旧以外にも多くの対応コストが発生します。
- 保険料の上昇
- サイバー保険の保険料は、事故歴や業界のリスク状況に応じて変動します。サプライチェーン攻撃の増加に伴い、保険料が上昇する傾向があります。
攻撃手法のトレンド
2025年時点で増加しているサプライチェーン攻撃の手法を解説します。
ソフトウェアサプライチェーン攻撃の増加
OSSパッケージを狙った攻撃が急増しています。
- OSSリポジトリへの攻撃
- npm(JavaScript)、PyPI(Python)、Maven(Java)などのOSSリポジトリに悪意あるパッケージが公開される事例が増えています。Sonatypeの調査によると、悪意あるパッケージの数は2019年から2022年で742%増加しました。
- タイポスクワッティング
- 人気パッケージに似た名前の悪意あるパッケージを公開し、開発者のタイプミスを狙う手法です。例えば「lodash」に対して「1odash」など。
- 依存関係混乱(Dependency Confusion)
- 企業が内部で使用するプライベートパッケージと同名の悪意あるパッケージを公開リポジトリに登録し、ビルド時に置き換えさせる手法です。
- メンテナアカウントの乗っ取り
- ua-parser-js事件のように、正規パッケージのメンテナアカウントを乗っ取り、悪意あるバージョンを公開する手法です。
ソフトウェアサプライチェーン攻撃の詳細と対策は、ソフトウェアサプライチェーン攻撃をご覧ください。
AI関連リスクの台頭
AI・機械学習の普及に伴い、新たなサプライチェーンリスクが生まれています。
- AI開発パイプラインへの攻撃
- 機械学習モデルの学習データ、学習プロセス、モデル配布経路が攻撃対象となる可能性があります。学習データの汚染(Data Poisoning)により、モデルの挙動を操作する攻撃が研究されています。
- AIモデルの改ざん
- Hugging Faceなどのモデル配布プラットフォームに、悪意ある改変が加えられたモデルが公開されるリスクがあります。
- AIを活用した攻撃の高度化
- 攻撃者がAIを活用することで、フィッシング詐欺の文面生成、脆弱性の発見、攻撃の自動化などが高度化する可能性があります。
AI関連リスクの詳細は、AI関連のサプライチェーンリスクをご覧ください。
ランサムウェアとの組み合わせ
サプライチェーン攻撃とランサムウェアの組み合わせが増加しています。
- サプライチェーン経由のランサムウェア配布
- Kaseya事件のように、サプライチェーンを侵害してランサムウェアを大規模に配布する手法が見られます。1回の攻撃で多数の組織に被害を与えることができます。
- 二重脅迫(ダブルエクストーション)
- データを暗号化するだけでなく、窃取したデータの公開を脅迫材料にする手法が一般化しています。サプライチェーン経由で侵入した場合、複数組織のデータを窃取できる可能性があります。
- 三重脅迫
- 被害企業だけでなく、その取引先や顧客にも直接脅迫を行う手法も報告されています。
ランサムウェアとの関係については、サプライチェーン攻撃とランサムウェアをご覧ください。
クラウド・SaaSを狙った攻撃
クラウドサービスやSaaSを標的とした攻撃も増加しています。
- MSP・クラウドサービスへの攻撃
- Kaseya事件のように、MSP(マネージドサービスプロバイダ)を侵害することで、その顧客企業に攻撃を波及させる手法が見られます。
- クラウド設定不備の悪用
- クラウドストレージの公開設定ミス、過剰なアクセス権限、認証情報の漏洩など、設定不備を突いた攻撃が増えています。クラウド設定不備の詳細をご覧ください。
- APIの悪用
- クラウドサービス間の連携に使われるAPIが、認証不備やアクセス制御の問題により悪用されるケースがあります。
クラウド対策については、クラウドのサプライチェーン対策をご覧ください。
狙われやすい業種・企業規模
統計データから見るサプライチェーン攻撃の被害傾向を分析します。
業種別の傾向
業種によって狙われやすさや攻撃パターンが異なります。
| 業種 | 被害割合(推定) | 主なリスク | 代表的事例 |
|---|---|---|---|
| 製造業 | 高い | 生産停止、サプライチェーン断絶 | トヨタ・小島プレス |
| 医療機関 | 増加中 | 診療停止、人命への影響 | 半田病院、大阪急性期 |
| 金融 | 中程度 | 金銭被害、信用失墜 | OSSライブラリ経由 |
| 物流・インフラ | 増加中 | 社会インフラ停止 | 名古屋港 |
| IT・通信 | 高い | 顧客への被害波及 | SolarWinds、3CX |
- 製造業
- 長いサプライチェーンを持つ製造業は、サプライチェーン攻撃の格好の標的です。特に自動車産業は、数千社のサプライヤーから成る複雑なサプライチェーンを持ち、1社の被害が全体に波及するリスクがあります。製造業の対策をご覧ください。
- 医療機関
- 24時間稼働が求められ、システム停止が人命に関わる医療機関は、身代金を支払うプレッシャーが高いと見なされています。委託業者経由の攻撃が多い点も特徴です。医療機関の対策をご覧ください。
- 金融機関
- 厳格な規制の下にある金融機関ですが、OSSライブラリや委託先を経由したリスクは存在します。金融機関の対策をご覧ください。
業種別の詳細な対策は、サプライチェーン攻撃の業種別対策をご覧ください。
企業規模別の傾向
サプライチェーン攻撃は、大企業だけでなく中小企業にも影響します。
- 大企業のリスク
- 大企業は、多数のサプライヤー、委託先、クラウドサービスと接続しており、攻撃対象となる接点が多いです。また、大企業を標的とした攻撃で、そのサプライチェーン上の中小企業が踏み台にされるケースも多いです。
- 中小企業が踏み台に
- トヨタ・小島プレス事件のように、セキュリティ対策が比較的手薄な中小企業が最初の侵入口となり、そこから大企業に攻撃が波及するパターンが増えています。中小企業こそ、サプライチェーン攻撃への備えが必要です。
- 中小企業の被害認知率の低さ
- 中小企業は、セキュリティ専門人材が不足していることが多く、被害に気づいていない、または被害規模を把握できていないケースがあります。実際の被害件数は、報告されている数字より多いと推測されます。
中小企業向けの対策は、中小企業のサプライチェーン攻撃対策をご覧ください。
地域別の傾向
サプライチェーン攻撃の傾向は、地域によっても異なります。
- 日本
- 取引先・委託先を経由した「ビジネスサプライチェーン攻撃」が多い傾向があります。VPN経由の侵入が多く、系列取引の長いサプライチェーンがリスク要因となっています。
- 米国
- ソフトウェアサプライチェーン攻撃への関心が高く、SBOMの義務化など規制面での対応が進んでいます。国家支援型攻撃の標的にもなりやすい傾向があります。
- 欧州
- NIS2指令やサイバーレジリエンス法など、サプライチェーンセキュリティに関する規制が強化されています。GDPR(一般データ保護規則)との関連もあり、情報漏洩への対応が重視されています。
- アジア太平洋
- 製造業のサプライチェーンハブとして、ビジネスサプライチェーン攻撃のリスクが高い地域です。地政学的リスクとも関連し、国家支援型攻撃の影響を受けやすい傾向があります。
規制・ガイドラインの動向
サプライチェーン攻撃の増加を受け、国内外で規制・ガイドラインの整備が進んでいます。
国内の規制動向
日本国内では、以下のような動きがあります。
- 経済安全保障推進法
- 2022年に成立した経済安全保障推進法では、基幹インフラの安定的な提供のため、重要設備の導入・維持管理等の委託について、事前審査制度が導入されています。サプライチェーンリスクの観点からの審査が行われます。
- 改正個人情報保護法
- 2022年に施行された改正個人情報保護法では、委託先の監督責任が明確化されました。委託先で情報漏洩が発生した場合、委託元も責任を問われる可能性があります。
- 経産省ガイドライン
- 経済産業省は「サイバーセキュリティ経営ガイドライン」を改訂し、サプライチェーン全体のセキュリティ確保を経営課題として位置づけています。また、「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」を通じた取り組みも進んでいます。
- 業界別ガイドライン
- 自動車業界では自工会・部工会による「サイバーセキュリティガイドライン」が策定されています。金融、医療など各業界でも、サプライチェーンセキュリティに関するガイドラインの整備が進んでいます。
ガイドラインの活用方法については、サプライチェーン攻撃対策ガイドラインの活用をご覧ください。
海外の規制動向
海外では、より踏み込んだ規制が進んでいます。
- 米国:SBOM義務化と大統領令
- 2021年の大統領令14028により、連邦政府に納入するソフトウェアにはSBOM(Software Bill of Materials:ソフトウェア部品表)の提供が義務付けられています。民間企業にも影響が広がっています。
- EU:NIS2指令
- 2022年に採択されたNIS2指令(Network and Information Security Directive 2)では、対象セクターが拡大され、サプライチェーンセキュリティに関する要件が強化されています。違反時の罰則も厳格化されています。
- EU:サイバーレジリエンス法
- デジタル要素を含む製品のセキュリティ要件を定める規則で、ソフトウェアの脆弱性管理やSBOMの提供が求められる予定です。2027年頃からの適用が予定されています。
- SLSA・SSFなどのフレームワーク
- GoogleのSLSA(Supply-chain Levels for Software Artifacts)、OpenSSFのScorecard、NISTのSSDF(Secure Software Development Framework)など、ソフトウェアサプライチェーンセキュリティのフレームワークが整備されています。
今後の予測
セキュリティ専門家・調査機関の見解に基づき、サプライチェーン攻撃の今後を予測します。
- ソフトウェアサプライチェーン攻撃の更なる増加
- OSSの普及と依存関係の複雑化に伴い、ソフトウェアサプライチェーン攻撃は今後も増加すると予測されています。Gartnerは、2025年までに世界の組織の45%が影響を受けると予測しています。攻撃者にとって、1つのパッケージを侵害することで多数の組織に影響を与えられる効率的な攻撃手法だからです。
- AI関連リスクの顕在化
- AI・機械学習の普及に伴い、AIモデルのサプライチェーン(学習データ、モデル配布、プラグイン等)を狙った攻撃が増加すると予測されています。現時点では事例は限定的ですが、今後の注意が必要です。
- 規制強化による対策の義務化
- 米国のSBOM義務化、EUのNIS2指令・サイバーレジリエンス法など、サプライチェーンセキュリティに関する規制は世界的に強化される傾向にあります。日本企業も、取引先(特に欧米企業)からの要求として対応を求められる可能性があります。
- サプライチェーン全体でのセキュリティ協調
- サプライチェーン攻撃への対策は、1社だけでは完結しません。業界全体、サプライチェーン全体での協調的な取り組みが増えると予測されています。情報共有、共同調達、相互評価などの枠組みが広がるでしょう。
- SBOMの普及
- SBOMは、ソフトウェアの構成要素を把握し、脆弱性への迅速な対応を可能にするツールとして、普及が加速すると予測されています。規制要件としてだけでなく、リスク管理のベストプラクティスとして定着していくでしょう。SBOMの詳細をご覧ください。
統計データを対策に活かすには
統計データを自社のセキュリティ対策に活用する方法を解説します。
- 経営層への報告材料として活用
- 「IPAの10大脅威で3年連続2位」「被害額は平均数千万円から数億円」といったデータは、経営層にサプライチェーン攻撃のリスクを説明する際の有効な材料となります。自社と同業種・同規模の事例を示すことで、より身近な問題として認識してもらえます。経営リスクとしての理解をご覧ください。
- リスク評価・優先順位付けへの活用
- 統計データから、どのような攻撃経路が多いか(VPN、取引先、OSSなど)、どのような業種が狙われやすいかを把握し、自社のリスク評価に反映させることができます。限られたリソースを、最も効果的な対策に集中させるための判断材料となります。
- 予算獲得への活用
- 被害額のデータは、セキュリティ投資の費用対効果を説明する際に役立ちます。「対策コストは○○円だが、被害に遭った場合の損失は△△円に上る可能性がある」といった形で、投資の妥当性を示すことができます。
- ベンチマークとしての活用
- 業界平均の対策状況や、同規模企業の取り組み状況と比較することで、自社の対策レベルを客観的に評価できます。遅れている領域を特定し、改善計画を立てる材料となります。
関連する攻撃手法
サプライチェーン攻撃のトレンドに関連する攻撃手法を紹介します。
| 攻撃手法 | トレンドとの関連 | 関連ページ |
|---|---|---|
| ランサムウェア | サプライチェーン経由での配布が増加 | ランサムウェア |
| ソフトウェアSC攻撃 | OSSパッケージを狙った攻撃が急増 | ソフトウェアSC攻撃 |
| 標的型攻撃(APT) | 国家支援グループによる高度な攻撃 | 標的型攻撃 |
| マルウェア | 様々な形態でサプライチェーンに潜入 | マルウェア感染 |
| フィッシング詐欺 | 初期侵入手段として継続的に使用 | フィッシング詐欺 |
| 不正アクセス | VPN脆弱性経由の侵入が多い | 不正アクセス |
| 情報漏洩 | 二重脅迫の材料としてデータ窃取 | 情報漏洩 |
よくある質問
- Q: サプライチェーン攻撃は今後も増え続けますか?
- A: はい、多くの専門家・調査機関がサプライチェーン攻撃の増加を予測しています。OSSの普及、クラウドサービスの増加、リモートワークの定着など、攻撃対象となる接点が増えているためです。Gartnerは2025年までに世界の組織の45%が影響を受けると予測しています。企業は増加する脅威に備え、継続的に対策を強化する必要があります。
- Q: どの業種が最も狙われていますか?
- A: 業種別では、製造業、IT・通信、医療機関への攻撃が多く報告されています。製造業は長いサプライチェーンを持ち、1社の被害が全体に波及するリスクがあります。IT・通信は、そのサービスを利用する多数の顧客に影響を与える可能性があるため標的にされます。医療機関は、システム停止が人命に関わるため、身代金を支払うプレッシャーが高いと見なされています。
- Q: 中小企業でも統計データを活用できますか?
- A: はい、活用できます。例えば、「中小企業が大企業への攻撃の踏み台にされるケースが増えている」という傾向は、中小企業こそ対策が必要という説得材料になります。また、業界平均の対策状況と比較することで、自社の立ち位置を把握できます。IPAの「中小企業の情報セキュリティ対策ガイドライン」も参考になります。
- Q: 最新の統計はどこで入手できますか?
- A: 国内では、IPA(情報処理推進機構)の「情報セキュリティ10大脅威」「情報セキュリティ白書」、警察庁の「サイバー空間をめぐる脅威の情勢」、JPCERT/CCのインシデント報告などが信頼性の高い情報源です。グローバルでは、Sonatypeの「State of the Software Supply Chain」、ENISAの脅威レポート、IBMの「Cost of a Data Breach Report」などが参考になります。
- Q: この記事のデータは定期的に更新されますか?
- A: はい、この記事は時事性の高いコンテンツとして、定期的な更新を想定しています。最新の統計データ、新たな事例、規制動向などを反映し、常に最新の情報を提供できるよう努めます。ただし、更新タイミングによっては一部古い情報が含まれる場合がありますので、ご了承ください。
まとめ
サプライチェーン攻撃の最新動向と統計について、主要なポイントを整理します。
- IPAの「情報セキュリティ10大脅威」で3年連続2位にランクインし、深刻な脅威として認識されている
- ソフトウェアサプライチェーン攻撃(OSSパッケージを狙った攻撃)が急増している
- 被害額は平均数千万円から数億円規模に達し、NotPetyaでは100億ドル以上の被害が発生
- 製造業、医療機関、IT・通信など特定の業種が狙われやすい傾向がある
- 中小企業が大企業への攻撃の踏み台にされるケースが増えている
- 国内外で規制・ガイドラインの整備が進んでおり、SBOM義務化などの動きがある
- 今後もソフトウェアSC攻撃、AI関連リスクなど、脅威は進化し続けると予測される
この記事は定期的に更新し、最新のデータを反映する予定です。
対策を始めたい方は、サプライチェーン攻撃の対策|自社を守るセキュリティ強化ガイドをご覧ください。
事例・動向カテゴリのトップページはこちらです。
サプライチェーン攻撃の全体像については、サプライチェーン攻撃とは|総合ガイドで詳しく解説しています。
## 重要なお知らせ
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
- 統計データは各種調査機関の発表に基づいていますが、定義や調査方法により数値が異なる場合があります。
- 実際にサイバー攻撃の被害に遭われた場合は、警察(#9110)やIPA(03-5978-7509)などの公的機関にご相談ください。
- 記載内容は作成時点の情報であり、最新の状況とは異なる可能性があります。
サプライチェーン攻撃 完全ガイド ナビゲーション
総合ガイド
目的別に探す
- 基礎知識を学ぶ
- 事例・動向を知る ← 現在のカテゴリ
- 自社の対策を始める
- 取引先管理を強化する
役職・立場別に探す
業種別に探す
攻撃タイプ別に探す
人気のページ
- 定義と仕組み
- 国内事例(トヨタ等)
- Q&A
- 2025年最新動向 ← 現在のページ
更新履歴
- 初稿公開
