サプライチェーン攻撃とは？中小企業も狙われる手口と事例・対策をわかりやすく解説

サプライチェーン攻撃は、標的とする企業へ直接攻撃するのではなく、その企業と取引のある関連会社や、利用している外部サービスなどを踏み台にして侵入を試みるサイバー攻撃手法です。
これは標的型攻撃の一種に分類されます。
攻撃者は、まずセキュリティ対策が比較的脆弱な中小企業や海外拠点に侵入し、そこから得た情報や権限を悪用して本命の標的システムへのアクセスを試みます。

製品やサービスが顧客に届くまでの一連の流れ（サプライチェーン）の弱点を突くというイメージから、このように呼ばれています。
このサイバー攻撃は、企業間の信頼関係を逆手に取る巧妙な手口であり、自社の防御が強固であって
も、取引先の脆弱性が原因で被害を受ける可能性があることを示しています。

サプライチェーン攻撃のリスクは年々増加しており、企業活動に与える影響も深刻化しています。
その原因を本章でお伝えします。

サプライチェーン攻撃のリスクが年々増加している背景には、現代のビジネス構造の変化があります。
企業は単独で事業を行うのではなく、製造、物流、販売、開発などの各工程で、関連会社や委託先と密接に連携しながらビジネスを構築しています。

このような複雑な連携体制は効率化の面では有利ですが、同時に攻撃者にとっては新たな侵入口を増やす結果にもなります。
特に中小企業は、コストや人材の制約からセキュリティ対策が十分に行えないケースが多く、サプライチェーン攻撃において“踏み台”にされやすい傾向があります。このため、中小企業自身が情報資産を守ることは、自社だけでなく取引先企業の事業継続や信頼維持にも直結します。

業務効率化やデジタルトランスフォーメーションの推進に伴い、多くの企業がクラウドサービスや外部のソフトウェア、開発ツールを積極的に利用しています。 これらの便利なサービスは今やビジネスに不可欠な存在ですが、同時に新たなセキュリティリスクも生み出しています。

サービス提供事業者がサイバー攻撃を受けたり、提供されるソフトウェアに脆弱性が存在したりした場合、そのサービスを利用している全ての企業が被害を受ける可能性があります。自社のセキュリティ対策が万全であっても、サプライチェーンの一部である外部サービスの脆弱性を突かれ、情報漏洩や事業停止といった深刻な被害につながるケースが増えています。

サプライチェーン攻撃は、多様な手法を用いて実行されます。
攻撃者は、企業間のつながりや業務で利用されるツールなど、サプライチェーンのあらゆる側面を悪用して侵入を試みます。

自社のシステムを保護するためには、これらの攻撃者がどのような経路で侵入してくるのか、代表的なサプライチェーン攻撃の手法を理解しておくことが、効果的な対策を講じる上での第一歩となります。

企業が業務で使用する会計ソフトや開発ツール、サーバー管理ツールといったソフトウェアの脆弱性を悪用する手口があります。攻撃者はまずソフトウェアを開発・提供しているベンダーのシステムに侵入し、正規のプログラムにマルウェアを仕込みます。

その後、ソフトウェアの自動アップデート機能などを通じて、マルウェアが含まれた更新プログラムがユーザー企業に配布されます。
ユーザーは正規のアップデートと信じて適用してしまうため、知らず知らずのうちに自社のシステムをマルウェアに感染させてしまいます。
ソフトウェア供給元への信頼を逆手に取った検知が困難な攻撃手法です。

自社よりもセキュリティ対策が手薄な業務委託先や部品供給元といった取引先のシステムを足掛かりにするケースです。
攻撃者はまず、防御の弱い取引先に侵入し、ネットワーク構成や共有アカウント情報を窃取して、本命の標的企業へと侵入範囲を広げます。

また、従業員や業務委託スタッフなど、内部関係者の不正行為や過失によって情報が持ち出されたり、不正アクセスを許してしまったりするケースもあります。
こうした“内部要因”は防御の難易度が高く、サプライチェーン攻撃のリスクをさらに複雑化させています。

企業間で安全な通信を行うためのVPN接続装置の脆弱性や、取引先と共有するサーバーの不備なども狙われやすいポイントです。
企業間の信頼関係が逆に攻撃者に利用されるリスクとなります。

多くの企業が利用するファイル共有サービスや顧客管理システムなどのSaaS、あるいはIaaSやPaaSといったクラウドサービスが攻撃の踏み台にされるケースです。
攻撃者は、クラウドサービス提供事業者のシステムに不正アクセスしたり、利用企業の設定不備を突いたりして、管理権限を奪取します。
これにより、そのクラウドサービス上に保存されている企業の機密情報が漏洩したり、サービスが停止して業務に支障が出たりする被害が発生します。

自社で直接サーバーを管理していなくても、利用しているクラウドサービスがサプライチェーンの一部であることを認識し、サービス選定やアクセス権限の管理を慎重に行う必要があります。

実際に国内外で多くの企業がサプライチェーン攻撃の被害に遭っており、その影響は甚大です。
ここでは、過去に発生したサプライチェーン攻撃の代表的な被害事例をいくつか紹介します。

2020年に発覚したSolarWinds社の事例は、ソフトウェアサプライチェーン攻撃の脅威を世界に知らしめました。
攻撃者は、米国のITインフラ管理ソフトウェア企業であるSolarWinds社の開発環境に侵入し、同社の主力製品「OrionPlatform」のアップデートプログラムにバックドアを仕込みました。

その結果、この製品を導入していた世界中の政府機関や大企業など、約18,000社がマルウェアに感染したとされています。
海外のソフトウェア供給元が攻撃の起点となり、正規のアップデートを通じて被害が世界規模に拡大したこの事件は、サプライチェーンリスクの深刻さを示す象徴的な事例です。

ソフトウェアの正規アップデート機能を悪用する手口は、2021年以降も継続的に確認されており、2024年にも警戒が必要な攻撃手法です。 
その代表例が、2023年に発覚した「MOVEit Transfer」脆弱性の悪用事件です。米Progress Software社のファイル転送ソフト「MOVEit Transfer」の脆弱性を突いて攻撃者が不正アクセスを行い、世界中で数千社以上の企業や公共機関が被害を受けました。国内でも関連システムを利用していた複数の企業で個人情報流出が確認されています。 
このように、一つのソフトウェアやサービスが侵害されると、その利用企業全体に被害が拡大するのがサプライチェーン攻撃の恐ろしさです。ユーザーは正規のアップデート通知を信じて適用してしまうため、攻撃を検知することが極めて困難です。

2022年に発生した大阪急性期・総合医療センターの事例は、委託先が原因で基幹業務が停止した事例です。
この事件では、病院の給食業務を委託していた事業者のサーバーがランサムウェアに感染したことが発端となりました。その影響は病院のネットワーク全体に及び、電子カルテシステムが利用できなくなる事態に発展しました。
結果として、新規患者の受け入れを停止せざるを得なくなり、通常の診療業務に約2ヶ月もの間、深刻な支障が生じました。

この事例は、直接のシステム委託先でなくとも、業務で連携するサプライチェーンの一角が攻撃されることで、組織全体の事業継続が脅かされることを示しています。

2022年、国内の自動車内装部品を手掛ける中小企業がハッキングを受けました。
同社が攻撃を受けた際、暗号化されたサーバーが確認され、社外サプライヤーとの通信に使われるシステムが停止されました。
この攻撃の影響は同社単体にとどまらず、その取引先である大手自動車メーカーにも及び、国内14工場の生産ラインが一時停止を余儀なくされました。
この事案による大まかなコストが約500億円当に達したと報じられています。

このように、中小企業も大手企業の踏み台にされることがある為、対策が必要になります。
また、中小企業にとっても「自社の情報資産を守る」ことが、取引先企業の信頼維持につながります。

サプライチェーン攻撃への対策は、もはや自社だけの問題ではありません。
取引先や委託先、利用している外部サービスを含めたサプライチェーン全体でセキュリティレベルを向上させるという視点が不可欠です。技術的な対応はもちろんのこと、組織的なルール作りや取引先との連携強化といった多角的な取り組みが求められます。
ここでは、複雑化するサプライチェーン攻撃の脅威から自社と取引先を守るための具体的な対策を5つ紹介します。

サプライチェーン攻撃対策の基本は、まず自社のセキュリティ環境を健全に保つことです。
OSやアプリケーション、ネットワーク機器などに存在する脆弱性は、攻撃者にとって格好の侵入口となります。
セキュリティパッチが公開された際は、速やかに適用し、システムを常に最新の状態に維持しなければなりません。

また、ウイルス対策ソフトの導入と定義ファイルの常時更新、ファイアウォールによる不正通信の遮断、IDS/IPS（不正侵入検知・防御システム）による監視といった多層的な防御策も必須です。
自社が攻撃の踏み台にされないようにすることが、サプライチェーン全体を守る第一歩となります。

自社の防御を固めると同時に、取引のある企業のセキュリティ対策状況を把握することも重要です。
新規に取引を開始する際や契約を更新するタイミングで、相手方のセキュリティポリシーや対策状況について確認するプロセスを組み込むとよいでしょう。
具体的には、セキュリティに関するチェックリストを用いた質問票への回答を求めたり、ISMS（情報セキュリティマネジメントシステム）などの第三者認証の取得状況を確認したりする方法が考えられます。

契約書にセキュリティに関する条項を盛り込み、インシデント発生時の報告義務などを明記することも有効な手段となります。

自社と取引先が個別にセキュリティ対策を行うだけでは、全体のレベルにばらつきが生じ、脆弱な部分が残ってしまいます。
そこで、サプライチェーンに関わる企業間で、遵守すべき統一のセキュリティ基準やガイドラインを設けることが有効です。
基準の策定にあたっては、経済産業省が公開している「サイバーセキュリティ経営ガイドライン」などが参考になります。

また、セキュリティ専門企業が提供するフレームワークや知見を活用することも推奨されます。
共通の基準を設けることで、各社の対策レベルを底上げし、サプライチェーン全体の安全性を高めることが可能です。
契約時に基準の遵守を盛り込む、定期的に準拠状況を確認するといった運用も欠かせません。

どれほど万全な対策を講じても、サイバー攻撃のリスクをゼロにすることはできません。
そのため、万が一、自社または取引先でセキュリティインシデントが発生した場合に備え、迅速かつ効果的に対応できる体制をあらかじめ構築しておくことが不可欠です。

具体的には、インシデントを発見した際の報告手順、責任者や担当者の役割分担、外部専門家への連絡先などを定めた「インシデントレスポンスプラン」を策定します。
特にサプライチェーン攻撃では、被害拡大を防ぐために取引先との連携が鍵となるため、緊急時の連絡体制や情報共有のルールを事前に明確に取り決めておく必要があります。

セキュリティインシデントについては下記記事で詳しく説明しているのでご確認ください。

セキュリティインシデントとは？種類や管理方法を解説

ペーパーレス化をはじめ業務のデジタル化が進む昨今、セキュリティインシデントへの対策の必要性が高まっています。セキュリティインシデントに適切に対応するためには、まずはどのような種類があるのかを把握することが大切です。 本記事では、セキュリティインシデントの概要やその種類、適切な管理方法についてご紹介します。

サプライチェーン攻撃を含む多くのサイバー攻撃は、従業員へのフィッシングメールなど、人を起点として始まるケースが少なくありません。
最新のセキュリティシステムを導入しても、従業員が不用意に添付ファイルを開いたり、不審なリンクをクリックしたりすれば、容易に侵入を許してしまいます。

これを防ぐには、従業員一人ひとりに対する継続的なセキュリティ教育が不可欠です。
パスワードの適切な管理、公共Wi-Fiの安全な利用方法、不審なメールの見分け方といった基本的な知識を周知徹底させることが重要です。
定期的な研修や標的型攻撃メール訓練を実施し、組織全体のセキュリティ意識を高めることが求められます。

サプライチェーン攻撃は、取引先や委託先、利用する外部サービスなど、自社を取り巻くビジネス環境の脆弱性を突くサイバー攻撃です。
企業間の連携が深化し、クラウドサービスの利用が一般化した現代において、この脅威はあらゆる組織にとって無視できないリスクとなっています。
大企業だけでなく、「自社の規模が小さいから安全」という思い込みを捨てることが、最初の防御策になります。

対策を講じる上では、自社のセキュリティ基盤を強化することはもちろん、契約内容の見直しや委託先監査を通じて取引先の対策状況を把握し、サプライチェーン全体でセキュリティレベルを向上させる視点が欠かせません。
インシデント発生を想定した対応体制の整備や、従業員への継続的な教育も不可欠な要素です。
詳しい対策方法を知りたい方はこちらの資料をご確認ください。