コラム
サプライチェーン攻撃の実際の被害は?
最新動向や対策方法も解説
企業のデジタル化が進む中、サプライチェーン攻撃による被害が深刻化しています。従来のセキュリティ対策では防ぎきれない新たな脅威として、政府機関や専門機関からも警鐘が鳴らされており、対策強化が急務となっています。
サプライチェーン攻撃は、信頼される取引先やサービスプロバイダを経由して標的企業に侵入する手法で、境界防御型のセキュリティでは検知が困難です。
本記事では、サプライチェーン攻撃の最新動向から具体的な被害事例、効果的な対策方法まで詳しく解説します。特に取引先のセキュリティに不安を感じる情報システム担当者や経営層にとって、必ず押さえておくべき内容です。
目次
サプライチェーン攻撃の最新動向
経産省のサプライチェーン強化に向けたセキュリティ対策評価制度
2025年4月14日、経産省は「サプライチェーン強化に向けたセキュリティ対策評価制度」の中間取りまとめを公表しました。2026年度開始予定のこの制度は、企業のサプライチェーン全体におけるセキュリティリスクを体系的に評価し、脆弱性の改善を促進することを目的としています。
制度では、企業が取引先やサービスプロバイダのセキュリティ状況を定期的に評価し、一定の基準を満たさない場合は改善を求める仕組みが導入される予定です。これにより、サプライチェーン全体のセキュリティレベル底上げと、攻撃の入り口となりやすい中小企業のセキュリティ強化が期待されています。
評価結果の可視化や共有機能により、企業間でのセキュリティ情報交換が促進され、より実効性の高い対策実施が可能です。制度開始に向けて、企業は自社のサプライチェーン管理体制の見直しと強化を進める必要があります。
出典:経済産業省/「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました
IPAや総務省でもリスクについて言及
IPA(情報処理推進機構)が2025年1月に発表した『情報セキュリティ10大脅威 2025』では、サプライチェーン攻撃が組織向けの2位にランクインしており、その深刻度の高さが明確に示されています。前年からの順位上昇は、実際の被害事例の増加と影響の拡大を反映したものです。
総務省が公表した「情報通信白書」においても、サプライチェーンリスクが新たな項目として追加されており、これは国家的な重要課題であることを示すものです。同白書では、デジタル化の進展に伴う新たなリスクとして、サプライチェーンを通じた攻撃の複雑化と被害の甚大化について詳しく分析されています。
これらの政府機関による言及は、サプライチェーン攻撃が企業単独では防ぎきれない性質を持ち、業界全体での協調した取り組みが不可欠であることを示しています。
出典: IPA 独立行政法人 情報処理推進機構/情報セキュリティ10大脅威 2025
サプライチェーン攻撃が増える背景
サプライチェーン攻撃が増加している主な背景には、中小企業のセキュリティの甘さやエンドポイントの増加があります。多くの大企業が高度なセキュリティ対策を講じる中、攻撃者は防御の薄い中小企業を標的とし、そこを経由して本命の標的にアプローチしています。
中小企業では、セキュリティ専門人材の不足、予算制約、セキュリティ意識の不足などにより、適切な対策が実施されていません。基本的なソフトウェア更新やパスワード管理さえ徹底されておらず、Windows Updateの放置、初期パスワードのまま使用、ウイルス対策ソフトの期限切れなど、攻撃者にとって格好の侵入経路となっています。
また、リモートワークの普及により、VPNを経由しない直接接続、個人デバイスの業務利用、セキュリティ設定が不十分な家庭用Wi-Fi経由でのアクセスなど、企業ネットワークに接続するエンドポイントが急激に増加し、攻撃対象領域が拡大しています。
エンドポイントのセキュリティ強化については、こちらの記事でも詳しく解説しています。
関連記事:EDRとは?セキュリティ対策の要となる技術の基本と導入メリット
サプライチェーン攻撃の種類
サプライチェーン攻撃は、攻撃対象や侵入経路によって複数の種類に分類できるものです。攻撃者は企業の信頼関係や依存関係を悪用し、様々な手法で標的に侵入を試みます。
以下では、代表的な3つの攻撃手法について、それぞれの特徴と具体的な手口を詳しく解説します。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、企業間の取引関係や信頼関係を悪用した攻撃手法です。攻撃者は標的企業の取引先や関連会社に侵入し、そこを足がかりとして本命の標的企業への攻撃を実行します。
この攻撃では、まず防御が比較的弱い中小企業や関連会社を標的とし、そこからより大きな企業へと侵入範囲を拡大していきます。取引先との信頼関係を利用することで、通常であれば疑われるような通信やファイル送信も正当なものとして受け入れられやすくなるのです。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃は、企業が利用する外部サービスやクラウドサービスを経由した攻撃手法です。多くの企業が業務効率化のために外部サービスを活用している現状を狙い、サービスプロバイダを侵害することで複数の顧客企業への同時攻撃を可能にします。
典型的な攻撃パターンとして、クラウドサービスプロバイダの管理画面への不正アクセス、マネージドサービス事業者のリモート管理ツールの悪用、SaaSアプリケーションの脆弱性を利用した顧客データへの不正アクセスなどがあります。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃は、企業が使用するソフトウェアの開発・配布過程を狙った攻撃手法です。攻撃者はソフトウェア開発企業やライブラリ提供者のシステムに侵入し、正規のソフトウェアにマルウェアやバックドアを仕込みます。
この攻撃の危険性は、ユーザー企業が信頼する正規のソフトウェアを通じて攻撃が行われるため、従来のセキュリティ対策では検知が非常に困難なことです。攻撃手法として、ソフトウェア開発環境への侵入によるソースコード改ざん、配布サーバーの侵害による正規ファイルの差し替えなどが報告されています。
サプライチェーンリスクの脅威
取引先経由の侵害を防ぐ
「可視化」と「継続管理」への実践的アプローチ
「サプライチェーンリスクとは?」
「なぜ自社だけの対策では不十分なのか?」
「対策方法は?」
――これらの疑問を解説したホワイトペーパーを、今すぐダウンロード!
サプライチェーン攻撃の被害事例
サプライチェーン攻撃は理論的な脅威ではなく、実際に深刻な被害をもたらしている現実的なリスクです。
以下では、過去に発生した代表的な被害事例を通じて、攻撃手法の巧妙さと被害の深刻さを具体的に解説します。これらの事例から、企業が直面する現実的なリスクと対策の重要性を理解できるでしょう。
ソフトウェア会社やサービスプロバイダからの侵入事例
2020年12月、米国のソフトウェア会社SolarWinds社製の「Orion」というネットワーク監視ツールに不正侵入に用いられるバックドアが含まれていることが発覚しました。この事件は、サプライチェーン攻撃の典型例として世界中に衝撃を与えました。
攻撃者は同社の開発環境に侵入し、正規のソフトウェア更新プログラムにマルウェアを仕込むことに成功したのです。その結果、Orionの自動更新機能を通じて、約18,000の顧客組織にマルウェアが配布されました。被害を受けた組織には、米国政府機関、大手IT企業、重要インフラ事業者などが含まれており、国家安全保障レベルの問題となりました。この事例の教訓は、信頼するソフトウェアベンダーであっても定期的なセキュリティ監査と、更新プログラムの段階的展開によるリスク分散が重要であることです。
宿泊予約サイトから侵入し宿泊施設を標的とした攻撃の事例
宿泊業界では、旅行者を装ったフィッシングメールによる攻撃事例が報告されています。攻撃者は、まず宿泊予約サイトの管理システムに侵入し、そこから個別の宿泊施設へと攻撃範囲を拡大しました。
具体的な手口として、攻撃者は予約確認や問い合わせを装ったメールを宿泊施設に送信し、不正なリンクを踏ませることでマルウェアに感染させました。その後、ホテル内のシステムへと侵入し、宿泊施設の業務システムだけでなく、宿泊予約客の個人情報にも被害が及びました。
この事例では、宿泊予約プラットフォームと個別施設の信頼関係が悪用されたのです。通常であれば疑うべきメールも、予約サイト経由の正当な連絡として受け取られやすく、従業員の警戒心を下げる効果がありました。また、一つの予約サイトの侵害により、複数の宿泊施設とその顧客に連鎖的な被害が発生した点も、サプライチェーン攻撃の典型的な特徴を示しています。この事例の教訓は、取引先からのメールであっても添付ファイルやリンクのセキュリティチェックを徹底し、従業員への継続的なセキュリティ教育が不可欠であることです。
フィッシングメール対策の従業員教育については、こちらの記事でも解説しています。
関連記事:「標的型攻撃メール訓練サービス」とは?効果と導入メリットを徹底解説
インストーラーにバックドアを仕込まれた事例
業務用チャットサービスにおいて、正規のインストーラーにバックドアを仕込まれた事例が発生しました。攻撃者は業務用チャットアプリケーションの配布サーバーに侵入し、正規のインストーラーファイルを改ざんしました。
改ざんされたインストーラーは正常なアプリケーションとして動作しましたが、背後では攻撃者が用意したバックドアが密かにインストールされていました。このバックドアにより、攻撃者は感染した端末への永続的なアクセス権を獲得し、企業内ネットワークへの侵入を可能にしたのです。
この攻撃の巧妙な点は、正規の配布チャネルを通じて悪意あるソフトウェアが配布されたことです。企業は信頼できるソースからダウンロードしたにもかかわらずマルウェアに感染し、アプリケーションが正常動作するため感染発見が困難でした。この事例の教訓は、正規の配布元からのダウンロードであってもファイルの完全性検証(ハッシュ値確認)と、インストール前のセキュリティスキャンが重要であることです。
サプライチェーン攻撃の対策
サプライチェーン攻撃への対策は、従来の境界防御型セキュリティでは限界があるため、包括的かつ多層的なアプローチが必要です。
以下では、効果的な対策として重要な2つのポイントについて詳しく解説します。これらの対策を適切に実施することで、サプライチェーン攻撃のリスクを大幅に軽減できます。
サプライチェーン全体のセキュリティ状況把握
サプライチェーン攻撃を防ぐためには、自社のセキュリティ対策だけでなく、取引先やサービスプロバイダのセキュリティ状況を継続的に把握し、管理することが不可欠です。つまり効果的なサプライヤー管理が攻撃防止の鍵となるのです。
効果的なサプライヤー管理では、以下の項目を定期的に評価する必要があります。
- 取引先のセキュリティポリシー
- 実装されている技術的対策
- インシデント対応体制
- 従業員のセキュリティ教育状況
継続的なモニタリング体制を構築し、リスクの変化を早期に察知できる仕組みを整備することが重要です。
具体的な管理手法として、セキュリティ評価シートによる定期的な自己評価、第三者機関による監査結果の提出要求、重要な取引先に対する現地視察やヒアリングの実施などが挙げられます。これらの継続的なサプライヤー管理を効率的に実現するためには、専用のシステム導入が有効です。手動での管理では限界があるため、リアルタイムでのリスク監視と評価機能を備えたソリューションの活用が推奨されます。
ネットワークの安全性を高める
サプライチェーン攻撃の多くは、ネットワークを経由した侵入や横断的な移動を伴うため、ネットワークレベルでのセキュリティ強化が極めて重要です。セキュリティ性能の高いネットワーク環境の構築により、攻撃の成功率を大幅に低下させることができます。
ネットワークセキュリティの強化策として、ゼロトラスト(すべてのアクセスを検証する考え方)ネットワークアーキテクチャの導入が効果的です。この手法では、ネットワーク上のすべての通信を検証し、必要最小限のアクセス権限のみを付与することで、侵入者の活動範囲を制限します。
さらに、EDR(エンドポイント検知・対応、端末での異常を監視するツール)ソリューションの導入により、端末レベルでの異常な活動を早期に発見し、攻撃の拡大を防げます。定期的なネットワーク設定の見直し、不要なサービスやポートの無効化、強固な認証システムの導入なども重要な対策です。
まとめ
サプライチェーン攻撃は、従来のセキュリティ対策では防御が困難な脅威として、政府機関からも重要課題に位置づけられています。
攻撃手法は、ビジネス・サービス・ソフトウェアの3つのサプライチェーンを標的とし、信頼関係を悪用します。SolarWindsや宿泊業界の事例が示すように、一つの侵害が連鎖的に広範囲な被害をもたらします。
効果的な対策には、サプライチェーン全体のセキュリティ状況把握とネットワークの安全性向上が不可欠です。AGSが提供する「サプライヤー・マネジメント・クラウド」は、取引先のセキュリティリスクを可視化し、継続的な監視体制を構築できるソリューションです。簡単操作でできる委託先の調査・管理により、サプライチェーン攻撃への予防的対策を支援し、企業の総合的なセキュリティ強化を実現します。
サプライチェーン攻撃は待ったなしの脅威です。自社のリスクを"見える化"し、先手を打つことが最も重要です。
サプライチェーンリスクの脅威
取引先経由の侵害を防ぐ
「可視化」と「継続管理」への実践的アプローチ
「サプライチェーンリスクとは?」
「なぜ自社だけの対策では不十分なのか?」
「対策方法は?」
――これらの疑問を解説したホワイトペーパーを、今すぐダウンロード!
