supply-chain-attack-cases

サプライチェーン攻撃の事例を紹介! 被害事例から見える対策法とは

by ブログ

近年、大企業のセキュリティ対策が強化される一方で、取引先や委託先を経由したサイバー攻撃が急増しています。こうした「サプライチェーン攻撃」は、セキュリティが手薄な組織を踏み台にして本来の標的に侵入する手法であり、一企業への攻撃が業界全体に波及する深刻な被害をもたらします。

本記事では、国内外の具体的な被害事例を紹介し、攻撃の手口や効果的な対策方法を詳しく解説します。

 

サプライチェーン攻撃とは

サプライチェーン攻撃とは、標的企業を直接攻撃するのではなく、セキュリティ対策が手薄な取引先・子会社・委託先などを経由して侵入するサイバー攻撃手法です。

攻撃者は「サプライチェーン(供給網)」の中で最も脆弱な部分を狙い、そこを踏み台にして本来の標的である大企業や重要インフラに到達します。大企業が高度なセキュリティ対策を施していても、取引先の中小企業が攻撃の入り口となり、正規の通信経路を悪用されるため、検知が非常に困難です。

IPAの定義では「商流に関わる組織間の関係性を悪用した攻撃」と位置づけられており、企業間の信頼関係そのものが攻撃の手がかりとなります。

サプライチェーン攻撃については、以下の記事で詳しく解説しています。あわせてお読みください。

サプライチェーン攻撃とは? 攻撃方法やその対策を紹介

 

サプライチェーン攻撃が増加している背景

IPAの「情報セキュリティ10大脅威 2025」において、サプライチェーン攻撃は組織向け脅威の2位にランクインしています。

大企業のセキュリティ対策が強化される一方、中小企業は人材・予算の制約から対策が遅れがちであり、攻撃者にとって「入り口」として狙われやすい状況にあります。

さらに、デジタル化の進展により、企業間のシステム連携やクラウドサービス利用が拡大し、攻撃対象となる接点が増加していることも要因です。一社のセキュリティ対策が不十分だと、サプライチェーン全体がリスクに晒されるため、企業単体ではなく供給網全体での防御が求められています。

 

サプライチェーン攻撃の主な手口

サプライチェーン攻撃には、攻撃者の目的や標的によってさまざまな手口が存在します。ここでは、代表的な3つの攻撃手法について解説します。

 

取引先・委託先を踏み台にする攻撃(アイランドホッピング攻撃)

アイランドホッピング攻撃は、セキュリティ対策が脆弱な取引先や業務委託先に侵入し、そこから本来の標的企業のネットワークへアクセスする手法です。

攻撃者は取引先との正規の通信経路やVPN接続を悪用するため、標的企業側では不正アクセスと認識されず、検知が非常に困難です。通常の業務通信と区別がつかないため、従来のセキュリティ対策では防ぎきれません。

特に、海外子会社や地方拠点など、本社と比較してセキュリティレベルが低い組織が狙われやすい傾向にあります。

 

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発・配布過程に悪意のあるコードを混入させ、そのソフトウェアを利用する多数の組織に被害を拡大させる手法です。

正規のソフトウェアアップデートに見せかけてマルウェアを配布するため、利用者は信頼できる提供元からのアップデートと認識し、気づかずに感染してしまいます。開発環境やビルドサーバーへの侵入により、ソースコード自体が改ざんされるケースもあります。

近年、オープンソースライブラリや外部モジュールへの依存が高まる中、開発段階でのセキュリティ管理の重要性が増しています。

 

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダー)やクラウドサービス事業者など、ITサービスを提供する企業を攻撃し、そのサービスを利用する顧客企業に被害を波及させる手法です。

1社のサービス事業者が侵害されると、そのサービスを利用する数百から数千社に同時に影響が及ぶ可能性があり、被害規模が極めて大きくなります。攻撃者は効率的に多数の組織を侵害できるため、近年特に狙われやすくなっています。

クラウドサービスの普及に伴い、多くの企業が外部サービスに依存する現状では、この攻撃手法のリスクが一層高まっています。

 

サプライチェーン攻撃の国内事例

日本国内でも、サプライチェーン攻撃による深刻な被害が相次いで報告されています。ここでは、近年発生した代表的な3つの事例を紹介します。

 

アサヒグループホールディングス(2025年9月)

2025年9月29日、アサヒグループホールディングスがランサムウェア攻撃を受け、国内の全業務システムが停止しました。

商品の受注・出荷業務が全面停止し、国内工場の生産も一時停止に追い込まれる事態となりました。特に深刻だったのは、セブンイレブンやイオンなど大手小売業者向けのPB(プライベートブランド)商品の出荷が停止したことです。この影響により、サプライチェーン全体に被害が波及しました。

復旧には約2カ月を要し、段階的にシステムを再稼働させる長期対応を余儀なくされ、企業活動への影響は甚大でした。

2025年に発生した国内のサイバー攻撃事例については、以下の記事で詳しく解説しています。あわせてお読みください。

【2025年最新】国内外のサイバー攻撃事例10選!対策方法も紹介

 

アスクル(2025年10月)

2025年10月19日、アスクルがランサムウェア攻撃を受け、システム障害が発生しました。法人向けサービス「ASKUL」および個人向けサービス「LOHACO」の受注・出荷業務が全面停止する事態となりました。

さらに深刻だったのは、物流業務を委託していた無印良品、LOFT、そごう・西武などのオンラインストアにも被害が波及したことです。一企業への攻撃が、取引関係にある複数の企業に連鎖的に影響を及ぼしました。

また、約72万件以上の個人情報流出が確認され、初期侵入から攻撃発動まで約4カ月の潜伏期間があったことも判明しています。

 

トヨタ自動車・小島プレス工業(2022年3月)

2022年3月、トヨタ自動車の主要サプライヤーである小島プレス工業がランサムウェア攻撃を受けました。

小島プレス工業のシステム停止により、トヨタは国内全14工場28ラインの稼働を1日停止せざるを得ない事態となりました。この影響で約1万3000台の生産に支障が出たとされています。

この事例は、サプライチェーンの1社への攻撃が大企業の生産活動を直撃した象徴的なケースとして広く知られています。取引先企業のセキュリティ対策の重要性を改めて認識させる契機となり、企業間での連携強化の必要性が強く意識されるようになりました。

 

サプライチェーン攻撃の海外事例

サプライチェーン攻撃は世界規模で発生しており、特に海外では大規模な被害事例が報告されています。ここでは、国際的に注目された2つの事例を紹介します。

 

SolarWinds事件(2020年12月)

2020年12月、米国のIT管理ソフトウェア企業SolarWindsの製品「Orion」にバックドアが仕込まれ、同製品を利用する世界中の組織が被害を受けました。

米国政府機関(国務省、財務省、国土安全保障省など)を含む約18,000組織に影響が及んだとされ、被害規模は前例のないものとなりました。攻撃者は正規のソフトウェアアップデートを通じてマルウェアを配布したため、利用者は信頼できる提供元からの更新として受け入れ、検知が極めて困難でした。

この事件は、ソフトウェアサプライチェーン攻撃の危険性を世界に知らしめた象徴的な事例として認識されています。

 

Kaseya VSA事件(2021年7月)

2021年7月、米国のIT管理ソフトウェア企業KaseyaのリモートIT管理ツール「VSA」が攻撃を受け、同ツールを利用するMSP(マネージドサービスプロバイダー)経由で多数の企業がランサムウェアに感染しました。

直接の被害を受けたMSPは約60社、その顧客企業を含めると最大1,500社以上に影響が及んだとされています。1つのソフトウェアの脆弱性を突くことで、MSPを経由して連鎖的に被害が拡大しました。

この事件は、サービスサプライチェーン攻撃により、1つの脆弱性が多層的に被害を拡大させた典型例として、企業のサプライチェーンリスク管理の重要性を示しています。

 

サプライチェーン攻撃への対策

サプライチェーン攻撃から企業を守るには、自社だけでなくサプライチェーン全体でのセキュリティ強化が不可欠です。ここでは、効果的な3つの対策を紹介します。

 

自社のセキュリティ対策を強化する

サプライチェーン攻撃への対策として、まず自社のセキュリティ基盤を強化することが重要です。

エンドポイント対策(EDR)の導入により、侵入後の不審な挙動を早期に検知・対応できます。多要素認証(MFA)の導入は、認証情報が漏えいした場合でも不正アクセスを防止する効果があります。

また、定期的な脆弱性診断とセキュリティパッチの適用により、攻撃者に悪用される脆弱性を減らすことが可能です。WAF(Web Application Firewall)の導入も効果的で、Webアプリケーションへの攻撃を検知・遮断できます。

WAFについては、以下の記事で詳しく解説しています。あわせてお読みください。

セキュリティ対策に有効なWAFとは?仕組みや種類、おすすめ製品を紹介

 

取引先・委託先のセキュリティを評価・管理する

自社のセキュリティを強化するだけでなく、取引先や委託先のセキュリティ対策状況を定期的に確認・評価する仕組みを構築することが重要です。

契約時にセキュリティ要件を明記し、遵守状況を監査できる条項を盛り込むことで、取引先にも一定のセキュリティ水準を求めることができます。セキュリティチェックシートの提出や定期監査により、リスクの高い取引先を把握しましょう。

また、サプライチェーン全体でセキュリティ基準を共有し、対策が不十分な組織を支援する体制も必要です。

 

インシデント対応体制とBCPを整備する

サイバー攻撃を受けた際の初動対応手順を明確化し、関係者間で共有・訓練しておくことが重要です。迅速な初動対応により、被害の拡大を最小限に抑えることができます。

特にランサムウェア対策として、バックアップデータはオフライン環境にも保管し、暗号化被害を受けても復旧できる体制を整えましょう。ネットワーク接続されたバックアップのみでは、同時に暗号化されるリスクがあります。

また、事業継続計画(BCP)にサイバー攻撃のシナリオを追加し、業務停止時の代替手段を準備しておくことも不可欠です。

 

まとめ

サプライチェーン攻撃は、取引先や委託先といった「弱い環」を狙う巧妙な手法であり、一企業への攻撃が業界全体に波及する深刻な脅威です。自社だけでなく、サプライチェーン全体でセキュリティレベルを向上させることが不可欠です。

自社のセキュリティ対策として、WAF(Web Application Firewall)の導入は有効な手段のひとつです。「Cloudbric WAF+」は、Webアプリケーションへの攻撃を検知・遮断するクラウド型WAFで、AIによる自動検知機能を備えています。

サプライチェーン攻撃への対策をお考えの方は、ぜひお気軽にお問い合わせください。

サプライチェーン攻撃

サプライチェーン攻撃とは? 攻撃方法やその対策を紹介

by ブログ

サプライチェーン攻撃

サプライチェーン攻撃は、標的となる企業に対して直接攻撃を行わず、セキュリティの脆弱な関連企業や取引先・委託先を狙うサイバー攻撃です。
この記事では、自社が取引先企業などに重大な損失を与える原因とならないためにも、企業の経営者が把握しておくべきサプライチェーン攻撃について、概要や攻撃方法、攻撃への対策などを解説します。

 

 

サプライチェーン攻撃とは

サプライチェーンとは、製品の企画から原材料の調達、製造、販売、消費までの一連の流れのことです。メーカー以外にも、製品の原材料を販売する企業や部品を製造する企業など、複数の企業が関連しているケースも少なくありません。

サプライチェーン攻撃は、こうした組織間または企業間のつながりを悪用して、目的の企業に直接攻撃するのではなく、セキュリティが弱い関連企業や取引先を標的に行われる間接攻撃です。業務委託先の企業や周囲の取引先などを攻撃して侵入してから、その企業を介して強固なセキュリティ対策を行っている企業に対して攻撃を仕掛けます。

ターゲットとする企業が使用するソフトウェアや更新プログラム、ハードウェアなどに不正なプログラムを組み込んで、マルウェアなどに感染させる攻撃方法もあります。

 

 

サプライチェーン攻撃の攻撃方法

・ハードウェアやソフトウェアを介した攻撃

ハードウェアやソフトウェアを介して実施される攻撃は、ソフトウェアサプライチェーン攻撃と呼ばれます。攻撃者が製造段階や提供段階で不正なコードを入れたソフトウェアを制作・提供し、企業内に入り込んだ不正コードの働きにより攻撃が開始される手法です。企業が使用しているソフトウェアをアップデートした際にマルウェアに感染し、不正にアクセスされるケースなどが考えられます。

自社が対策を行っていても、セキュリティの弱い関連企業のソフトウェアが感染させられ、ほかの企業を介してネットワークに侵入されるケースもみられます。比較的感染に気づきにくい方法のため、充分に対策を行うことが重要です。

 

・サービス事業者を介した攻撃

攻撃者がプロバイダなどに対して不正アクセスを行ってから、プロバイダがサービスを提供している顧客を狙う手法です。プロバイダを介して、顧客の企業にランサムウェアを拡散させるため、広範囲にわたって攻撃が実行されます。

サプライチェーンには、ターゲット企業の子会社、海外拠点、関連会社などさまざまな企業が該当します。サービス事業者を介した攻撃はサービスサプライチェーン攻撃とも呼ばれ、狙われるのは主に企業が利用しているWebサービスやMSP(Managed Service Provider)などです。

 

・委託先を介した攻撃

委託先を介した攻撃とは、ターゲット企業の取引先を調査してから、セキュリティが弱い委託先に攻撃を仕掛ける手法です。システム開発や顧客情報の管理などを委託している場合には、業務を委託している企業が狙われ不正アクセスが実行されます。

委託先企業から機密情報を盗み、ターゲット企業から金銭を脅し取るケースも見られます。

 

 

サプライチェーン攻撃への対策

・サプライチェーン全体の状況を把握する

サプライチェーン攻撃は自社だけでなく、取引先や委託先など、サプライチェーン全体で取り組む必要があります。そのためには、ビジネスを始める際にセキュリティ対策の内容を明確に定めてから契約を行うことが重要です。対策を共同で行うため、系列企業や委託先企業などが取り入れている対策の状況を把握する必要もあります。

対策状況は、定期的に確認を行います。万が一サプライチェーン攻撃を受けた場合に備えて、攻撃の被害を確認、報告する体制を整えることも重要です。

 

・情報セキュリティ教育の実施や対応フローの確立をする

社員の情報セキュリティに対する意識改革も対策のひとつです。たとえ情報セキュリティ対策を実施していても、社員のセキュリティ意識が低い場合には確実な対策ができません。

社内の情報セキュリティに対する意識を高めるには、研修や社員教育を行うことが重要です。社員が必要な知識を身につけることで、ヒューマンエラーによるマルウェア感染の防止にもつながります。

サイバー攻撃を受けたケースまで想定し、トラブル発生時の対応フローを設定しておくと、迅速な対応も可能です。

 

・OSやソフトウェアは最新にしておく

OSやソフトウェアには、「セキュリティホール」と呼ばれる情報セキュリティ上の脆弱性が発生する場合があります。セキュリティホールを狙って攻撃が行われるケースもあるため、OSなどは常に最新の状態にアップデートしておきましょう。

OSやソフトウェアメーカーは、発見したセキュリティホールを修復するため、更新プログラムをユーザーに配布しています。OSなどの脆弱性を修正する更新プログラムは、受け取った際にすぐ実行することが大事です。

 

・セキュリティソフトを導入する

ウイルス感染を防ぐには、セキュリティソフトの導入が適しています。これは基本的なセキュリティ対策として多くの企業が導入している方法です。

セキュリティソフトは、ウイルス対策やファイアウォールなどの機能で、ウイルス感染や不正侵入、さまざまなサイバー攻撃からネットワークとコンピュータを守ってくれます。導入後にはこまめなアップデートを行い、最新の状態を維持しておきましょう。

 

・ネットワーク対策を行う

サプライチェーン攻撃では、関連企業などを介して攻撃される恐れがあるため、被害を最小限に抑える目的でネットワーク上の対策も必要です。たとえば、重要な情報に関わるデバイスやネットワークは、他のネットワークとはつなげずに独立させておくことも対策になります。

ネットワークが独立していると、万が一攻撃を受けた際にも、他のネットワークから重要なデータへのアクセスを防ぐことが可能です。また、アクセス制限を設けるなどの対策も、外部からの攻撃を阻止するのに役に立ちます。

 

・パスワード対策を行う

不正なアクセスを防ぐため、推測や解析されにくいパスワードを設定することも重要です。さまざまなシステムやネットワークで同じパスワードを使い回していると、万が一パスワードが外部へ流出した際に被害が拡大しかねません。

パスワード対策では、長く、複雑なパスワードを設定し、パスワードの使い回しを防止しましょう。さらに、パスワードが流出した場合に備えて、多要素認証と組み合わせる方法でセキュリティを強化することも効果的です。

 

まとめ

サプライチェーン攻撃は、製品の企画、原材料の調達から消費まで、事業活動の一連の流れにおいて関係する企業を介し、目的の企業に攻撃を仕掛けるサイバー攻撃です。主に企業が使用するソフトウェア、サービス事業者、委託先などを介して行われます。
サプライチェーンのなかでもセキュリティが脆弱な企業を狙って攻撃されるため、全体のセキュリティ対策状況を把握することが重要です。ほかにも、OSを最新にしておく、セキュリティソフトを導入するなどの対策が考えられます。

より万全な対策を求める場合には、WAFに加えて脅威IPや悪性ボットの遮断といった機能を備えるクラウド型WAFサービス「Cloudbric WAF+」の導入をご検討ください。