サプライチェーン攻撃とは?攻撃手口・被害事例・対策をわかりやすく解説
| 執筆者: | ニュートン・コンサルティング 編集部 |
| 改訂者: | ニュートン・コンサルティング 編集部 |
近年、企業のセキュリティリスクは自社での対策にとどまらず、サプライチェーン全体で確保する必要があります。サプライチェーンの中に一箇所でも脆弱な箇所があれば、そこが侵入経路となり、全体に被害が及ぶ事例が多発しているためです。取引先やサプライヤーとの関係の中で、サプライチェーン攻撃の被害者・加害者にならないための対処が求められています。
本記事では、サプライチェーン攻撃の概要、代表的な被害事例について説明し、実施すべき対策をわかりやすく解説します。
サプライチェーン攻撃とは
サプライチェーン攻撃とは、標的よりもセキュリティ対策が弱い取引先や関連企業、利用するソフトウェアやサービスなどを経由して、機密情報の窃取などを狙うサイバー攻撃です。大企業など標的のセキュリティが強固である場合にも、関連した周囲を搦手として狙うこの手口が使われます。標的が属する供給網や組織間のつながりを悪用し、その中の一点の脆弱性をついてネットワークへの侵入やウイルス感染などを拡大させます。
IPAの「情報セキュリティ10大脅威2026 組織編」では「サプライチェーンや委託先を狙った攻撃」は第2位として注意喚起の対象に挙げられました。8年連続で選出されており、サプライチェーン攻撃が依然として脅威であり続けていることを裏付けています。
主な攻撃の手口
サプライチェーン攻撃の主な手口として、下記の3つが挙げられます。
- ・ビジネスサプライチェーン攻撃(アイランドホッピング攻撃)
- サプライチェーンに連なる企業を踏み台にして、標的のネットワークに侵入する攻撃です。離れた島を飛び渡る旅行スタイルになぞらえて、アイランドホッピング攻撃とも呼ばれます。
- ・ソフトウェアサプライチェーン攻撃
- ソフトウェアやツールの提供元に不正アクセスを行い、マルウェアを混入させたソフトウェアの配布やアップデートでの感染拡大を図る攻撃です。ソフトウェアやツールの提供元も、サプライチェーンの一環として狙われる可能性があります。
- ・サービスサプライチェーン攻撃
- 自社のITインフラや業務を委託するマネージドサービスを狙ったソフトウェアサプライチェーン攻撃です。広くSaaSが普及したことにより、多くの企業が標的になり得る可能性があります。
サプライチェーン攻撃の被害事例
サプライチェーン攻撃の日本国内の著名な事例およびその影響について確認しておきましょう。
2022年3月、サプライチェーン攻撃によりトヨタ自動車のラインが止まる事態が発生しました。サプライチェーンに連なる小島プレス工業の子会社の通信用機器を侵入口として不正アクセスを受けたことにより、サーバーを停止し、国内全14工場28ラインの稼働を停止しました(翌日に復旧)。トヨタ自動車は6万社に渡るサプライチェーンを持っており、そのサプライチェーンリスクの大きさも浮き彫りになる事例でした。
2022年10月には、大阪急性期・総合医療センターの電子カルテシステムがサプライチェーン攻撃により停止する事態が発生しました。給食の提供を委託していた企業が端緒とされ、再稼働までには約6週間を要しました。後にシステムの開発企業を含めた事業者が約10億円の和解金を払う合意がなされています。公共的な面を強く持つ医療機関もサプライチェーン攻撃の対象となり得ることを改めて示す事例となりました。
企業にもたらされる影響
サプライチェーン攻撃を受けた企業とサプライヤーに起こる被害、影響は計り知れません。上記の事例で起きた影響については下記が挙げられます。
- ・事業継続の阻害、利益逸失
- 製造や販売などの業務に利用しているシステムが利用できなくなることで事業活動が停止してしまうことが懸念されます。工場のラインや受注システムなどが止まれば、大きな損失が発生します。
- ・顧客の信頼喪失、ブランド力の低下
- 顧客の持つ企業イメージの低下が発生し、信頼が損なわれます。その結果として購買や個人情報の入力などのアクセスが低下することにもつながります。ひいては築き上げてきたブランド全体の力も失われてしまいます。
- ・情報漏洩による損害賠償
- サプライチェーン攻撃による被害に対し、クライアントやサプライチェーンの関係者に対する損害賠償が発生する事例も起きています。問題を起こした企業に加え、脆弱性のあるシステムを提供した企業も責を問われました。
企業が実施すべき実効的な対策
サプライチェーン攻撃に備えて、企業が取るべき対策は包括的なセキュリティ確保です。社内も含め、全てのアクセスを疑うゼロトラストモデルに基づく対策が求められます。具体的には下記を組み合わせてセキュリティ対策を行います。
- ・多要素認証、EDRやXDR、SIEMなどの技術的対策を導入する
- サプライチェーン攻撃の端緒となる最初の侵入を防ぎ、異常をいち早く検知して対応するための手段となります。
- ・ネットワークの断片化
- ネットワークを断片化(マイクロセグメンテーション)することで、万が一どこか一箇所が突破されても、攻撃者が他のサーバーやデータに横移動(ラテラルムーブメント)できないように封じ込めることができます。
- ・取引先や外部ベンダーに提供するアクセス権限を必要最小限に絞り、
委託先の担当者が異動、退職した際はアカウント管理を徹底する - 利用者のアカウント管理は重要な人的サプライチェーン対策です。最小権限の原則を徹底することで、被害の防止、最小化が図れます。
- ・取引先や委託先に対するセキュリティ評価の実施とガバナンス
- 公的な評価基準としては経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」や半導体業界における「SEMI E187スタンダード」などがあり、IPAが発行している「実務者のためのサプライチェーンセキュリティ手引書」なども活用可能です。また、契約上のセキュリティに関する要件強化も含まれます。
他にも、取引先、委託先と連携したインシデント対応体制の構築も必要となります。問題発生時にすぐに連携できる備えを事前にしておくことが重要です。
まとめ:サプライチェーン全体で取り組むセキュリティ強化
サプライチェーン攻撃は、ターゲットに直接攻撃するのではなく、取引先や委託先、利用するソフトウェアやサービスなどのサプライチェーンを経由したサイバー攻撃です。サプライヤーを端緒として大企業や公的な機関などでも被害事例が発生しています。
サプライチェーン攻撃に対して有効な対策は、サプライチェーン全体でのセキュリティ確保です。公的機関や業界団体でのセキュリティ対策評価制度などを活用しながら、問題が発生した際に即時に動ける体制を整備しておくことが重要です。
