NTT Security Japan

お問い合わせ

【サプライチェーン攻撃とは】取引先が弱点に?自社だけ守っても防げない脅威と事例・対策を徹底解説

セキュリティマガジン

【サプライチェーン攻撃とは】取引先が弱点に?自社だけ守っても防げない脅威と事例・対策を徹底解説
サプライチェーン攻撃は、企業のセキュリティ対策が万全でも、取引先や外部委託先の脆弱性を突かれることで被害が発生する高度なサイバー攻撃です。本記事では、サプライチェーン攻撃の巧妙な仕組み、実際の被害事例、そして自社と取引先全体を守るための有効な対策をわかりやすく解説します。

サプライチェーン攻撃とは?

サプライチェーン攻撃とは、企業の直接的な防御をすり抜け、取引先や外部委託先などのセキュリティの弱点を経由して侵入するサイバー攻撃のことです。自社のセキュリティ対策が強固であっても、連携する外部組織の脆弱性が「裏口」となり、攻撃者にとって格好の侵入口となります。
この攻撃手法は、ITシステムの複雑化とクラウドサービスの普及により、企業間の接続が増えた現代において急速に拡大しています。

サプライチェーン攻撃の基本的な仕組み

この攻撃の基本的な仕組みは「踏み台」であり、以下のステップで実行されます。

  1. 攻撃者は、まずターゲット企業(本命)の取引先や外部委託先に侵入します。
  2. 取引先・外部委託先が持つ、ターゲット企業への正規のアクセス権(VPNなど)を奪取します。
  3. 正規のアクセス権を使い、取引先・外部委託先になりすましてターゲット企業に侵入します。
  4. ターゲット企業側からは「信頼できる正規アクセス」に見えるため、不正な侵入であると検知することが非常に困難です。

なぜ今、この攻撃が急増しているのか?

サプライチェーン攻撃が急増している背景には、以下のような要因があります。

  • クラウドサービスやAPI連携の普及により、企業間のシステム接続が増加
  • 中小企業や外部委託先のセキュリティ対策が不十分なケースが多い
  • 攻撃者にとって直接攻撃よりも効率的で、検知されにくい

つまり、攻撃者は「最も弱いリンク」を狙うことで、効率的かつ効果的に企業ネットワークへ侵入できるのです。 

企業が負う「被害者」と「加害者」の両面のリスクとは

サプライチェーン攻撃の恐ろしい点は、企業が「被害者」と「加害者」の二重のリスクを同時に負うことです。

  • 被害者としてのリスク:取引先を経由して攻撃され、自社がランサムウェアや情報漏洩などの直接的な被害(事業停止、復旧コスト、信用失墜)を受けます。
  • 加害者としてのリスク:自社が気づかないうちに踏み台とされ、顧客や他の取引先へ被害を拡大させてしまいます。この場合、自社が損害賠償請求や取引停止といった経営リスクを負うことになります。

サプライチェーン攻撃の主要パターンと手口

サプライチェーン攻撃は、侵入経路によって以下2つの主要パターンに分類されます。

攻撃パターン

侵入経路・手口

検知の難易度(防御側)

取引先経由

- 保守/開発委託先のVPNアカウント窃取
- 共有ネットワーク経由の侵入
- 取引先担当者のアカウント乗っ取り

中〜高 (正規の通信・権限に見えるため)

ソフトウェア経由

- 正規ソフトウェアのアップデートにマルウェア混入
- 利用するライブラリ/コンポーネントの汚染
- クラウドITサービス基盤への侵入

非常に高い (正規のアップデートとして配信・実行されるため)

パターン1:取引先経由

これは、「人」や「組織」を踏み台にする、最も古典的で多発しているパターンです。ターゲット企業とシステム連携している取引先や、保守・開発の委託先ベンダーを狙います。

攻撃の手順

  1. 攻撃者は、まずセキュリティが手薄な取引先(開発・保守ベンダーなど)に侵入します。
  2. 侵入した取引先のPCやアカウントを乗っ取り、ターゲット企業へアクセスするための正規のID・パスワード(VPN情報など)を奪取します。
  3. 奪取した正規の認証情報を使い、取引先になりすましてターゲット企業へ侵入します。

特徴

ターゲット企業からは「信頼できる取引先からの正規アクセス」に見えるため、検知が困難です。この手口は、信頼関係を逆手に取るため、従来のアクセス制御では防ぎきれないケースが多く、ゼロトラストの導入が有効です。

パターン2:ソフトウェア経由

これは、「モノ」や「サービス」を踏み台にする、より巧妙で大規模な被害につながりやすいパターンです。ターゲット企業が利用している正規のソフトウェアやITサービス(SaaS)の提供元を狙います。

攻撃の手順

  1. 攻撃者は、ターゲット企業が利用するソフトウェアの開発元やSaaS提供元に侵入します。
  2. ソフトウェアの開発環境に潜り込み、正規のアップデートファイルやライブラリにマルウェアを混入させます。
  3. ターゲット企業は、信頼された正規のアップデートとして、マルウェアとは知らずに自らインストールしてしまいます。

特徴

信頼しているベンダーからの「正規のプログラム」として実行されるため、防御側での検知は極めて困難です。この手口は、サプライチェーン全体のセキュリティ品質が問われるため、ベンダー評価やコード署名の検証が重要です。

サプライチェーンの弱点を悪用した攻撃事例|IPAの公開情報から学ぶ

サプライチェーン攻撃は、すでに国内外で甚大な被害を引き起こしており、独立行政法人情報処理推進機構(IPA)が発表する「情報セキュリティ10大脅威(組織編)」では常に上位にランクインしています。

【事例1】情報処理受託企業(取引先)への攻撃による大規模情報漏洩

2024年5月、情報処理業のI社はVPN経由の不正アクセスを受け、端末やサーバー等がランサムウェア攻撃を受けたことを公表した。また同年6月には、攻撃者が窃取したとされる情報のダウンロード用URLが攻撃者グループのリークサイトに掲載された。この攻撃によって、業務委託元の組織からは情報漏えいに関するお知らせが多数公表され、自治体だけでも約 50万件以上の個人情報の漏えいが判明している。また、業務委託元の1組織からは損害賠償請求を行う予定も報告された。

引用元:IPA「情報セキュリティ10大脅威 2025 解説書(組織編)」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf

この事例は、委託先である取引先(I社)が攻撃された結果、その顧客である「委託元」が甚大な被害(情報漏洩、信用の失墜、対応コスト)を受け、さらに攻撃された取引先自身が巨額の損害賠償リスクを負うという、サプライチェーン攻撃の深刻さを明確に示しています。

【事例2】大手物流・倉庫業者のシステム停止

2024年9月、物流業のK社は悪意のある第三者から不正アクセスを受け、サーバーがランサムウェアに感染したことを公表した。これにより、入出庫関連のシステムが停止し、生産・出荷業務の一部が一時停止となった。また、この攻撃によって影響を受けた業務委託元の多数の組織からも、出荷の遅延や一時停止等が公表された。なお、同年10月の調査結果では、個人情報の漏えいは確認されなかったと報告している

引用元:IPA「情報セキュリティ10大脅威 2025 解説書(組織編)」
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf

この事例は、情報漏えいには至らなかったものの、取引先のシステム停止が、即座に委託元(顧客)の販売機会損失などに直結することを示しており、事業継続性(BCP)の観点からもサプライチェーン・リスクがいかに深刻であるかを明確に示しています。

自社を守るために不可欠なセキュリティ対策(内部対策)

侵入を前提とした「ゼロトラスト」アーキテクチャへの移行

従来の「境界型防御」は、社内ネットワークは安全、外部は危険という考え方でした。しかし、サプライチェーン攻撃は、信頼できるはずの「取引先」から侵入してきます。

そこで重要になるのが「ゼロトラスト」という考え方です。「何も信頼せず、すべてのアクセスを検証する」という原則に基づき、たとえ正規アカウントによるアクセスであっても、その都度認証し、権限を最小限に絞ります。これにより、万が一取引先のアカウントが乗っ取られても、内部での被害拡大を食い止められます。ゼロトラストは、サプライチェーン攻撃のような「信頼の裏切り」に対抗する最も有効なアーキテクチャです。

EDR/XDRによるエンドポイントの監視と不審な挙動の検知

侵入された後、攻撃者は以下のような「不審な動き」を見せます。

  • 普段アクセスしないサーバーにアクセスする
  • 内部の情報を探索する
  • マルウェアを横展開しようとする

従来のアンチウイルス(EPP)では検知できないこれらの「振る舞い」を監視・検知するのが「EDR(Endpoint Detection and Response)」です。EDRをPCやサーバーに導入することで、サプライチェーン攻撃による侵入の兆候を早期に捉えることができます。さらに、ネットワークやクラウドまで監視対象を広げた「XDR(Extended Detection and Response)」は、より広範な脅威検知を可能にします。

関連記事:今さら聞けない「EDR」とは?基本的な役割と導入後の運用課題をわかりやすく解説

24時間監視を実現するSOC/MDRサービスの活用

EDRやXDRを導入するだけでは対策は完了しません。これらのツールは日々膨大な量のアラート(警告)を発します。そのアラートが本当に危険な脅威か、24時間365日体制で分析・判断し、即座に対応(端末の隔離など)する必要があります。

この高度なセキュリティ運用を自社でまかなうのは非常に困難です。そこで、専門家が24時間体制で監視・分析・対応を行う「SOC(Security Operation Center)」や「MDR(Managed Detection and Response)」サービスの活用が、現実的かつ効果的な対策となります。

サプライチェーン全体のリスク管理(外部対策)

自社の内部対策を固めるだけでなく、サプライチェーン攻撃の根本原因である「取引先の脆弱性」に対処する、外部向けのガバナンス構築も不可欠です。

対策フェーズ

主な目的

具体的な手法

1. リスクの可視化

取引先のセキュリティ状況を把握し、リスクを特定する

- セキュリティ・チェックシートによるアンケート調査
- 脆弱性診断の実施(特に重要な取引先)

2. 要件の明確化

取引先に遵守すべきセキュリティレベルを法的に定義する

- 契約書や取引基本規約へのセキュリティ条項の明記
- インシデント発生時の報告義務などを具体化

3. 体制の構築・支援

サプライチェーン全体のセキュリティレベルを底上げする

- 経産省「サイバーセキュリティ経営ガイドライン」等の活用
- 取引先へのセキュリティ教育や対策ソリューションの支援・推奨

まとめ:サプライチェーン攻撃対策は「協調」と「継続的なガバナンス」の時代へ

サプライチェーン攻撃は、もはや一企業単独の努力で防ぎきれる問題ではありません。「自社だけ守ればよい」という時代は終わり、自社が「被害者」にならないため、そして意図せず「加害者」にならないためにも、取引先との「協調」が不可欠です。サプライチェーン攻撃の対策とは、取引先を「リスク」として切り捨てることではなく、「パートナー」として共にセキュリティレベルを引き上げていく活動そのものなのです。サプライチェーン全体のセキュリティを「経営課題」として捉え、継続的なガバナンス体制を構築することが、今後の事業継続性と競争力の鍵となります。

【ホワイトペーパー】
人材不足・複雑化する脅威にどう立ち向かう?
MDRアウトソーシングで乗り越えるセキュリティ運用の壁

ホワイトペーパー
ダウンロード

関連記事 / おすすめ記事

Inquiry

お問い合わせ

お客様の業務課題に応じて、さまざまなソリューションの中から最適な組み合わせで、ご提案します。
お困りのことがございましたらお気軽にお問い合わせください。

お問い合わせはこちら
サービスカタログダウンロードお問い合わせ