サプライチェーン攻撃とは？手口・事例・対策を解説｜企業が今すぐ行うべきセキュリティ対策

サプライチェーン攻撃による被害が世界中で増加しています。自社がどれほど強固なセキュリティを構築していても、取引先や委託先の脆弱性を突かれて攻撃を受けるリスクがあります。
本記事では、サプライチェーン攻撃の手口と被害事例を解説し、企業が実施すべき具体的な対策をご紹介します。

サプライチェーン攻撃とは

サプライチェーンの意味

サプライチェーンとは、製品やサービスが生産者から最終消費者に届くまでの一連の流れを指します。原材料の調達、製造、在庫管理、物流、販売といったすべてのプロセスが含まれます。たとえば、スマートフォンの場合、レアメタルなどの原材料調達から部品製造、組み立て、倉庫での保管、小売店への配送、そして消費者の手元に届くまでの全過程が一つのチェーンで繋がっています。

サプライチェーン攻撃の定義

サプライチェーン攻撃とは、製品やサービスの開発・製造・流通過程における関係者を狙い、最終的に標的企業へ侵入するサイバー攻撃です。攻撃者は、セキュリティ対策が強固な大企業を直接狙うのではなく、セキュリティ対策が手薄な中小企業や関連会社を経由して本来の標的に到達します。

この攻撃手法が脅威となる理由は、自社のセキュリティ対策が万全でも、サプライチェーン上のどこか一カ所でも脆弱性があれば被害を受ける可能性があるためです。独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威」では、2019年に初めてランクインして以降、8年連続で上位に位置し、2023年から2026年は2位となっています。

サプライチェーンリスクが高まる背景

近年、サプライチェーン攻撃のリスクが高まっている背景には、いくつかの要因があります。

第一に、企業のグローバル化とサプライチェーンの複雑化です。世界規模での分業体制が主流となり、多数の企業が生産や物流プロセスに関与することで、攻撃対象となる企業が増加しました。

第二に、クラウドサービスの普及により、サプライチェーンがより広範囲に及ぶようになったことです。クラウド経由で多くの企業がデータを共有する環境では、攻撃の影響範囲も拡大します。

第三に、テレワークの普及です。場所を問わず社内データへアクセスできる環境は、攻撃者にとって侵入経路が増えたことを意味します。従来の「境界防御モデル」では対応しきれない状況が生まれています。

第四に、M&A(企業の合併・買収)の活発化です。異なるセキュリティ基準を持つ企業が統合される過程で、一時的に脆弱性が生じやすくなっています。

サプライチェーン攻撃の対象と手口

サプライチェーン攻撃は、その起点に基づいて大きく分けられます。業種や企業によって異なりますが、ここでは主要な攻撃経路について解説します。

取引先・関係会社を経由した攻撃

取引先や関係会社が標的になる理由

攻撃者は、標的企業に直接侵入することが難しい場合、取引先や関係会社のネットワークを踏み台として利用します。特に中小企業はコストや人材の制約からセキュリティ対策が十分でないケースが多く、攻撃者にとって格好の標的となります。

具体的な被害としては、「取引先がランサムウェア攻撃を受けて操業停止となり、自社への部品供給が途絶える」「委託先が不正アクセスを受けて、自社の機密情報が漏えいする」といった事例が発生しています。

こうした攻撃を防ぐには、サプライチェーン全体のリスクを把握し、セキュリティポリシーの統一、情報共有ルールの策定、定期的な監査の実施が必要です。また、取引先との契約書にセキュリティ管理に関する規定を盛り込むことも重要です。

インフラ事業者経由の攻撃リスク

電気・水道・ガスといったライフライン企業、インターネット・クラウドサービス事業者、ビルオーナーなどのインフラ事業者も、サプライチェーン攻撃の経路となり得ます。

たとえば、クラウドサービスプロバイダーが攻撃を受けると、そのサービスを利用する多数の企業に被害が波及します。「利用中のクラウドサービスが不正アクセスを受け、クラウドに保存していた顧客情報が漏えいする」「入居ビルの管理システムがサイバー攻撃を受け、電力供給や空調が停止する」といった被害が想定されます。

インフラ事業者には、情報セキュリティポリシーの策定、セキュリティ監視体制の整備、攻撃検知システムの導入などの対策が求められます。

ソフトウェア・ハードウェアを利用した攻撃

ネットワーク経由の攻撃に加えて、製品そのものを悪用した攻撃も増加しています。

ハードウェアへの攻撃

サプライチェーン攻撃は、ハードウェアを介して実行されることもあります。製品に組み込む電子部品に模造品が混入していた場合、完成品の品質低下や企業の信頼失墜につながります。エンドユーザーが購入した製品に模造品のパーツが含まれると、「故障しやすくなる」「仕様どおりの動作をしない」「突然発火する」などの危険が生じます。

この対策として、日本産業規格(JIS)では、航空宇宙産業向けの品質マネジメントシステム規格「JIS Q 9100:2016」に"8.1.4模倣品の防止"が要求事項として追加されています。

出典：ニセモノ半導体にご用心　真贋判定「3割が不正品」: 日本経済新聞 (nikkei.com)

出典：電子部品の市場流通品に対するスクリーニング(模倣品対策)｜デバイス／モジュールの信頼性評価、電気的特性測定・評価｜OKIエンジニアリング (oeg.co.jp)
JIS Q 9100の分かり易い解説について(第4回-1) - 名古屋品証研株式会社(hinshoken-tfm.jp)

ソフトウェアサプライチェーン攻撃

ソフトウェアの開発・配布プロセスを悪用した攻撃も深刻化しています。攻撃者はソフトウェアベンダーのネットワークに侵入し、正規のアップデートファイルにマルウェアを仕込みます。ユーザーは信頼できる提供元からのアップデートであるため疑わずにインストールし、結果として被害が拡大します。

2017年には、システムクリーニングツール「CCleaner」が改ざんを受け、マルウェアが混入された事例や、ウクライナの税務会計ソフト「MeDoc」のアップデートデータが改ざんされ、ランサムウェアが全欧州に拡散した事例が発生しました。

この対策として、米国ではSBOM(Software Bill Of Materials：ソフトウェア部品表)の取り組みが進んでいます。SBOMは、製品に含まれるソフトウェアのコンポーネント、依存関係、ライセンスデータ等をリスト化したもので、脆弱性の早期発見と管理に役立ちます。

※SBOM(Software Bill Of Materials：ソフトウェア部品表)・・・製品に含まれるソフトウェアを構成するコンポーネント、依存関係、ライセンスデータ等をリスト化したもの。

出典：INTERNET Watch「ソフトウェアサプライチェーンをセキュア化するためのガイダンス、推奨事項を要チェック」(impress.co.jp)
ニュートン・コンサルティング「サイバー/デジタルリスク Navi　サイバーセキュリティとDXの最新情報」(newton-consulting.co.jp)

クラウドサービス(SaaS)のリスク

クラウドサービス(SaaS)の活用は業務効率化に貢献する一方で、新たなサプライチェーンリスクをもたらしています。特に課題となるのは、SaaS事業者が提供する情報と、利用企業が必要とする情報とのギャップです。

SaaS事業者は機能や利便性を重視した情報開示を行う傾向がありますが、利用企業はセキュリティ対策、データ管理体制、事業継続性など、リスク管理に関する詳細な情報を求めています。契約前の段階から、以下のような情報について認識を合わせることが重要です。

• データの保管場所と管理方法
• セキュリティインシデント発生時の対応体制
• サービス停止時の事業継続計画
• 第三者委託の有無とその管理体制
• データの暗号化や認証方式に関する詳細

これらの情報共有を怠ると、重要な業務データの漏えいや予期せぬサービス停止による業務影響など、深刻なリスクにつながる可能性があります。SaaSの選定・運用では、利用企業側が主体的に必要な情報を特定し、事業者と十分なコミュニケーションを図ることが不可欠です。

出典：クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査

サプライチェーン攻撃への具体的な対策

サプライチェーン全体のリスク評価

サプライチェーン攻撃を防ぐためには、業務委託や情報管理における規則の統一が重要です。日常的に取引先や委託先、利用しているサービス提供会社の情報セキュリティ対応状況を確認し、定期的な監査を実施しましょう。

セキュリティ管理体制と監視体制の構築

サプライチェーン全体にわたるセキュリティ管理体制を構築し、セキュリティ管理責任者を明確にします。取引先や関係会社との契約書にセキュリティ管理に関する規定を盛り込むことも重要です。

報告体制やインシデント対応計画を整備し、定期的な訓練を実施して適宜見直します。また、情報漏えいが発生した場合に備えて、どの情報がどれだけ漏えいしたかを後から調査できるように、パソコンの操作ログ等を収集するしくみの導入も必要です。

製造業における注意点

製造業では、納品物の検証や出荷検査を強化し、模造品や脆弱なソフトウェアの混入・出荷を防ぎます。さらに、原料や部品の調達先を複数確保しておくことで、サプライチェーン寸断による生産停止や出荷遅延のリスクを低減可能です。

サプライチェーン攻撃を受けた場合の対応

万全なセキュリティ対策を講じていても、サプライチェーン攻撃を受ける可能性はゼロではありません。
被害を受けた場合は、事前に策定した報告体制やインシデント対応計画に従い、影響調査および原因究明を行います。個人情報の漏えいがあった場合は、個人情報保護委員会への報告が必要です。また、原因の究明を自社だけで行うのは困難なため、セキュリティ専門機関の協力を得ることが推奨されます。

出典：IPA/情報セキュリティ10大脅威 2025 組織第2位「サプライチェーンや委託先を狙った攻撃」

ALSOKでは、情報漏えいやサイバー攻撃を防ぐ、さまざまな情報セキュリティサービスをご提供しています。警備のプロが提供する情報セキュリティサービスをぜひご活用ください。

参考資料

サプライチェーンにおける情報セキュリティリスクに適切に対応するためには、内閣サイバーセキュリティセンター(NISC)が公開している「外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書」を参考にすることをお勧めします。

この手引書では、外部委託先との契約時に考慮すべき情報セキュリティ要件や、リスク評価の方法、適切な管理体制の構築方法などが解説されています。委託先の選定から契約終了後のフォローアップまで、各フェーズで必要となる具体的な対策や確認項目が網羅されており、実務に即して活用可能です。

サプライチェーンリスク対策の重要性が増す中、本手引書を活用することで、より体系的で効果的なリスク管理体制を構築することが可能となります。

よくある質問(Q&A)

Q1. サプライチェーン攻撃とは何ですか?

A. サプライチェーン攻撃とは、製品やサービスの開発・製造・流通過程における関係者を狙い、最終的に標的企業へ侵入するサイバー攻撃です。セキュリティ対策が手薄な取引先や関連会社を経由して、本来の標的に到達する手法が特徴です。

Q2. なぜ中小企業が狙われやすいのですか?

A. 中小企業はコストや人材の制約からセキュリティ対策が十分でないケースが多く、攻撃者にとって侵入しやすい標的となります。大企業は厳重なセキュリティ対策を講じているため、攻撃者は中小企業を踏み台にして大企業へ侵入を試みます。

Q3. どのような対策が有効ですか?

A. サプライチェーン全体のリスク評価、セキュリティ管理体制の構築、取引先との契約書へのセキュリティ規定の明記、定期的な監査の実施などが有効です。また、インシデント対応計画の整備と定期的な訓練も重要です。

Q4. SBOMとは何ですか?

A. SBOM(Software Bill Of Materials：ソフトウェア部品表)とは、製品に含まれるソフトウェアのコンポーネント、依存関係、ライセンスデータ等をリスト化したものです。ソフトウェアサプライチェーン攻撃への対策として、脆弱性の早期発見と管理に役立ちます。

Q5. 攻撃を受けた場合、どう対応すればよいですか?

A. 事前に策定したインシデント対応計画に従い、影響調査と原因究明を行います。個人情報漏えいがあった場合は個人情報保護委員会への報告が必要です。また、セキュリティ専門機関の協力を得ることが推奨されます。

まとめ