サプライチェーン経由の攻撃が増加する背景
直接攻撃より効率的
ランサムウェア攻撃者がサプライチェーンを狙う理由は、効率性にあります。
- 1社への攻撃で複数社に影響
- 委託先や共通のサービス提供者を攻撃することで、一度の攻撃で複数の組織に被害を与えることができます。例えば、複数の自治体から業務を受託している印刷会社への攻撃は、すべての委託元に影響します。攻撃者にとって、費用対効果の高い攻撃手法です。
- セキュリティが弱い委託先を狙う
- 大企業はセキュリティ対策が進んでいることが多いですが、その委託先である中小企業は対策が不十分なケースがあります。攻撃者は、直接攻撃が困難な大企業の代わりに、よりセキュリティが脆弱な委託先を狙います。これは、堅固な正面玄関ではなく、裏口から侵入するようなものです。
- 信頼関係の悪用
- 取引先からのメールや、委託先からのファイルは、疑われにくい傾向があります。攻撃者は、侵入した委託先のアカウントを使ってフィッシングメールを送信したり、正規の取引に見せかけてマルウェアを送り込んだりします。
DXによるサプライチェーン依存の拡大
デジタルトランスフォーメーション(DX)の進展により、企業間のデジタル連携は深まっています。
- クラウドサービス、SaaS
- 多くの企業が同じクラウドサービスやSaaSを利用しています。サービス提供者がランサムウェア攻撃を受けた場合、すべての利用企業に影響が及ぶ可能性があります。
- データ連携の増加
- APIによるシステム連携、EDI(電子データ交換)、共有ポータルなど、企業間のデータ連携が増加しています。これにより、一社への侵入が他社へのアクセス経路となるリスクが高まっています。
- リモートワークの普及
- リモートワークの普及により、外部からのアクセスが増加しています。委託先スタッフが使用するVPNやリモートアクセスツールが、侵入経路となるケースも報告されています。
国内被害事例
イセトー(2024年5月)
2024年5月に発生したイセトーへのランサムウェア攻撃は、サプライチェーン攻撃の深刻さを示す事例です。
- 被害概要
- 印刷・データ処理会社であるイセトーがランサムウェア攻撃を受けました。イセトーは、自治体、金融機関、企業から印刷業務やデータ処理業務を受託していました。
- 影響範囲
- 委託元から預かっていた約150万件以上の個人情報が漏洩の対象となりました。影響を受けた組織は、自治体(住民の納税情報等)、金融機関(顧客情報)、企業(従業員・顧客情報)など多岐にわたりました。
- 波及の構造
- イセトー自身は攻撃の被害者ですが、委託元にとっては、預けたデータが漏洩するという被害を受けました。委託元は、自社のシステムは攻撃されていないにもかかわらず、情報漏洩の対応を迫られました。
- 教訓
- 委託先のセキュリティ対策状況の確認、委託するデータの最小化、契約上の責任範囲の明確化が重要です。「委託したから安心」ではなく、委託先を含めたリスク管理が必要です。
小島プレス工業(2022年3月)
2022年3月に発生した小島プレス工業への攻撃は、製造業サプライチェーンへの影響を示す事例です。
- 被害概要
- トヨタ自動車の部品サプライヤーである小島プレス工業がランサムウェア攻撃を受けました。
- 影響範囲
- 小島プレス工業のシステム停止により、部品供給が滞り、トヨタは全14工場の稼働を1日停止しました。約1万3,000台の生産に影響が出ました。
- 波及の構造
- 自動車製造は「ジャストインタイム」方式を採用しており、部品供給の遅延が即座に生産停止につながりました。1社への攻撃が、サプライチェーン全体に波及する事例となりました。
- 教訓
- 製造業では、サプライヤーのセキュリティ対策が自社の事業継続に直結します。サプライチェーン全体でのセキュリティレベルの底上げ、代替サプライヤーの確保、IT-BCPの整備が重要です。
その他の事例
サプライチェーン経由の攻撃事例は他にも報告されています。
| 時期 | 概要 | 影響 |
|---|---|---|
| 2021年 | 大手電機メーカー子会社 | 親会社・グループ会社に影響 |
| 2023年 | 医療関連システムベンダー | 複数の医療機関に影響 |
| 2024年 | 物流会社 | 荷主企業の出荷に影響 |
委託先・取引先のセキュリティ評価方法
評価項目
委託先・取引先のセキュリティ状況を評価するための項目を整理します。
| 評価カテゴリ | 確認項目 | 確認方法 |
|---|---|---|
| 技術的対策 | EDR導入、MFA、パッチ管理 | チェックリスト、ヒアリング |
| 運用体制 | セキュリティ担当者、ポリシー | 文書確認、ヒアリング |
| インシデント対応 | 対応計画、報告体制 | 計画書確認、演習確認 |
| 教育・訓練 | 従業員教育、訓練実施 | 実施記録確認 |
| 第三者認証 | ISMS、Pマーク、SOC2 | 認証証明書確認 |
- 技術的対策の確認ポイント
-
・エンドポイント対策(アンチウイルス、EDR)
・認証強化(MFA、パスワードポリシー)
・パッチ管理(更新頻度、適用状況)
・バックアップ(方式、頻度、保管場所)
・ネットワーク分離(重要システムの隔離) - 運用体制の確認ポイント
-
・セキュリティ責任者の設置
・セキュリティポリシーの策定・運用
・アクセス権管理(最小権限の原則)
・ログ管理(取得、保存、監視)
・変更管理(システム変更の手続き) - インシデント対応の確認ポイント
-
・インシデント対応計画の策定
・連絡体制(委託元への報告ルート)
・対応訓練の実施状況
・証拠保全の手順
評価方法
- チェックリストによる自己評価
- 委託先に対してセキュリティチェックリストを配布し、自己評価を回答してもらいます。IPAや業界団体が公開しているチェックリストを活用できます。ただし、自己評価は過大評価になりがちなため、他の方法と組み合わせることが重要です。
- ヒアリング・訪問調査
- 重要な委託先に対しては、ヒアリングや訪問調査を実施します。実際の運用状況を確認し、チェックリストでは分からない実態を把握します。
- 第三者認証の確認
- ISMS(ISO 27001)、Pマーク、SOC2レポートなどの第三者認証の取得状況を確認します。認証を取得していれば一定のセキュリティ水準が担保されますが、認証の範囲と実際の業務範囲が合致しているかも確認が必要です。
- 脆弱性情報の監視
- 委託先が使用しているシステムやサービスの脆弱性情報を監視します。サプライチェーン攻撃に関連する脅威情報にも注意を払います。
契約書に盛り込むべきセキュリティ条項
必須条項
委託契約書に盛り込むべきセキュリティ関連条項を整理します。
- セキュリティ対策義務
- 委託先が実施すべきセキュリティ対策を具体的に規定します。「適切な対策を講じる」といった曖昧な表現ではなく、具体的な対策項目(MFA導入、パッチ適用期限など)を明記することが重要です。
- インシデント報告義務
- セキュリティインシデントが発生した場合の報告義務を規定します。報告すべき事象の範囲、報告の期限(例:24時間以内)、報告先、報告内容を明確にします。
- 監査権
- 委託元が委託先のセキュリティ状況を監査する権利を規定します。定期監査、随時監査の実施、監査への協力義務を明記します。
- 再委託の制限
- 再委託(委託先がさらに別の業者に委託すること)を制限または承認制とします。再委託先にも同等のセキュリティ要件を課すことを規定します。
- 損害賠償条項
- 委託先のセキュリティ不備に起因する損害の賠償責任を規定します。賠償範囲、上限額、免責事項を明確にします。
条項例の方向性
具体的な契約条項の文言は、法務部門や弁護士と協議の上で作成する必要があります。以下は、条項に含めるべき要素の方向性です。
| 条項 | 含めるべき要素 |
|---|---|
| セキュリティ対策義務 | 具体的な対策項目、対策水準、遵守確認方法 |
| インシデント報告義務 | 報告対象、報告期限、報告先、報告内容 |
| 監査権 | 監査頻度、監査範囲、協力義務、改善要求権 |
| 再委託制限 | 承認手続き、再委託先への要件適用 |
| 損害賠償 | 賠償範囲、上限、求償権 |
- 契約見直しのタイミング
- 既存の委託契約についても、セキュリティ条項の見直しを検討してください。契約更新時や、重大なセキュリティインシデントが業界で発生した際が見直しの好機です。
インシデント発生時の連携体制
委託先でインシデントが発生した場合
委託先でランサムウェア被害が発生した場合の対応を事前に準備しておくことが重要です。
- 連絡体制の事前構築
- インシデント発生時の連絡先、連絡手段、エスカレーションルートを事前に確認しておきます。通常の連絡手段(メールなど)が使用できない場合の代替手段も確認します。
- 情報共有のルール
- インシデント発生時にどのような情報を共有するかのルールを事前に決めておきます。被害範囲、漏洩の可能性があるデータ、復旧見込みなど、必要な情報項目を明確にします。
- 対応の役割分担
- 委託元と委託先で、誰が何を担当するかを明確にします。外部への公表は委託元が行うのか委託先が行うのか、フォレンジック調査は誰が手配するのかなど、責任範囲を事前に合意しておきます。
自社が委託元に与える影響への備え
自社がランサムウェア被害を受けた場合、委託元(自社にとっての顧客・取引先)にも影響を与える可能性があります。
- 報告義務の確認
- 委託元との契約で、インシデント報告義務がどのように規定されているかを事前に確認しておきます。報告期限、報告内容、報告先を把握しておきます。
- 連絡体制の整備
- 複数の委託元がある場合、それぞれへの連絡体制を整備しておきます。緊急時に迅速に連絡できるよう、連絡先リストを最新の状態に維持します。
- 対応手順の準備
- インシデント対応計画に、委託元への報告・対応の手順を含めておきます。どのタイミングで、誰が、どのような内容を報告するかを事前に決めておくことで、インシデント発生時に混乱を避けられます。
よくある質問(FAQ)
- Q: サプライチェーン攻撃は増加していますか?
- A: はい、増加傾向にあります。イセトー、小島プレス工業の事例のように、委託先や取引先を経由した攻撃が国内でも複数発生しています。攻撃者にとって、1社への攻撃で複数社に影響を与えられるサプライチェーン攻撃は効率的な手法であり、今後も増加が予測されます。自社のセキュリティ対策だけでなく、サプライチェーン全体でのリスク管理が重要です。
- Q: 委託先のセキュリティ対策を自社で強制できますか?
- A: 契約上の規定があれば、一定の対策を求めることは可能です。ただし、委託先の経営に過度に介入することは難しいため、契約時の条件設定、定期的な評価、取引継続の判断材料としての活用が現実的なアプローチです。業界全体でセキュリティ基準を策定し、共通の要件として求める動きも出てきています。
- Q: 中小企業でもサプライチェーン攻撃への対策は必要ですか?
- A: はい、必要です。中小企業は、大企業のサプライチェーンの一部として攻撃の標的となる可能性があります。自社が攻撃を受けることで、取引先である大企業に影響を与え、取引停止や損害賠償につながるリスクがあります。中小企業向け対策ガイドを参考に、基本的な対策を実施することをお勧めします。
- Q: 委託先が攻撃を受けた場合、自社に法的責任はありますか?
- A: 個人情報の取り扱いを委託していた場合、委託元にも一定の監督責任があります。個人情報保護法では、委託先の監督義務が規定されています。ただし、適切な委託先選定、契約上の安全管理措置の規定、必要な監督を行っていた場合は、責任が軽減される可能性があります。詳細はランサムウェアと法的責任をご参照ください。
- Q: 委託先のセキュリティ評価はどの程度の頻度で行うべきですか?
- A: 重要度に応じて頻度を設定することをお勧めします。重要な業務を委託している先、機微な個人情報を扱う先は年1回以上、その他は2-3年ごとなど、リスクに応じた頻度を設定します。また、契約更新時や、業界で重大なインシデントが発生した際には、臨時の評価を検討してください。
まとめ
サプライチェーン経由のランサムウェア攻撃は、自社のセキュリティ対策だけでは防ぎきれない脅威です。イセトーの事例では約150万件の委託元個人情報が漏洩し、小島プレス工業の事例ではトヨタの全工場が停止するなど、その影響は甚大です。
委託先・取引先のセキュリティ状況を評価し、契約書にセキュリティ条項を盛り込み、インシデント発生時の連携体制を構築することで、サプライチェーンリスクを軽減できます。自社を守ることは、取引先を守ることでもあり、サプライチェーン全体のセキュリティ強化につながります。
フィッシング対策、マルウェア対策、バックアップ戦略など、自社の基本対策を徹底するとともに、サードパーティリスク管理の観点から、サプライチェーン全体のセキュリティ向上に取り組んでください。
【ご注意・免責事項】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する専門的助言ではありません
- 契約条項の作成については、法務部門・弁護士にご相談ください
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 記載内容は作成時点の情報です
関連リンク
2025年最新動向
対策を学ぶ
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
