目 次
サプライチェーン攻撃とは、ターゲットを直接攻撃するのではなく、ターゲットが依存する外部組織(サプライチェーン)の脆弱性を狙う攻撃手法です。
セキュリティの強固な大企業などが標的の場合に用いられることが多い手口で、セキュリティが脆弱な大企業のパートナー企業や子会社などが踏み台として狙われます。
本記事では、サプライチェーン攻撃の概要やサプライチェーン全体でおこなうべき対策などを解説します。
- サプライチェーン攻撃の概要
- サプライチェーン攻撃の種類
- 自社でおこなうべき対策
- サプライチェーン全体でおこなうべき対策
またサプライチェーン攻撃への対策として、「LANSCOPE プロフェッショナルサービス」のセキュリティソリューションについても紹介しています。
サプライチェーン全体でセキュリティ強化を目指す企業・組織の方は、ぜひ本記事とあわせてご確認ください。
サプライチェーン攻撃対策に有効!
LANSCOPEプロフェッショナルサービスとは?
サイバー攻撃で狙われる自社の課題や脆弱性を
プロのセキュリティベンダーが解決します!
サプライチェーン攻撃とは
サプライチェーン攻撃とは、セキュリティレベルの高い標的企業・組織に侵入するために、サプライチェーンの中でもセキュリティレベルの低い関連会社や取引先などを踏み出しとして悪用するサイバー攻撃です。
業界を問わず、ビジネスを展開するためには多くの企業や組織とやりとりをする必要があります。
企画や製造、出荷や販売といった、ビジネスのプロセスを「サプライチェーン」と呼び、この組織間の繋がりを悪用するのがサプライチェーン攻撃です。
サプライチェーン攻撃の目的
「サプライチェーン攻撃」を仕掛ける目的は、主に以下の2点といえます。
- 大企業の持つ機密情報など重要なデータを搾取すること
- 機密情報と引き換えに、高額な身代金を要求すること
攻撃者は、大企業のもつ個人情報や機密データを不正入手し、情報を欲する第三者に売却することで利益を獲得しようとします。
また、データのばらまき回避や暗号化の復旧と引き換えに、高額な身代金を要求するケースもみられています。
サプライチェーン攻撃の種類
サプライチェーン攻撃は、攻撃の起点別に下記の3種類にわけられます。
- サービスサプライチェーン攻撃
- ビジネスサプライチェーン攻撃
- ソフトウェアサプライチェーン攻撃
それぞれの手口について詳しく解説します。
サービスサプライチェーン攻撃
サービスサプライチェーン攻撃とは、サービス事業者を標的とし、事業者が提供するサービスを経由してターゲットを攻撃する手口です。
「デジタルサプライチェーン攻撃」とも呼ばれます。
顧客のITシステムの運用や保守をおこなう「MSP(マネージドサービスプロバイダ)」事業者に対し、MSPが管理するネットワークの脆弱性を狙って侵入や攻撃を仕掛け、標的とする企業に侵入する
利用しているクラウドサービスを介して侵入されてしまうと、社内ネットワークやサーバなどがマルウェアに感染するリスクが高まります。
サーバーが乗っ取られてしまうと、情報漏洩やネットワークの停止などといった大きな被害が発生するリスクもあります。
ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃とは、ターゲットの関連組織や取引先を起点とするサプライチェーン攻撃で、サプライチェーン攻撃のなかでも代表的な手口です。
「アイランドホッピング攻撃」や「グループサプライチェーン攻撃」とも呼ばれます。
多額の身代金請求が見込める「国内の大手企業」を攻撃するため、セキュリティ体制が甘い子会社に不正アクセスしてから、標的の大手企業のシステムへ侵入する
業務上のやり取りを通じて攻撃が仕掛けられるため、攻撃に気がつくまでに時間がかかり、被害が拡大しやすいといった特徴があります。
ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーンとは、ソフトウェアが提供される前に、そのソフトウェアの開発・製造・提供のいずれかの工程に侵入して、不正コードやマルウェアを混入する手口です。
ソフトウェア以外で、アップデートプログラムに細工されるケースもあります。
攻撃者がオープンソースコードの脆弱性をついてマルウェアを仕込み、そのソースコードを使用して開発されたソフトウェアを利用した複数の企業・公的機関にマルウェアが拡散する
製造過程や提供元に不正コードが仕掛けられるため、アプリケーションやソフトウェアが幅広い層に使われるほど、被害が大規模になりやすいという特徴があります。
サプライチェーン攻撃の近年の動向
サプライチェーン攻撃は、経済産業省のIT機関「独立行政法人情報処理推進機構(IPA)」が毎年発表している「情報セキュリティ10大脅威」でも上位にランクインしている脅威です。
「情報セキュリティ10大脅威」は、情報セキュリティ分野の研究者や企業の実務担当者などが、この1年で「とくに警戒すべき情報セキュリティ上の脅威」を、審議・投票をおこない決定したものです。
「情報セキュリティ10大脅威2025」では、組織編の2位に「サプライチェーンや委託先を狙った攻撃」がランクインしています。
▼情報セキュリティ10大脅威 2025
| 順位 | 脅威の内容 | 前年順位 |
|---|---|---|
| 1位 | ランサム攻撃による被害 | 1位 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 2位 |
| 3位 | システムの脆弱性を突いた攻撃 | 5、7位 |
| 4位 | 内部不正による情報漏えい等 | 3位 |
| 5位 | 機密情報等を狙った標的型攻撃 | 4位 |
| 6位 | リモートワーク等の環境や仕組みを狙った攻撃 | 9位 |
| 7位 | 地政学的リスクに起因するサイバー攻撃 | NEW |
| 8位 | 分散型サービス妨害攻撃(DDoS攻撃) | 圏外 |
| 9位 | ビジネスメール詐欺 | 8位 |
| 10位 | 不注意による情報漏えい等 | 6位 |
出典:IPA│情報セキュリティ10大脅威 2025(2025年1月30日)
2018年以前は圏外でしたが、2019年~2021年が4位、2022年が3位、2023年からは2位と徐々にその順位が上がっていることからも、その凶悪性に注目が集まっていることがうかがえます。
サプライチェーン攻撃対策に有効!
LANSCOPEプロフェッショナルサービスとは?
サイバー攻撃で狙われる自社の課題や脆弱性を
プロのセキュリティベンダーが解決します!
サプライチェーン攻撃による被害リスク
サプライチェーン攻撃を受けた場合、以下のような被害の発生が懸念されます。
- 組織における重要情報の窃取
- データの改ざん
- ランサムウェアによる身代金の要求
- システム障害・サービスの停止
- ブランド価値の低下
攻撃者の目的は、大企業のもつ個人情報や機密データの窃取や、窃取したデータと引き換えに高額の身代金を請求することです。
攻撃を受け、情報が漏洩したり、システム障害の発生でサービス停止が引き起こされたりすると、企業のブランド価値や信頼の低下が予想されます。
このような被害を防ぐためにも、企業・組織はサプライチェーン全体でのセキュリティ強化を図る必要があります。
国内外のサプライチェーン攻撃の被害事例3選
これまで国内外で多くのサプライチェーン攻撃が発生し、なかには大規模な損害がもたらされた事件もあります。
本記事では、サプライチェーン攻撃の被害事例を3つピックアップして紹介します。
業務委託先企業がランサムウェアに感染し、個人情報が流出した事例
2024年5月、全国の自治体や企業から印刷・情報処理業務を受託していた企業がランサムウェア攻撃を受け、個人情報が漏洩する事件が発生しました。
この攻撃で、約100団体が影響を受けたとされています。
本事件の原因となったのは、VPN機器の脆弱性で、アップデートを約3年間おこなわず、パスワード管理も不十分だったことがわかっています。
攻撃者グループはVPN経由で同社のネットワークに侵入し、機密データを窃取しました。
また、窃取後は、ランサムウェアの展開も実施し、サーバーやPCの暗号化もおこなっています。
2024年6月には、窃取された情報がリークサイトに掲載されていたことも確認されています。
今回被害が拡大した理由として、下記が指摘されています。
- 受託業務終了後に削除すべきデータを削除していなかった
- 基幹系ネットワークで一部データを保管していた
当該企業は再発防止策として、VPNを使用しない体制にするほか、不正アクセス防止のため、認証の強化に努めるとしています。
監視アプリへの不正コード混入で18,000の企業に被害が及んだ事例
2020年には、海外ソフトウェアメーカーが提供する「遠隔管理ソフトウェア」にサプライチェーン攻撃が仕掛けられ、18,000の企業に被害が及びました。
攻撃者は、2019年9月時点で提供前のソフトウェアに不正コードを混入し、導入企業・組織が30,000社を越えた2022年3月のタイミングで攻撃を実行しました。
利用者が増えた段階で攻撃がおこなわれため、結果的に約18,000の企業や組織で、不正アクセス等の影響が確認されました。
また、同ソフトウェアは米連邦政府機関やアメリカの大手企業でも幅広く利用されていましたが、すべての組織にて1年以上も発見されなかったことから、「史上最大級の複雑かつ高度なサイバー攻撃」であるとされています。
総合病院が攻撃の影響で2か月業務停止となった事例
2022年には、国内の大手総合病院に対してサプライチェーン攻撃が仕掛けられました。
攻撃者は、医療センターに給食を提供していた事業者を踏み台にして同病院へと侵入し、ランサムウェア攻撃を実施。
医療センターの約2,300台の機器のうち、バックアップを含む基幹サーバー、電子カルテシステム関連のサーバー、パソコン等約1,300台において、ファイルが暗号化される被害が発生しました。
また、その影響で緊急時以外の手術・外来診療を停止する事態となり、最終的に1日で1,000名の患者へ影響を及ぼす被害へ発展しました。
事件の要因として、給食提供事業者がVPN機器のアップデートを実施せず、ネットワーク上の脆弱性が放置されていたことが報告されています。
さらに、病院のサーバーには身代金を要求するメッセージも残されており、悪質なサプライチェーン攻撃であることがうかがえます。
サプライチェーン攻撃の最新の事例を知りたい方は、下記の記事でより詳しく紹介していますので、本記事とあわせてぜひご確認ください。
サプライチェーン攻撃対策に有効!
LANSCOPEプロフェッショナルサービスとは?
サイバー攻撃で狙われる自社の課題や脆弱性を
プロのセキュリティベンダーが解決します!
サプライチェーン攻撃への対策
サプライチェーン攻撃の標的になってしまうと、機密データの流出や多額の賠償金・身代金の支払いなど、さまざまな被害が想定されます。
本記事では、サプライチェーン攻撃の被害にあわないためには、企業・組織が講じるべき対策を3つ解説します。
対策(1):自社のセキュリティ状況の把握と対策
対策(2):社内のセキュリティポリシー策定と教育
対策(3):適切なセキュリティソリューションの導入
詳しく確認していきましょう。
対策(1):自社のセキュリティ状況の把握と対策
まずは、現在自社が導入しているシステムやアプリケーションに脆弱性はないか、設定は正しくおこなえているか、セキュリティ対策は十分であるかなどを確認し、課題を洗い出しましょう。
また、いざという時に適切に対応できるよう、インシデント対応計画や社内のセキュリティポリシーを策定することも大切です。
自社の抱えている課題や脆弱性を洗い出す手段として「セキュリティ診断(脆弱性診断)」を依頼するという手法も有効です。
専門家の知見を取り入れることで、自社だけでは難しいセキュリティ課題の洗い出しと対策案の策定を、短時間で把握することが可能です。
対策(2):セキュリティポリシーの策定と教育
セキュリティポリシーを策定することで、従業員のセキュリティ意識の向上が期待できます。
セキュリティポリシーには、「どういった情報を」「どのように守らなければいけないのか」が具体的に示されています。
そのため、策定したセキュリティポリシーを周知徹底することで、従業員がセキュリティインシデントにつながるようなアクションを避けることができるようになります。
また、情報セキュリティ教育において、以下の項目を共有しておくことも重要です。
- サプライチェーン攻撃の攻撃手口
- 社内における情報の取り扱い方
- インシデント発生時の対応
情報セキュリティ教育は被害の発生を抑えるだけでなく、万が一問題が発生した場合に、被害を最小に押さえるためにも有効です。
対策(3):適切なセキュリティソリューションの導入
サイバー攻撃から自社を守るためには、意識づけや教育などの人への対策のみでなく、適切なセキュリティソリューションの導入も重要です。
従来のセキュリティ製品というと、ファイアウォールに代表される、ネットワークの入口対策が中心でした。
しかし現在では、ネットワークやエンドポイントに侵入後の脅威対策も並行して実施するなど「多層防御」のセキュリティ対策が重要視されています。
また、近年の高度化したマルウェアなどは、従来のセキュリティ製品の検知をすり抜けてしまうケースも少なくありません。
最新の脅威にも対策していくためには、優れたセキュリティソリューションの導入が必要です。
「LANSCOPE プロフェッショナルサービス」では、万が一、サプライチェーン攻撃によって悪質なマルウェアが社内ネットワークに侵入した場合も、即座に検知・対策できる、最新のNDRソリューション「Darktrace(ダークトレース)」を提供しています。
セキュリティ強化を目指す企業・組織の方は、ぜひご確認ください。
サプライチェーン全体でおこなうべき対策
サプライチェーン攻撃を防ぐためには、自社のセキュリティを強化するだけでなく、サプライチェーン全体のセキュリティレベルを上げる必要があります。
サプライチェーン全体でおこなうべきセキュリティ対策を確認していきましょう。
サプライチェーン企業の事前評価とモニタリング
まずは、関連会社や取引先に対する事前評価とモニタリングを実施しましょう。
サプライチェーン全体のセキュリティレベルを上げるには、自社以外のセキュリティ状況を正しく把握し、評価する必要があります。
具体的には、取引先や関連企業のセキュリティポリシーの内容や実施しているセキュリティ対策に関して定期的に報告してもらうようにするとよいでしょう。
さらに、脆弱性対策に関する自社の知見やシステムを共有することも、サプライチェーン全体のセキュリティレベルを上げることにつながります。
また、2026年からは「セキュリティ対策評価制度」の施行が予定されており、取引先のセキュリティ対策状況を客観的に把握しやすくなることが期待されています。
セキュリティ対策評価制度については下記の記事で解説していますので、ぜひあわせてご覧ください。
サプライヤーとのセキュリティ契約の締結
万が一に備えて、サプライヤーとキュリティに関する契約を締結するようにしましょう。
たとえば、サプライヤー側でインシデントが発生した場合、「どう対応するか」「どこまでの範囲で責任を負うか」などを契約書として取り交わしておくことが重要です。
経済産業省と独立行政法人情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」の「サイバーセキュリティ経営の重要10 項目」において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化することが求められています。
あらかじめ契約締結しておくことで、万が一サプライチェーン攻撃に巻き込まれてしまっても、責任の所在を明らかにできます。
サプライチェーン攻撃対策ならLANSCOPEEプロフェッショナルサービス
「LANSCOPE プロフェッショナルサービス」では、サプライチェーン攻撃をはじめとするさまざまなサイバー攻撃の対策に有効なセキュリティソリューションを提供しています。
本記事では、サイバー攻撃から自社を守るために有効なセキュリティソリューションを3つご紹介します。
- 脆弱性診断・セキュリティ診断
- サプライチェーンリスク評価サービス「Panorays(パノレーズ)」
- サイバーリスク健康診断
自社のセキュリティ対策状況にあわせて最適なものをぜひご検討ください。
脆弱性診断・セキュリティ診断
1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「脆弱性診断・セキュリティ診断サービス」です。
前述したとおり、サプライチェーン攻撃はセキュリティの脆弱性を狙っておこなわれるため、まずは自社のシステムやサーバーの脆弱性を把握することが重要です。
「LANSCOPE プロフェッショナルサービス」の脆弱性診断・セキュリティ診断は、システムやネットワークなどを調査し、システム上の脆弱性やハッキングを受ける可能性があるセキュリティホール、機密情報の持ち出しなどの内部不正といった、さまざまなセキュリティリスクを洗い出すサービスです。
また、「まずは手軽にセキュリティ診断を受けたい」という企業・組織の方に向けて、 SaaS型のセキュリティリスク評価システム「 Panorays(パノレーズ)」を利用した「サイバーリスク健康診断」もご用意しています。
サプライチェーンリスク評価サービス「Panorays(パノレーズ)」
2つ目に紹介するのは、SaaS型のセキュリティリスク評価システム「Panorays(パノレーズ)」です。
「Panorays」は、自社に関連するサプライヤーの資産情報を自動収集し、サプライチェーン全体のセキュリティ対策状況を可視化するシステムで、攻撃の潜在的リスクの把握に役立ちます。
たとえば、取引先やグループ企業へ「セキュリティ対策状況のヒアリングアンケート」を送付したり、登録ドメインからサプライヤーが外部公開しているIT資産を検出・脆弱性を洗い出したりすることが可能です。
「Panorays」は、管理しきれていないIT資産が存在していたり、机上調査のみで実態調査ができていなかったりする企業の方に、総合的なリスク管理と改善サポートを提供します。
関連企業や子会社も含めたサプライチェーン攻撃対策を効率的におこないたい企業におすすめのソリューションです。
サイバーリスク健康診断
「まずは手軽にセキュリティ診断を受けたい」という企業・組織の方に向けて、前述したSaaS型のセキュリティリスク評価システム「Panorays」を利用した「サイバーリスク健康診断」も提供しています。
サイバーリスク健康診断は、攻撃者の視点で自社のセキュリティリスクを可視化し、適切な対策をサポートするサービスです。
「Panorays」を利用することで、管理の行き届いていないサーバーやサイトの洗い出しやそのリスクレベルを効率的に可視化することができ、セキュリティ対策の優先順位を定めることができます。
チェック・診断・社内ヒアリング・レポート作成までの作業を最短2週間で提供可能なため、サイバーリスクの把握を迅速におこないたい企業の方におすすめです。
「LANSCOPE プロフェッショナルサービス」は、そのほかにもさまざまな脆弱性診断を提供しています。
下記で紹介する以外にも提供しておりますので、自社のセキュリティ状況にあわせて最適な診断をぜひご検討ください。
まとめ
本記事では「サプライチェーン攻撃」をテーマに、その概要や事例・対策案について解説しました。
本記事のまとめ
- サプライチェーン攻撃とは、セキュリティレベルの高い標的企業・組織に侵入するために、サプライチェーンの中でもセキュリティレベルの低い関連会社や取引先などを踏み台として悪用するサイバー攻撃
- 攻撃の起点別に、「サービスサプライチェーン攻撃」「サービスサプライチェーン攻撃」「ソフトウェアサプライチェーン攻撃」の3種類にわけられる
- サプライチェーン攻撃への対策としては、自社の脆弱性対策やセキュリティツール導入はもちろん、サプライヤーやパートナー側への注意喚起・対策やサポートも重要である
サプライチェーンを介したサイバー攻撃を防ぐためには、自社のセキュリティを強化することに加えて、サプライチェーン全体のセキュリティレベルを上げる必要があります。
まずは、自社を含むサプライチェーン全体のセキュリティ状況の把握からはじめましょう。
本記事で紹介した「サイバーリスク健康診断」は、手軽にセキュリティ診断を受けたいという企業・組織の方におすすめのサービスです。
下記のページで詳細を確認できますので、ぜひ実施をご検討ください。
サプライチェーン攻撃対策に有効!
LANSCOPEプロフェッショナルサービスとは?
サイバー攻撃で狙われる自社の課題や脆弱性を
プロのセキュリティベンダーが解決します!
おすすめ記事
