Logo

キーワード 日本語

キーワード 英語

サプライチェーン攻撃 2025-03-26

サプライチェーン攻撃(Supply Chain Attack)とは、企業や組織が利用する製品・サービス・ソフトウェアなどの供給元や外部パートナーを狙うことで、最終的な標的(企業や顧客)への侵入やデータ漏えいを狙う攻撃手法の総称です。従来、サイバー攻撃といえば企業内部のシステムを直接狙うケースが多かったのですが、近年はセキュリティ対策の甘い取引先やソフトウェア更新(アップデート)プロセスなどを悪用して侵入する例が急増しており、これを総じてサプライチェーン攻撃と呼びます。

サプライチェーン攻撃の典型的な手口

ソフトウェアアップデートの改ざん

  • ソフトウェアベンダーや開発者の環境に侵入し、正規のアップデートにマルウェアを埋め込む。
  • 利用企業が「正規アップデート」として適用すると、気づかないままマルウェアに感染してしまう。

開発環境・ビルドプロセスへの侵入

  • ソフトウェアやサービスを開発・コンパイルする工程(CI/CD パイプラインなど)を乗っ取り、ソースコードや実行ファイルを改ざんする。
  • オープンソースのライブラリや依存パッケージへ悪意あるコードを潜ませる「ソフトウェアサプライチェーン攻撃」も増えている。

下請け・外注先の脆弱性を悪用

  • 下請け企業やパートナー企業が本来は限定的な権限しかないはずでも、標的企業のシステムへ VPN やリモートアクセスでつながっているケースがある。
  • 攻撃者は取引先へまず侵入し、そこからメインターゲットへ横展開する。

ハードウェア・物理的なサプライチェーンの改ざん

  • 通信機器や電子部品の生産過程で、不正チップや改変されたファームウェアを仕込む。
  • 出荷・配送ルートでこっそり物理的に製品を差し替えたり、盗難して装置を改ざんして戻すなどの手口も含まれる。

サプライチェーン攻撃が増える理由

セキュリティレベルの「弱いところ」を狙いやすい

  • 大企業・政府機関には強固なセキュリティが導入されている場合が多いが、そのパートナー企業や外注先のセキュリティ水準はまちまちである。
  • 攻撃者は「踏み台」となりやすい脆弱な取引先をまず狙う。

波及効果が大きい

  • 正規のアップデートにマルウェアが混入すると、多数の企業・ユーザーが一斉に被害に遭う可能性がある。
  • コストパフォーマンスの面でも、攻撃者にとって効率が高い。

クラウドや SaaS の普及

  • 企業がクラウドベースのサービスやサードパーティー製ツールに依存するほど、そのプロバイダ側のセキュリティインシデントは大規模被害に直結しやすい。

対策のポイント

  1. ソフトウェアやベンダーの信頼性確認

    • 重要システムで使用するソフトウェアやライブラリは、デジタル署名やハッシュ値照合を確認したうえで導入する。
    • 開発環境やビルドパイプラインに対しても、アクセス制御や多要素認証、脆弱性スキャンを徹底する。

  2. サードパーティ・リスクマネジメント(TPRM)・定期監査

    • 取引先や外部委託先のセキュリティレベルを評価し、契約書やセキュリティ要件を通じて対策を義務付ける。
    • 継続的にリスクをモニタリングし、問題があれば早期に是正指導を行う。

  3. ゼロトラスト・セグメンテーションの導入

    • 自社ネットワークに接続する全てのアクセスを「信用しない」前提で検証(ゼロトラストアーキテクチャ)。
    • ネットワークのセグメント分割(ゾーニング)を強化し、万一侵入されても被害範囲を限定する。

  4. インシデント対応体制と BCP の整備

    • サプライチェーンを踏まえた BCP(事業継続計画)を策定し、主要ベンダーが攻撃された場合にどのように復旧や代替を行うかを計画しておく。
    • CSIRT を中心としたインシデント対応フローや連絡体制を定期的に訓練する。

  5. 脅威インテリジェンスの活用

    • サイバー攻撃者の手口や動向をリアルタイムで把握することで、攻撃キャンペーンが拡大している分野・ツールを先んじて警戒する。
    • オープンソースの脅威情報や専門ベンダーの情報サービスを活用し、可能な限り早期にアップデートや警告を行う。

日本国内でのサプライチェーン攻撃例

トヨタ自動車関連サプライチェーン攻撃(2022 年)

2022 年 2 月下旬、トヨタの主要部品サプライヤーである小島プレス工業(Kojima Industries)がランサムウェア攻撃を受けたと報じられました。

攻撃の影響で同社のシステム障害が発生し、受発注データなどのやり取りが一時的に停止。トヨタ自動車は部品供給に支障が出るのを避けられず、国内工場の稼働を一斉に停止する措置を余儀なくされました。

攻撃者はサプライヤーを標的にし、そのサプライヤーのシステム障害が大手メーカーの生産を止める結果につながりました。
直接トヨタの社内ネットワークを突破しなくても、部品の供給元に打撃を与えることで、最終的にトヨタの生産ラインへ大きな影響を及ぼした典型例と言えます。

Fujitsu「ProjectWEB」関連の情報漏えい(2021 年)

2021 年 5 月頃、富士通が提供する情報共有ツール「ProjectWEB」が不正アクセスを受け、顧客のデータが流出した事案が明らかになりました。

このツールは日本政府の複数省庁や自治体、企業などが共同プロジェクトや文書管理に利用していたため、外部からの不正アクセスによって各所の機密情報が漏洩する恐れが問題視されました。
その後、内閣サイバーセキュリティセンター(NISC)なども事態を把握し、被害範囲調査と対策を実施。

富士通のクラウドサービス(サードパーティー的な立ち位置)を狙うことで、同ツールを利用していた多数の組織へ一斉に被害が及ぶ可能性があった。
利用企業(省庁含む)としては、自らが管理するシステムに侵入されたわけではなく、サプライヤーが提供するサービスの脆弱性を突かれた点が特徴的。

三菱電機への攻撃(2020 年報道)

2020 年 1 月に公表された三菱電機の情報漏えい事件は、初動での侵入経路として「協力会社(下請け企業)のアカウント情報が不正利用されたのではないか」と報じられました。
中国系ハッカー集団が関与した可能性も取り沙汰され、軍事関連や重要インフラ向け機器を扱う大手企業である三菱電機の機微情報流出が懸念されました。

直接三菱電機の社内システムを突破する代わりに、外部協力会社のネットワークや認証情報を先に掌握し、そこから三菱電機本体へ横展開したとみられています。
サプライヤーや協力会社との VPN 連携・ファイル共有などのプロセスが突かれる典型的な手口。

NEC、他の大手企業でも類似の疑い(2020 年前後)

2020 年前後、日本の大手電機メーカーや防衛関連企業へのサイバー攻撃が相次いで報じられました。
NEC も同時期に情報漏えい事件を公表し、外部からの不正アクセスによる社内の一部ファイル流出を確認。詳細は非公表の部分が多いものの、一部報道では「グループ会社やビジネスパートナーとのやり取りを足掛かりに侵入された可能性」が指摘されています。

大手総合電機メーカーの場合、製品開発や SI(システムインテグレーション)で多種多様な協力会社・下請け企業が存在し、各社がシステムを連携させています。
こうした複雑なサプライチェーン構造が、攻撃者にとっては「どこか脆弱な入り口を探せば、大手企業本体にたどり着ける」機会になりやすい。