近年、企業を狙ったサイバー攻撃は高度化・巧妙化しており、自社だけでなく取引先や委託先を経由して侵入するケースも増えています。こうした手口は「サプライチェーン攻撃」と呼ばれ、単一企業の対策だけでは防ぎきれない点が特徴です。
自社のセキュリティ対策を強化していても、関連企業の弱点が入り口となる可能性があるため、攻撃の仕組みや被害の実態を正しく理解しておくことが重要です。本記事では、サプライチェーン攻撃の種類や具体的な侵入パターン、実際の被害事例、対策の考え方などを解説します。
目次
サプライチェーン攻撃とは、標的となる企業に直接侵入を試みるのではなく、その企業と取引関係にある関連会社や委託先などを経由して不正アクセスを行う攻撃手法です。攻撃者は比較的対策が手薄な企業に侵入し、そこを足がかりとして本来の標的へと接近します。
サプライチェーンは複数の企業や組織で構成されているため、セキュリティ対策の水準は一律ではありません。そのため、自社が十分な対策を講じていたとしても取引先や委託先が侵害されることで間接的に被害を受ける可能性があります。
従来のサイバー攻撃は、標的企業のシステムや従業員を直接狙うケースが一般的でした。メールによるフィッシングや脆弱性を突いた侵入など、攻撃対象は基本的に単一の企業です。
一方、サプライチェーン攻撃では攻撃経路が複数企業にまたがります。標的企業そのものではなく、関連企業のネットワークやアカウントを通じて侵入するため、被害の範囲が広がりやすく発覚までに時間を要する場合もあります。
攻撃対象が「一社」ではなく、「取引網全体」に広がる点が従来のサイバー攻撃との大きな違いです。
サプライチェーン攻撃は自社単独の対策では防ぎにくい性質を持つため、関連企業や利用するソフトウェアまで侵害されると、その影響が広範囲に及ぶことがあります。
ここでは、実際に起こった被害について具体的に解説します。
2025年12月、通販・ネット販売を行う企業が10月にランサムウェア攻撃を受け、一部顧客情報や取引先の情報など、約72万件のデータ流出が確認されたと発表しました。さらに、物流センターの出荷業務が停止するなど、事業運営にも大きな影響が生じました。
攻撃者はネットワークに侵入後、物流システムや社内システムを暗号化し使用不能にし、外部クラウドサービスのアカウント窃取を経て情報を流出させたと報じられています。
侵入経路としては、多要素認証(MFA)が適用されていなかった委託先の管理者アカウントが悪用されたと分析されています。
参考:アスクル、ランサムウェア攻撃の詳細な調査結果を公開~個人情報など72万件以上の流出確認 - INTERNET Watch
2025年4月、プレスリリース配信を行っている事業者のシステムが外部から侵害され、個人情報や公開前のリリース内容などが外部に流出したと公表されました。管理者専用ページでは多段階の認証が導入されていましたが、それでも不正なアクセスが確認されています。
この事例は、情報発信基盤として多くの企業が共通で利用するサービスが攻撃を受けた場合、単一の事業者にとどまらず、その利用企業にも影響が広がり得ることを示しています。外部サービスの安全性が、そのまま自社のリスクにも直結する構造を浮き彫りにしたケースといえます。
参考:PR TIMES、不正アクセスによる情報漏えいの可能性に関するお詫びとご報告
2024年3月、Linux環境で広く用いられている圧縮ツール「XZ Utils」に悪意あるコードが挿入されていたことが判明しました。このコードは特定条件下で外部からのリモートアクセスを可能にするもので、SSHを介してシステム全体に不正侵入される恐れがありました。
XZ UtilsはDebianやRed Hat、Ubuntuといった主要Linuxに組み込まれているツールであることから、この問題は世界中の企業や組織に影響が及ぶ可能性が高いと報告されています。
この件は情報処理推進機構(IPA)の「情報セキュリティ10大脅威2025」においても取り上げられており、サプライチェーン上のソフトウェアそのものの脆弱性が重大なリスクになる例として位置付けられています。
サプライチェーン攻撃と一口にいっても、侵入経路や攻撃対象によって以下のような類型に分けられます。
ビジネスサプライチェーン攻撃
サービスサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃
これらの代表的な3つの手口について、以下から解説します。
ビジネスサプライチェーン攻撃は標的の企業そのものではなく、業務上つながりのある子会社や関連会社、取引先などを経由して侵入を図る手法です。攻撃者は比較的対策が弱いと判断した企業に先に侵入し、ネットワーク接続や共有アカウント、業務システム連携などの仕組みを通じて本来の標的へとアクセスを広げていきます。
この手口の特徴は、企業間の信頼関係や日常的な業務連携を利用する点にあります。取引先とのデータ共有やリモート保守接続など、業務上不可欠な接続経路が攻撃の入り口になることがあります。
自社が十分な対策を講じていても、接続先の管理体制が不十分であればリスクが残るため、サプライチェーン全体を視野に入れた対策が求められます。
サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダ)などのITサービス事業者を侵害し、そのサービスを利用している顧客企業へ被害を波及させる手法です。攻撃者はサービス提供側のシステムや管理環境に侵入し、そこから顧客環境へアクセスできる経路を悪用します。
ITサービス事業者が複数企業のネットワークや端末を横断的に管理している場合、一つの侵害が連鎖的な被害につながる可能性があります。そのため、サービス提供者側のセキュリティ対策と合わせて利用企業側も接続範囲や権限の設定を適切に管理することが重要です。
ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発や配布の工程に不正コードを混入させ、正規のプログラムを通じて標的に侵入する手法です。攻撃者はソフトウェア開発企業のシステムやダウンロードサイトに侵入し、不正なコードを組み込んだ更新プログラムなどを配布します。
広く利用されているソフトウェアに不正コードが混入した場合、その影響は多数の企業に及ぶ可能性があります。正規のアップデートを装って侵入が行われるため、利用企業側が気づきにくい点が特徴です。
サプライチェーン攻撃は、特定の一つの方法だけで行われるものではありません。攻撃者は、企業間の信頼関係や日常的に利用している仕組みを利用しながら複数の経路を組み合わせて侵入を試みます。
サプライチェーン攻撃のパターンとして、以下のような内容が挙げられます。
ソフトウェア更新プログラムを悪用した侵入
外部ソフトウェアライブラリ・依存関係の侵害
メールを起点とした人的ミスによる侵入
業務委託先・関係者アカウントの悪用
それぞれ、詳しく見ていきましょう。
サプライチェーン攻撃の代表的な攻撃パターンとして、正規の更新プログラムやアップデート機能を利用して不正コードを配布する手法が挙げられます。攻撃者はソフトウェア提供元の開発環境や配布サーバに侵入し、不正なプログラムを組み込んだ状態でアップデートを公開します。利用企業は正規の更新だと認識したまま適用するため、不審に思われにくい点が特徴です。
この手口は、広く利用されているソフトウェアであればあるほど影響範囲が拡大しやすいです。信頼しているベンダーの更新機能が侵害されることで、多数の企業が同時に被害を受ける可能性があります。
外部ソフトウェアライブラリなどへの侵入も、サプライチェーン攻撃の一つです。業務システムやアプリケーションは、外部のライブラリやオープンソースソフトウェアを組み合わせて構築されることが一般的です。攻撃者はこれらの部品となるソフトウェアに不正なコードを混入させることで、間接的に多数の企業へ影響を及ぼします。
開発者が正規のライブラリを取得したつもりでも、配布元が侵害されていれば不正コードが組み込まれる可能性があります。依存関係が複雑になるほど、どこにリスクが潜んでいるのか把握しづらい点が課題です。
サプライチェーン上の企業に対してフィッシングメールや不正な添付ファイルを送り、従業員の操作を通じて侵入する手法も多く確認されています。特に、実在する取引先を装ったメールは信頼性が高く見えるため、被害につながりやすい傾向があります。
一社が侵害されると、攻撃者はその企業のメールアカウントや連絡網を利用してさらに別の企業へ拡散を試みます。人的なミスを起点に、取引網全体へ被害が広がる点が特徴です。
外部委託先や関連企業の管理者アカウントが不正利用されるケースもあります。リモート保守やシステム運用のために付与された権限が攻撃者に悪用されると、内部ネットワークへ比較的容易に侵入される可能性があります。
特に、多要素認証が設定されていないアカウントや利用状況の監視が不十分なアカウントは狙われやすい傾向があります。業務上必要な接続や権限がそのまま侵入経路として利用され得る点が、この攻撃パターンの特徴です。
サプライチェーン攻撃が実際に起こると、企業活動にとって以下のような深刻な影響が生じます。
個人情報・機密情報の大量漏えい
基幹システム・業務システムの停止
ランサムウェアによる業務継続不能
生産停止・サービス提供の長期化
取引先・顧客を巻き込む二次被害
実際に発生したサプライチェーン攻撃のケースをもとに、それぞれのリスクについて詳しく解説します。
業務委託先企業や取引先が侵害されると、そこに保管されていた顧客情報や従業員の個人情報、業務データなどが盗み出されるケースが発生しています。
具体例としては、全国の自治体などからデータ処理を受託していた企業がランサムウェアに感染し、150万件以上の個人情報が漏えいした事件が報告されています。こうした情報漏えいは顧客離れや法的責任、企業ブランドへの重大な打撃につながります。
サプライチェーン上の弱点を突かれた攻撃が発展すると、企業の基幹システムや主要な業務システムが使えなくなることもあります。
大手自動車メーカーの主要サプライヤーがランサムウェアに感染した際は、サプライヤー側が感染拡大を避けるためにサーバを停止した結果、1万3000台もの生産に遅延が生じたという影響が報告されています。こうしたシステム停止は、日々の業務そのものを止めてしまうリスクをはらんでいます。
電子カルテや医事会計などの重要システムが暗号化されると、日常の業務継続が困難になるケースがあります。
大阪府内の総合病院が給食事業者のネットワークを踏み台にされたランサムウェア攻撃で電子カルテや基幹系システムが暗号化され、一時的に使用不能となった事例があり、緊急以外の診療が停止するなどの医療提供体制に深刻な影響が出ました。
サプライチェーン攻撃は、工場や店舗での生産・提供活動を長期的に停止させることもあります。主要サプライヤーの被害が発端となった自動車メーカーの工場停止は大きな生産遅延を招き、複数工場で操業が停止する事態にまで発展しました。
これにより製品供給の遅れや納期の見直しが必要になり、関連するサプライヤーや顧客にも連鎖的な影響が及びます。
サプライチェーン攻撃は元々のターゲット企業だけでなく、関係企業や顧客まで影響を受けることがあります。宿泊予約サイトに対して行われたサプライチェーン攻撃では、ホテルを介した侵入のあとに予約者のアカウント情報が窃取され、偽サイトへ誘導する被害も発生しています。
サプライチェーン全体がつながっているため、侵害は当事者企業にとどまらず、サービスを利用する顧客にまで広がる可能性があります。
サプライチェーン攻撃は、自社単独の対策だけでは防ぎきれない側面があります。そのため、ネットワーク設計やアカウント管理といった技術的対策に加え、組織的な取り組みや取引先を含めた対応範囲の整理が求められます。
サプライチェーン攻撃の対策として、以下のような方法が挙げられます。
境界を意識したネットワーク構成
侵入後を前提とした端末・アカウント管理
人的リスクを抑える組織的な対策
取引先・委託先を含めた対策範囲の整理
SCS評価制度の活用
それぞれ、詳しく見ていきましょう。
サプライチェーン攻撃では、外部企業や委託先との接続部分が侵入口になることがあります。そのため、社内ネットワークと外部接続領域を明確に分離し、アクセス経路を制御する設計が重要です。
具体的には、「外部からのリモート接続用ネットワークと基幹システムを直接つなげない構成にする」「通信経路を最小限に限定する」といった対策が挙げられます。万が一、侵入が発生した場合でも、影響範囲を局所化できる構造を意識することが基本となります。
完全に侵入を防ぐことは難しいという前提で、侵入後の被害拡大を防ぐ対策も重要です。特に、管理者アカウントや業務委託先に付与された権限の管理は慎重に行う必要があります。
多要素認証の導入や不要な権限の削減、利用状況のログ監視などを徹底することで、不正利用の早期発見につながります。さらに、端末ごとのセキュリティ対策や脆弱性管理を行うことで、横方向への感染拡大を抑える効果が期待できます。
サプライチェーン攻撃の入り口は、技術的な脆弱性だけではありません。取引先を装ったメールや不審なリンクをきっかけに侵入されるケースも多く報告されています。
そのため、従業員に対するセキュリティ教育や訓練を継続的に実施し、不審な挙動に気づける体制を整えることが必要です。さらに、インシデント発生時の報告経路や対応手順を明確にしておくことで被害の拡大を防ぎやすくなります。
自社の対策だけを強化しても、取引先や委託先の管理体制が不十分であればサプライチェーン全体としてのリスクは残ります。そのため、契約やガイドラインを通じて一定水準のセキュリティ対策を求めることが重要です。
取引開始時のセキュリティ確認や定期的な対策状況の見直しなどを行うことで、対策レベルのばらつきを抑えることができます。サプライチェーン攻撃を防ぐには自社だけでなく、関係先を含めた管理体制を継続的に確認することが欠かせません。
サプライチェーン全体で一定水準のセキュリティを確保するための仕組みとして、近年SCS評価制度が検討されています。この制度では、企業のセキュリティ対策状況を★3~★5の段階で評価し、共通の基準に基づいて可視化します。
評価基準は、IT基盤を対象に統治や識別、防御といった観点や取引先管理を含めた項目で構成されています。制度を活用することで、自社の対策水準を整理するとともに取引先に求める水準を明確にすることが可能になります。
サプライチェーン攻撃への備えとして個別の対策にとどまらず、評価基準を活用した体系的な見直しを進めることが現実的な対応策の一つといえるでしょう。
SCS評価制度については、以下の記事で詳しく紹介しています。
引用元:システム開発のIC
サプライチェーン攻撃への対策は、ネットワーク構成の見直しやアカウント管理の整理、既存システムとの整合性確認など、業務とシステムの両面から全体像を把握したうえで進める必要があります。しかし、自社だけで対応方針を整理することが難しいケースも少なくありません。
ICは、ITソリューションやシステム開発を手がけており、企業ごとの業務内容や既存環境を踏まえた支援を行っています。単なるツール導入ではなく、現在のシステム構成や運用状況を整理しながら実務に即した形で対策を組み立てます。
また、既存システムの課題整理から要件の明確化、設計・開発、導入後の運用を見据えた支援まで対応することが可能です。サプライチェーン攻撃への対策やシステム基盤の見直しを検討している場合は、ぜひICにご相談ください。
サプライチェーン攻撃は、取引関係や外部サービス、ソフトウェアの更新経路など、企業間のつながりを利用して侵入する攻撃です。個人情報の漏えいや基幹システムの停止、生産やサービスの長期停止など、企業活動に重大な影響を及ぼす可能性があります。
サプライチェーン攻撃の対策としては、ネットワーク構成の見直しやアカウント管理の強化、従業員教育の実施に加え、取引先や委託先を含めたセキュリティ水準の整理が欠かせません。自社単独の防御だけでなく、サプライチェーン全体を一つのリスク領域として捉える視点が求められます。