サプライチェーン攻撃とは？最新の手口・事例から必須のセキュリティ対策まで徹底解説

サプライチェーン攻撃は、広範囲に大きな損害を与えるサイバー攻撃です。

本記事では、サプライチェーン攻撃の概要や種類、手口を踏まえ、被害リスクや被害事例をわかりやすく解説します。さらに具体的な対策も紹介しているので、企業のセキュリティ担当者の方はぜひ参考にしてください。

サプライチェーン攻撃とは

サプライチェーンは、自社のみならず他社を含めた、商品の企画・開発から原材料・部品の調達、製造、在庫管理、配送、販売、消費までの一連の流れを指します。サプライチェーン攻撃は、このサプライチェーンの脆弱性を狙ったサイバー攻撃のことです。

ターゲットの大企業はセキュリティレベルが高いため直接攻撃せず、サプライチェーン内のセキュリティレベルが低い関連企業や取引先、委託先企業を踏み台として大企業のネットワークに不正侵入を行います。特に、セキュリティ対策にあまりコストがかけられない中小企業が狙われやすいことが特徴です。

サプライチェーン攻撃の目的

攻撃者の主な目的は「金銭の取得」です。金銭目的でも、さらに以下の2つに大別できます。

金銭目的以外に、ターゲット企業の事業停止や社会的信用の失墜を狙うケースもあります。

ランサムウェアについては下記の記事でも解説しています

サプライチェーン攻撃が増加している背景

独立行政法人情報処理推進機構（IPA）が発表した『情報セキュリティ10大脅威 2025』では、組織の10大脅威において「サプライチェーンや委託先を狙った攻撃」が2位に挙げられています。

サプライチェーン攻撃が増加している背景には、サプライチェーンが発達して企業間ネットワークが広まった結果、大企業への踏み台となる比較的セキュリティ対策が手薄な関連企業や取引先企業、委託先企業が増加したことが考えられます。また、テレワークの普及によるリモートアクセスの増加など、サイバー攻撃の対象となりやすい情報システムの利用環境の変化も背景にあるといえます。

さらに、ダークウェブでセキュリティ上の脆弱性や攻撃手法の情報、攻撃ツールが提供されており、サイバー攻撃の技術的ハードルが下がっていることも大きな要因です。

「情報セキュリティ10大脅威2025」についてはこちらの記事で解説しています。

サプライチェーン攻撃の種類

サプライチェーン攻撃は、攻撃対象によって次の3種類に分けられます。

それぞれ解説します。

ビジネスサプライチェーン攻撃

ビジネスサプライチェーン攻撃は、関連企業や取引先、委託先企業など、ビジネス上のつながりのある企業を踏み台にして、ターゲット企業への侵入を図る攻撃手法です。この攻撃手法は、一度侵入した企業のネットワーク（島）から、他の関連企業のネットワーク（島）へ跳び移るように攻撃範囲を拡大させることから「アイランドホッピング攻撃」とも呼ばれます。

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は、クラウドやセキュリティを扱う外部のサービスプロバイダーを足掛かりに、そのサービスを利用する企業に攻撃を仕掛ける攻撃手法です。ネットワーク管理やデータ管理を行うサービスプロバイダーが被害を受けると、そのサービスを利用する企業のシステムにもマルウェアの感染や機密情報の漏えいなどのリスクが及ぶ可能性があります。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発プロセスや提供段階でマルウェアを混入させ、そのソフトウェアを導入した企業の端末やシステムに侵入する攻撃手法です。マルウェアが入り込んだ開発用ライブラリーやアップデートプログラムなどが、ソフトウェアの開発元が察知できないまま提供されるケースもあるため、企業側での対策が不可欠です。企業側では信頼できる提供元から入手したソフトウェアを使用し、常に最新の状態に保つといった基本的なセキュリティ対策を徹底することが重要です。

サプライチェーン攻撃の手口

サプライチェーン攻撃では、代表的なサイバー攻撃の手法が使われます。万全の対策を講じるために、どのような手口があるのか知っておくことが重要です。　

標的型攻撃メール

メールを足がかりにして、ターゲットである特定の企業や組織のシステムへの不正侵入を試みる手口です。具体的には、マルウェアが添付されたメールや、不正サイトへ誘導するリンクを含んだフィッシングメールを送付し、受信者に開封させます。件名には「重要」「緊急」「至急開封」などと書いてあることが多いため、慌ててメールを開くことがないように従業員の教育が必要です。

Webアプリケーションへの攻撃

ECサイトをはじめとするWebサイトにおけるWebアプリケーションの脆弱性を突き、データベース内における個人情報の改ざん・窃取（SQLインジェクション、クロスサイトスクリプティングなど）や、利用者が予期しない処理の悪用（クロスサイトリクエストフォージェリ：CSRF）を狙います。例えば、CSRF攻撃で管理画面に入られると、パスワードを含む各種利用者情報の変更や掲示板への不適切な書き込みをされるリスクがあります。

Webサーバーへの攻撃

Webサーバーの脆弱性を突いて、不正アクセスを試みる攻撃手法です。サプライチェーン攻撃では、セキュリティレベルの低い関連企業や取引先、委託先企業のWebサーバーにバックドア（裏口）をつくり、そこからターゲットの企業へ侵入する手口が多発しています。サプライチェーンに接続しているWebサーバーが一つでも侵入を許すと、被害が広範囲に拡大する恐れがあります。

ソフトウェアやアップデートプログラムの悪用

正規のソフトウェアやアップデートプログラムにマルウェアを混入したり、偽造アプリを配布したりする手口です。開発元や提供元のシステムへの侵入、あるいはリバースエンジニアリング（ソフトウェアやアプリなどの構造を分析すること）により、悪意のあるプログラムへと作り変えられます。オープンソースコードやシステム管理ツール、業界標準のアプリケーションなどは利用者が多いため、特に狙われやすいです。

サプライチェーン攻撃の被害リスク

サプライチェーン攻撃を受けた場合、実際にはどのような被害が生じるのでしょうか。ここでは、実際に発生した被害事例をもとに具体的なリスクを紹介します。　

個人情報や機密情報の漏えい

サプライチェーン攻撃を受けると、顧客情報や取引先情報が流出するリスクが高いです。委託先のランサムウェア感染をきっかけに、約150万件の個人情報が流出した事例も報告されています。また、新製品の設計図や経営戦略といった将来の事業に直結する機密情報を盗み出し、第三者に売却して金銭を得ようとするケースもあります。

システムの不正利用

攻撃者は、侵入したシステムを悪用したり、バックドアを設置して次のターゲットへの踏み台にしたりします。顧客や取引先への二次被害につながる場合があり、サプライチェーン全体にとって大きなリスクです。特に、大手サービスプロバイダーのシステムが不正に操作されると、広範囲に影響が出る恐れがあります。

システム停止・業務停止

ランサムウェア感染によって社内システムや生産ラインが停止してしまうと、事業活動に甚大な影響が出ます。部品サプライヤーのマルウェア感染が原因で、自社工場の操業ができなくなるケースもあります。サプライチェーン攻撃が原因でシステム停止に至る事例も多く、早期復旧を優先するあまり、攻撃者の要求に応じて身代金を支払ってしまうケースも少なくありません。

企業の信用失墜と賠償責任

サプライチェーン攻撃によって自社が被害を受けた場合でも、情報漏えいや業務停止が発生した事実は企業の信用低下につながります。その場合、ブランドイメージの毀損や取引の停止・拒否など、長期的な不利益が発生することが考えられます。さらに、顧客や取引先へも影響が広がることで、被害の規模によっては高額な賠償責任を負う可能性もあり、経営上の影響は計り知れません。

事業の停止・倒産

サプライチェーン攻撃がきっかけとなり、事業継続が困難になる事態も起こり得ます。甚大な被害が発生し、復旧に多大なコストと時間を要する場合には、資金繰りが悪化して倒産に至る可能性があります。特に経営体力のない中小企業がサイバー攻撃を受けると、損失に耐えられずに廃業まで追い込まれるリスクが高いです。

サプライチェーン攻撃を受けた企業の被害事例

ここでは、実際にサプライチェーン攻撃の被害に遭った国内企業の事例を紹介します。

物流企業のシステム停止

2024年9月、物流業務を担う企業のサーバーが不正アクセスによりランサムウェアに感染しました。これにより、入出庫システムが停止し、生産・出荷業務の一部を一時停止することとなりました。調査時には個人情報の漏えいは確認されなかったものの、サプライチェーン内の取引先にも出荷遅延や一時停止などの悪影響が出てしまったことが報告されています。被害を受けた物流企業は外部のセキュリティ専門業者による確認を行ったうえでシステムを復旧し、業務を再開しました。

取引先企業の情報漏えい

2024年5月、印刷業務を担う企業がVPN経由で不正アクセスを受け、ランサムウェア被害に遭いました。同年6月には、攻撃者グループのリークサイト内に窃取情報をダウンロードできるURLの掲載が確認されました。その後の調査により、市民や企業の情報など300万件近くの個人情報の漏えいが判明しています。契約終了後に削除されることになっていたデータが残っていたこともあり、自治体・企業の一部が損害賠償請求を検討しているという報道もありました。

悪意のあるコードの混入

2024年3月、Linux環境で普及しているOSS（Open Source Software）に、悪意のあるコードの混入が確認されました。悪意のあるコードは共同開発者の一人によって仕込まれたものであり、特定条件下でリモートからシステム全体に不正にアクセスできる脆弱性があったことが報告されています。この事例は、開発ライフサイクルのあらゆる段階において攻撃者が介入し得ることを示す実例となり、OSSの信頼性を大きく揺るがしかねない事件でもありました。

サプライチェーン攻撃への対策

サプライチェーン攻撃を防ぐためには、自社のセキュリティレベルを高めるだけでは不十分です。関連企業や取引先、委託先企業を含めたサプライチェーン全体で、セキュリティ対策の足並みをそろえることが必須となります。

自社で実施すべき基本的なセキュリティ対策

自社のセキュリティ対策には、堅牢なネットワーク環境の構築と、不審なアクセスを監視する仕組みづくりが重要です。ログを定期的に確認し、インシデントの早期発見と即時対応を図りましょう。OSと各種ソフトウェアは常に最新の状態に保ち、セキュリティパッチを適用して脆弱性を解消する必要があります。ウイルス対策ソフトやEPP/EDRといったセキュリティ製品を導入することも有効です。

ほかにも、複雑なパスワード設定や多要素認証なども不正アクセスの防止に役立ちます。万が一攻撃を受けた場合に備え、定期的なデータのバックアップとデータ回復手順の確認も欠かせません。

取引先・関連企業との連携による対策

取引先のセキュリティ状況を定期的に確認し、リスク評価や監査を実施します。サプライチェーン内企業との間でセキュリティに関する契約書を交わし、具体的なセキュリティ要件やセキュリティ事故への対応方法を明記しておく必要があります。

定期的にサプライチェーン全体の対策状況を把握し、セキュリティの課題が見られる場合は改善するように促します。取引先との連携を強化し、スムーズな情報共有ができる体制を構築することが大切です。

ガイドラインやフレームワークの活用

自社のセキュリティ体制の構築には、経済産業省の『サイバーセキュリティ経営ガイドライン』のほか、『情報セキュリティマネジメントシステム（ISO/IEC 27001）』や『サイバーセキュリティフレームワーク2.0（NIST CSF2.0）』といった国内外のセキュリティガイドラインやフレームワークを参考にすることが基本です。

また自動車産業であれば『自動車産業サイバーセキュリティガイドライン（自工会/部工会・サイバーセキュリティガイドライン）」、製造業であれば『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』、医療業界であれば『医療情報システムの安全管理に関するガイドライン』など業界ごとにセキュリティガイドラインが発行されているため、セキュリティ対策を検討する際に必ず確認しておきましょう。

特に、いずれのガイドラインにも共通して、ログの取得・監視による証跡管理や、バックアップと復旧体制の整備といった基本対策の重要性が示されています。こうした基本的な取り組みを押さえたうえで、自社に適したフレームワークを参考にすると効果的です。

『自動車産業サイバーセキュリティガイドライン』関連の記事はこちら

『医療情報システムの安全管理に関するガイドライン』関連の記事はこちら

インシデント発生時の対応体制の構築

サプライチェーン攻撃が発生した場合に備え、セキュリティインシデントに対応可能な専門チームであるCSIRT（Computer Security Incident Response Team）を設置することが望ましいです。経済産業省の『サイバーセキュリティ経営ガイドライン』でも、CSIRTの整備について言及されています。

CSIRTとは、マルウェア感染やシステム侵入、データ漏えいなどの情報セキュリティインシデントに対し、事前・事後の対応を体系的に行う専門部署のことです。ただし、単に部署を設置するだけでは不十分であり、体制や権限、対応手順の整備に加え、訓練や平時の準備活動までを一体的に推進する組織的な取り組みが求められます。

シーイーシーでは、以下のCSIRT関連サービスをご用意しています。

CSIRTスタートアップサポート

CSIRTインシデント訓練サービス

まとめ

サプライチェーン攻撃は、自社だけでなく関連企業や取引先、委託先企業のセキュリティ対策状況もリスク要因となり得ます。サプライチェーン全体での対策が不可欠であり、セキュリティガイドラインやフレームワークに沿ってセキュリティ体制を構築することが重要です。

ランサムウェア攻撃は、あらゆる規模や業種の組織にさまざまな手段で仕掛けられ、その手法は日々巧妙化しています。ランサムウェア攻撃の予防対策から、万が一被害に遭った場合の事後対応まで、専門家に相談してみませんか。初回のご相談は無料です。ぜひお気軽にお問い合わせください。

ランサムウェア攻撃に関する 資料ダウンロードはこちら

ランサムウェアに関連する記事はこちら

ランサムウェア相談窓口サービスはこちら

セキュリティ関連のダウンロード資料はこちら

セキュリティ関連のイベントはこちら

サプライチェーン攻撃関連のよくある質問