サプライチェーン攻撃とは？主な手法や対策、事例を解説

サプライチェーンとは、製品やサービスが提供されるまでの供給網全体をさします。この網の目にある委託先やクラウドサービスを経由して、本来の標的へ侵入する手法が「サプライチェーン攻撃」です。

直接狙うのではなく、セキュリティが手薄な外部組織を「踏み台」にする点が特徴です。一方、従来型攻撃は、自社のサーバーや従業員端末を直接狙う手法が中心です。

攻撃者はまずセキュリティの弱い取引先や委託先に侵入し、そこから本来の標的企業へ横移動します。取引先との接続は日常業務で常時利用されていることが多く、その通信経路が足がかりになります。

【攻撃フロー】

1. 委託先の脆弱なシステムを探索
2. 不正アクセスで認証情報を取得
3. 共有回線や管理アカウントを悪用
4. 標的企業の内部へ侵入
5. 情報窃取や業務妨害を実行

正規通信を利用するため発見が遅れやすく、さらに侵入後は内部ネットワーク内を移動しながら権限を拡大し、重要なサーバーや機密情報へ段階的に到達するケースも少なくありません。

近年、サプライチェーン攻撃はランサムウェアを送り込む主要な手段として深刻化しています。警察庁が2025年10月17日に発表した『マルウェア｢ランサムウェア｣の脅威と対策』では、令和6年の被害報告が222件と高水準で、特定された侵入経路の大半がVPN (Virtual Private Network：仮想専用線) などの外部接続点でした。

これは取引先との接続点が「攻撃の弱点」となっている実態を裏付けています。ひとたび侵入を許せば事業停止や信用失墜に直結するため、サプライチェーン全体の守りを固めることは喫緊の経営課題です。 

サプライチェーン攻撃の主な特徴は次のとおりです。

• 間接経路を狙う
  自社が堅牢でも、セキュリティ対策が弱い取引先から侵入される危険があります。
• 信頼関係を悪用する
  正規アカウントが使われるため見抜きにくい傾向があります。
• 被害が連鎖する
  一社の侵害が複数企業へ波及する可能性があります。

供給網のつながりが強い現代ほど、影響は拡大しやすい状況です。

攻撃者は、セキュリティが手薄な中小の取引先を「踏み台」にする傾向があります。

典型的な手法は、保守企業のVPN情報を盗み出し、正規ルートを装って本社の基幹システムへ侵入するものです。本来、VPNは拠点を安全に結ぶ仕組みですが、認証情報の漏えいはそのまま「不正アクセスの門戸」へと変貌します。

特に、網の目のように接続されたサプライチェーンでは、一箇所の突破が連鎖的な被害拡大を招きます。攻撃者が正規通信に紛れて長期間潜伏するケースも多く、検知の遅れが致命傷となりかねません。そのため、平時から接続状況を可視化し、アクセス権限を最小化する「ゼロトラスト (誰も信じない)」の視点による対策強化が不可欠です。

正しいIDとパスワードが悪用された場合、システム側で不正を検知するのは困難を極めます。そのため、アクセス権限の最小化や多要素認証の導入に加え、異常な挙動を早期に察知する監視体制の構築が不可欠といえるでしょう。

サプライチェーン攻撃の恐ろしさは、通常のやり取りに見える通信に紛れて侵入が進む点にあります。これまでの対策は外敵を防ぐことに特化していましたが、信頼関係にある取引先からの連絡は、ノーチェックで通してしまうのが実情です。

この構造的な隙を突かれることで、ウィルスが長期間潜伏し、気づいたときには手遅れという事態を招きます。

また、複数の企業が関わるネットワークでは、どこから被害が始まったのかを突き止めるだけでも一苦労です。

もはや一社だけの対策では限界があるため、どのような相手からの接続でもその都度安全性を確かめる、ゼロトラストという考え方が、連鎖的な被害を防ぐための重要な鍵となります。

主な攻撃タイプは次の3つです。

• ソフトウェア改ざん
  更新プログラムに不正コードを混入させ、利用企業へ拡散します。
• ハードウェア改ざん
  製造過程で機器内部に不正機能を組み込みます。
• クラウド経由
  運用委託先やクラウド事業者を踏み台に侵入します。

ソフトウェア関連では、更新プログラムに不正コードを混入させる手法が代表的です。攻撃者は開発工程や配布サーバーへ侵入し、正規の更新ファイルに細工を加えます。利用企業側では通常のアップデート作業として実行されるため、不審な挙動として気づきにくい点が問題です。

利用企業は正規更新だと信じて適用しますが、内部に侵入される危険があります。史上最大規模 (注1) のサプライチェーン攻撃といわれる2020年のSolarWindsの事案では、管理ソフトの更新が悪用され、米政府機関など約18,000組織が影響を受けたと報告されています。正規経路を利用するため被害が拡大しました。この事例は、ソフトウェア供給網の監視や改ざん検知の重要性を示しています。

クラウドや外部の運用委託サービスを足がかりにした侵入も目立つようになりました。業務効率を高めるために複数のクラウドを連携させる企業が増えていますが、その便利さの裏で接続ポイントが増え、攻撃対象も広がっています。

MSPが侵害されると、その顧客企業にも影響が波及する可能性があります。特に管理用アカウントが悪用された場合、複数の企業環境へ同時にアクセスされる危険があります。

サービス同士の連携が進む現在では、一社の被害が連鎖的な影響を生みかねません。アクセス権限を必要最小限に抑え、多要素認証を導入するなどの対策を講じましょう。

国内外での主要な事例は、攻撃の目的や手法の変遷を示しています (注2)。

• 2020年　SolarWinds事件：管理ソフトの更新が改ざんされ、米政府機関など多数の組織に侵入。
• 2021年　Kaseya事件：運用事業者経由で多数企業にランサムウェア被害が拡大。
• 2022年　小島プレス工業被害：部品メーカーへの攻撃で、取引先の自動車工場が一時停止。
• 2023年　名古屋港被害：港湾システムが停止し、国内物流に深刻な影響。

これらの事例から、攻撃の傾向がソフトウェア供給網に潜んで情報を盗む「スパイ型」から、近年では製造・物流といった社会インフラそのものを停止させ、身代金を要求する「身代金要求型」へと、より直接的で破壊的なものに変化していることが読み取れます。

2020年に発覚したSolarWinds事件は、サプライチェーン攻撃の危険性を世界に知らしめた大規模事案です。米IT企業SolarWindsが提供するネットワーク管理ソフト「Orion」の更新プログラムに不正コードが混入され、利用企業が正規更新として適用したことで内部侵入が広がりました。

攻撃は数カ月にわたり潜伏し、情報窃取が行われたとされています。米政府機関や大手企業を含む約18,000組織が影響を受けたと公表されました。

国内でも取引先や関連事業者を経由した侵入が確認されています (注3)。

2022年には自動車部品メーカー小島プレス工業がランサムウェア被害に遭い、取引先の自動車国内工場が一時停止する事案が発生しました。部品供給網を通じて生産活動に影響が及んだ点が大きな課題となっています。

2023年には名古屋港のコンテナターミナルがランサムウェア攻撃を受け、港湾システムが停止しました。その結果、コンテナの搬出入が滞り、物流全体に影響が広がったのです。いずれも委託先管理や接続管理の不備が発端とされ、多要素認証の導入や監視体制の強化が進められています。

サプライチェーン攻撃への有効な対策は次のとおりです。

• 取引先リスク評価：取引先のセキュリティ体制や管理状況を確認
• アクセス制御強化：利用者や接続ごとに権限を最小限に制限
• 脆弱性管理徹底：システムの弱点を定期的に点検し、修正
• 監視体制構築：通信や操作ログを継続的に監視し、異常を早期に把握

まずは自社と外部の接続点をすべて洗い出して「可視化」し、その上で「取引先リスク評価」を行うことがすべての土台となります。実装難易度は中程度ですが、段階的に進めることで現実的に対応できます。

サプライヤー評価では、セキュリティ体制や認証取得の状況を確認します。大切なのは書面上の確認だけで終わらせず、実際の運用実態まで踏み込んで把握することです。

【チェックすべき重要ポイント】

• 多要素認証による不正アクセス対策
• 脆弱性診断の定期的な実施
• 緊急時のインシデント対応計画の有無

契約時にはセキュリティ条項を明文化し、定期的に監査を行える体制を整えましょう。あわせて、事故発生時の報告義務や連絡ルートを明確にしておくと、有事の際も迅速に動けます。取引開始後も継続的な評価を怠らず、その結果を経営層と共有して組織的な改善につなげるサイクルが不可欠です。

システムの安全を維持するには、ソフトの弱点である「脆弱性」への継続的な対応が欠かせません。放置された弱点は、攻撃者にとって格好の侵入ルートとなるからです。まずは定期的な診断で自社の現状を把握し、危険度の高い箇所から優先的に修正を進めましょう。

【運用の4ステップ】

発見：診断などで弱点を見つける

評価：危険度や影響を判断する

修正：パッチ適用などで対策する

確認：正しく直ったか再点検する

このサイクルを繰り返すことで、防御力は着実に向上します。脆弱性診断ツールやパッチ管理システムといった自動化ツールを活用し、継続的な運用体制の構築が必要です。

侵入を許した際の被害を最小限に抑えるには、事前の対応計画が不可欠です。初動の遅れは被害の拡大に直結するため、判断基準や連絡フローを明確にする必要があります。

【初動対応のポイント】

• 範囲特定と隔離: 被害状況を即座に確認し、ネットワーク遮断などで拡散を防止
• 迅速な情報共有: 関係先へ速やかに連絡し、役割分担を整理
• 証拠の保全: 調査や復旧に必要なログなどの記録を残す
• 再発防止策: 原因を究明し、同様の被害を防ぐ対策を検討

特に複数企業が関わる場合、連絡窓口を事前に一本化しておくと混乱を防げます。平時から訓練を重ね、有事でも落ち着いて動ける体制を築くことが重要です。

サプライチェーン攻撃は、企業同士の信頼関係や接続関係を突く巧妙な脅威です。自社の対策だけを強化しても、取引先や委託先に弱点があれば侵入を防ぎきれない可能性があります。そのため、供給網全体を視野に入れた管理体制が欠かせません。

重要なのは、接続のたびに安全性を確認する仕組みを整えることです。ゼロトラストの考え方を取り入れれば、リスクを段階的に減らしていけます。まずは現状の接続状況を把握し、優先順位を決めて対策を進めてください。外部との連携が広がる今こそ、早めの取り組みが企業価値を守る力になります。