「サプライチェーン攻撃」は、情報セキュリティにおける重大な脅威の1つです。サプライチェーン攻撃による被害は広範囲に及ぶ可能性があるため、企業には綿密な対策が求められます。
本記事では、サプライチェーン攻撃の仕組みや、具体的な手口について解説します。被害事例や対策も紹介するので、ぜひ参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
サプライチェーン攻撃とは
サプライチェーン攻撃とは、企業の取引先や子会社、導入しているツールなど、企業のビジネス上のつながりを利用したサイバー攻撃手法です。比較的セキュリティ対策が手薄な企業やサービスを踏み台にすることで、よりセキュリティ対策が強固な企業に攻撃を仕掛けます。
サプライチェーン攻撃の目的
サプライチェーン攻撃の目的は、主に以下の3パターンです。
- ・金銭的利益を得ること
- ・企業の業務を妨害すること
- ・企業の機密情報を窃取すること(産業スパイ)
例えば、金銭目的の場合は、ランサムウェアによってデータを利用できなくし、元に戻すことを条件に身代金を要求するケースなどがあります。
サプライチェーン攻撃の国内動向
IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威 2025」では、「サプライチェーンや委託先を狙った攻撃」は「ランサムウェアによる攻撃」に次ぐ2位に位置しています。
2019年に10大脅威の1つとして取り扱われるようになって以降、徐々に順位を上げていることから、サプライチェーン攻撃の脅威は年々増加していると考えられます。
※参考:情報セキュリティ10大脅威 2025|独立行政法人情報処理推進機構
PPAP対策やメールセキュリティ強化サービス
資料ダウンロードサプライチェーン攻撃の3つの手口
サプライチェーン攻撃の手口は、「ソフトウェアサプライチェーン攻撃」「サービスサプライチェーン攻撃」「ビジネスサプライチェーン攻撃」の3つに分類されます。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃とは、ソフトウェアの開発・提供経路を侵害し、不正なコードを埋め込むことでターゲット企業に侵入する手口です。攻撃者は、まずオープンソースコードやシステム管理ツールなどの開発企業に侵入し、これらのソフトウェアそのものやアップデートプログラムに不正なコードを埋め込みます。
広く利用されているソフトウェアが悪用されることで、被害が広範囲に及ぶ危険性があります。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃とは、企業が利用する外部サービス事業者を踏み台とした攻撃手法です。攻撃者は、マネージドサービスプロバイダやクラウドベンダなどに侵入し、それらの事業者が提供するサービスを通じて顧客企業に攻撃を仕掛けます。
ソフトウェアサプライチェーン攻撃と同様、ユーザ数の多いサービスほど被害が拡大しやすい傾向があります。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃とは、ターゲット企業の子会社や関連会社、取引先などを踏み台とした攻撃手法です。「アイランドホッピング攻撃」や「グループサプライチェーン攻撃」と呼ばれることもあります。
攻撃者は、標的と業務上のつながりを持つ企業の脆弱性につけ込み、それらの周辺企業を侵入経路として最終的な標的に攻撃を仕掛けます。サプライチェーン攻撃の中でも、最も一般的とされている手口です。
PPAP対策やメールセキュリティ強化サービス
資料ダウンロードサプライチェーン攻撃による被害事例
ここからは、IPAが公表している資料をもとに、サプライチェーン攻撃による3つの被害事例を紹介します。
事例1. 製造業サプライヤーのランサムウェア感染
部品製造会社がランサムウェアに感染し、事業停止に追い込まれた事例です。当該企業の子会社が使用していたリモート接続機器の脆弱(ぜいじゃく)性につけ込まれ、親会社のネットワークもろとも攻撃者による侵害を受けました。
その結果、最終製品の製造会社の全工場が稼働停止してサプライチェーン全体に甚大な影響を及ぼし、推定500億円の被害が出ました。
※参考:実務者のためのサプライチェーンセキュリティ手引書|独立行政法人情報処理推進機構
事例2. 港湾システムのランサムウェア感染
港湾システムがランサムウェアに感染し、コンテナの搬入・搬出業務に大規模な遅延が発生した事例です。37隻の船舶のスケジュールと、約2万本のコンテナの搬入・搬出に影響が及び、完全復旧まで3日を要しました。
推定される侵入経路としては 、脆弱性のあるVPN機器や外部記憶媒体、外部事業者と連携しているネットワークなどが考えられています。
※参考:実務者のためのサプライチェーンセキュリティ手引書|独立行政法人情報処理推進機構
事例3. 業務委託先のマルウェア感染による情報漏洩
ITインフラの運用・メンテナンスを受けていた企業がマルウェアに感染し、それを足がかりとして一次請け企業や発注元企業が不正アクセスの被害に遭った事例です。一次請け、二次請け企業のセキュリティ対策に不備があったことに加え、発注側が業務委託先を適切に管理できていなかったことにも問題があるとされています。
結果として、発注元企業が保有する約52万件の個人情報が流出するに至りました。
※参考:実務者のためのサプライチェーンセキュリティ手引書|独立行政法人情報処理推進機構
PPAP対策やメールセキュリティ強化サービス
資料ダウンロードサプライチェーン攻撃の対策方法
サプライチェーン攻撃による不正アクセスや情報漏洩を防ぐためには、以下のような対策が求められます。
OSやソフトウェアを最新の状態に保つ
OSやソフトウェアのアップデートには、既知の脆弱性を解消するためのセキュリティパッチが含まれることがあります。OSやソフトウェアを古いバージョンのまま使用していると、セキュリティリスクが高まるので注意が必要です。
定期的にアップデートし、常に最新の状態に保つことが大切です。
パスワードを強化する
短く安易なパスワードは攻撃者から推測されやすく、ブルートフォース攻撃(総当たり攻撃)によって突破されるリスクが高まります。英数字や記号など、複数の種類の文字を組み合わせ、できるだけ長く複雑なパスワードを設定してください。
辞書に載っているような、一般的な単語やフレーズも避けるべきです。
社内向けのセキュリティ教育を実施する
サイバー攻撃のリスクを低減するためには、従業員一人ひとりがセキュリティ意識を高めることも重要です。「不審なメールや添付ファイルは開かない」「安全性の低そうなWebサイトにはアクセスしない」など、従業員のリテラシーを高めるために社内教育を行うことが推奨されます。
情報セキュリティの担当者は、最新の情報をキャッチできるよう常にアンテナを張ることが大切です。
セキュリティ対策ソフトを導入する
マルウェアによる攻撃への対策には、「感染を防ぐこと」と「感染後の被害を最小限に抑えること」の2つの柱があります。効果的な対策を実施するためには、以下のようなセキュリティ対策ソフトの導入が推奨されます。
- ・EPP(Endpoint Protection Platform):パソコンやサーバなどのエンドポイントを脅威から保護する
- ・EDR(Endpoint Detection and Response):EPPをすり抜けたマルウェアを検知・隔離する
EPPとEDRを併用すれば、セキュリティをより一層強固にすることが可能です。
インシデント対応の体制を構築する
サイバー攻撃の手法は日々進化しており、被害を完全に防ぐことは困難です。被害を最小限に抑えるため、実効的な対策の策定が求められます。インシデント発生時の対応フローや役割分担などを明確化し、万が一に備えた対応計画を策定してください。
新しい脅威にも対応できるよう、計画は定期的に見直すことが重要です。
PPAP対策やメールセキュリティ強化サービス
資料ダウンロードサプライチェーン全体のセキュリティ強化が重要
サプライチェーン攻撃によるリスクを抑えるためには、サプライチェーン全体でのセキュリティ強化が欠かせません。自社の被害を防ぐのはもちろん、関連会社や取引先などへの被害拡大防止の意味でも、サプライチェーン全体で隙のないセキュリティ体制を構築する必要があります。
具体的には、以下のような取り組みが有効です。
- ・サイバー攻撃に関する情報を収集し、自社だけでなく関連会社や子会社にも共有する
- ・取引先や委託先の選定時にセキュリテイ対策をチェックする
- ・契約書にセキュリティ要件を明記する
- ・契約後も取引先や委託先のセキュリティ対策を評価・監査する
- ・サプライチェーン全体でのセキュリティガイドラインを制定する
PPAP対策やメールセキュリティ強化サービス
資料ダウンロードまとめ
サプライチェーン攻撃とは、企業間のビジネス上のつながりを悪用したサイバー攻撃手法です。サプライチェーン攻撃を防ぐためには、自社のセキュリティ体制を強化しつつ、サプライチェーン全体での対策に取り組む必要があります。
サプライチェーン攻撃における侵入経路はさ まざまです。フィッシングメールによる認証情報の窃取や、不正なリンク・添付ファイルを介したマルウェア感染など、メールが起点となるケースも少なくありません。また、VPNやリモート接続機器、業務システムやソフトウェアの脆弱性、さらには偽のログインページ(フィッシングサイト)を利用した攻撃など、複数の経路から侵入される事例も報告されています。
メールセキュリティの強化には、「Cloud Mail SECURITYSUITE」の活用をぜひご検討ください。アンチウイルスやフィッシング対策、誤送信対策などの多様な機能により、「Microsoft 365」と「Google Workspace」のメールセキュリティを強化します。
必要な機能だけを選べ、月額200円から導入可能です。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
