業界動向

サプライチェーン攻撃とは?2025年の国内事例と企業が取るべき対策

サプライチェーン攻撃とは?2025年の国内事例と企業が取るべき対策

4年連続2位:サプライチェーン攻撃が止まらない理由

IPA(独立行政法人情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威(組織編)」において、「サプライチェーンの弱点を悪用した攻撃」は2023年から2026年まで4年連続で2位にランクインしています。1位のランサムウェア攻撃と並んで、日本企業が最も警戒すべき脅威として位置づけられています。

なぜサプライチェーン攻撃はこれほど注目されているのでしょうか。その理由は、攻撃の「コストパフォーマンス」にあります。大企業は一般的にセキュリティ投資が充実しており、直接的な攻撃が困難です。そこで攻撃者は、大企業と取引関係にある「委託先・サプライヤー・ソフトウェアベンダー」を足がかりにして侵入を試みます。

セキュリティ体制の整っていない中小企業の委託先を侵害すること(あるいはそこが使うソフトウェアに悪意あるコードを混入させること)で、攻撃者は最終的に大企業のシステムへのアクセスを得られます。一度の攻撃で多数の大企業を攻撃できる効率性が、サプライチェーン攻撃を攻撃者にとって魅力的な手口にしています。

サプライチェーン攻撃の仕組み:2つのタイプ

サプライチェーン攻撃には大きく「ビジネスサプライチェーン型」と「ソフトウェアサプライチェーン型」の2種類があります。

タイプ①:ビジネスサプライチェーン型

大企業と業務委託関係にある委託先・協力会社のシステムを侵害し、そこを踏み台として本体組織のシステムに侵入する攻撃です。

典型的な侵入経路:

  1. 委託先企業にランサムウェアやリモートアクセス型マルウェアを感染させる
  2. 委託先から発注元への通信経路(VPN・EDI・リモートアクセス等)を悪用する
  3. 発注元のシステムに侵入し、機密情報の窃取・暗号化・改ざんを実行する

特にVPN接続を持つ保守業者や、クラウド環境への管理者アクセスを持つシステム会社が標的になりやすく、「信頼された第三者」を装うことで内部に深く侵入できます。

タイプ②:ソフトウェアサプライチェーン型

企業が使用するソフトウェア・ライブラリ・アップデートに悪意あるコードを混入させる攻撃です。2020年に発覚した「SolarWinds攻撃」が世界的に有名な事例で、IT管理ソフトウェアのアップデートに悪意あるバックドアが仕込まれ、米国政府機関を含む多数の組織が被害を受けました。

オープンソースソフトウェア(OSS)の脆弱性悪用も深刻です。2021年に発覚したLog4Shell(CVE-2021-44228)では、Java向けロギングライブラリ「Log4j」の脆弱性が世界中で悪用されました。多くの企業が自社のどのシステムにLog4jが使われているかを把握できておらず、対応に大幅な遅れが生じました。

2025年の国内事例:何が起きたか

LAC ToolShell攻撃キャンペーン(2025年)

2025年に国内で大きな注目を集めたのが、Microsoft SharePoint Serverの脆弱性(「ToolShell」と呼ばれるゼロデイ脆弱性)を悪用した一連の攻撃キャンペーンです。中国系の国家支援型サイバー攻撃グループによるものとされ、SharePointを経由してシステム管理ツール(LOLBins:Living Off the Land Binaries)を使った侵入が確認されました。

重要なのは、このような攻撃の多くが委託先のIT管理者が管理するシステムを経由して本体組織に侵入しているという点です。委託先のパッチ適用遅延・アクセス管理の不備が侵入の起点となっています。

自動車部品サプライヤーへのランサムウェア攻撃

国内大手自動車メーカーの部品サプライヤーを狙ったランサムウェア攻撃は、2022年の豊田自動織機・デンソーへの攻撃以来、継続して発生しています。2025年も複数の自動車関連サプライヤーがランサムウェア被害を受け、生産ライン停止という深刻な影響が生じました。

製造ラインを停止させるために金銭を要求するこの手口は、「ダブルエクストーション(二重脅迫)」として機能しており、被害企業は「身代金を支払わなければ生産が止まる」という状況に追い込まれます。

ランサムウェアの詳細な手口と対策については、ランサムウェア攻撃の手口と企業が取るべき対策をご覧ください。

医療機関・公共機関への委託先経由攻撃

2025年も医療情報システムや自治体の基幹システムを管理するITベンダーへの攻撃が複数報告されています。患者データ・住民情報の流出リスクだけでなく、医療サービスや行政サービスの停止という社会インフラへの影響が深刻化しています。

委託先評価の方法:3つのアプローチ

サプライチェーン攻撃への対策の核心は「委託先のセキュリティ水準を把握・管理すること」です。以下の3つのアプローチを組み合わせることが有効です。

アプローチ①:セキュリティ質問票(Security Questionnaire)

委託先に対してセキュリティ対策の状況を書面で確認する手法です。以下の項目を含む質問票を作成し、定期的(年1回以上)に回答を求めます。

質問票に含めるべき主要項目:

  • 情報セキュリティポリシーの有無・最終更新日
  • 脆弱性スキャン・ペネトレーションテストの実施状況
  • インシデント対応計画の有無・訓練の実施状況
  • 多要素認証(MFA)の導入状況
  • バックアップ・リストア手順の整備状況
  • 再委託先(第4次委託先まで)の管理状況
  • ISMSや第三者認証の取得状況

質問票への回答だけでは実態を確認できないため、疑義がある場合は追加のヒアリングや訪問調査を実施します。

アプローチ②:第三者評価・外部評価サービスの活用

SecurityScorecard・BitSight・KELA(旧Cyphera)などのサードパーティリスク管理(TPRM)サービスを使うと、委託先のセキュリティスコアを外部から継続的にモニタリングできます。これらのサービスは、委託先のシステムに対してインターネット側から非侵襲的なスキャンを行い、脆弱なサービスの公開状況・パッチ適用状況・フィッシングリスクなどをスコア化します。

質問票は「委託先が自己申告する情報」ですが、外部評価サービスは「外から見た実態」を示すため、両者を組み合わせることで精度が向上します。

アプローチ③:契約条項への盛り込み

委託契約・取引基本契約にセキュリティ要件を明記することが重要です。以下の条項を検討してください。

  • セキュリティ基準の遵守義務:ISO 27001・NIST CSFなどの基準への準拠を求める
  • インシデント発生時の通知義務:インシデント発生から24〜72時間以内の報告義務を定める
  • 監査権の確保:発注者が委託先のセキュリティ状況を監査できる権利を契約に明記する
  • 再委託の制限・承認:再委託先へのセキュリティ要件の流下を義務づける

SBOM活用:ソフトウェア部品の脆弱性管理

ソフトウェアサプライチェーンリスクへの対策として、SBOM(Software Bill of Materials、ソフトウェア部品表)の活用が世界的に注目されています。

SBOMとは、ソフトウェアを構成するコンポーネント(OSSライブラリ・フレームワーク・サードパーティ製ソフトウェア)を一覧化した「部品表」です。SBOMを整備することで、新たな脆弱性が公開された際に「自社のどのシステムに影響があるか」を迅速に特定できます。

Log4Shell発覚時に多くの企業が対応に時間を要した最大の理由は、「自社システムのどこにLog4jが使われているか把握できていなかった」ことでした。SBOMがあれば、このような調査に要する時間を大幅に短縮できます。

SBOMの詳細な導入方法については、SBOMとは?製造業・ソフトウェア企業が今すぐ知るべき理由と対応方法をご覧ください。

経産省「サプライチェーン強化に向けたセキュリティ評価制度」(2026年度開始)

経済産業省は2026年度から「サプライチェーン強化に向けたセキュリティ評価制度」を開始する方針を示しています。この制度は、企業(特に重要インフラ関連企業)が取引先のセキュリティ水準を客観的に評価できる仕組みの整備を目的としています。

制度の概要:

  • 評価基準の標準化:委託先評価に使用するセキュリティ評価基準を国が策定・公開
  • 第三者認証の活用:ISO/IEC 27001等の既存認証との連携
  • 中小企業向け支援:評価コストが高い中小企業向けの支援策

この制度が本格稼働すると、大企業は委託先のセキュリティ評価結果の提出を求めることが慣例化し、セキュリティ水準が低い委託先は取引機会を失うリスクが生じます。特に製造業・金融・医療・エネルギー等の重要インフラ関連企業の委託先は、早急な対応が求められます。

AIによるサプライチェーン攻撃の高度化

2026年においては、AIを活用したサプライチェーン攻撃の高度化も懸念されます。特に「バイブコーディング(Vibe Coding)」と呼ばれるAI支援コーディングツールを使って生成されたコードに、意図しない脆弱性や悪意あるコードが混入するリスクが指摘されています。

開発者がCopilotやCursor等のAIコーディングアシスタントを使って生成したコードをレビューなしに本番環境に適用することで、発見されにくいバックドアや脆弱なコードがソフトウェアサプライチェーンに混入するリスクがあります。

AIが変えるサイバー攻撃の全体像については、AIが変えるサイバー攻撃の実態:2026年に企業が警戒すべき5つの脅威でも詳しく解説しています。

企業が今すぐ取り組むべき5つの対策

対策①:委託先の一覧作成とリスクの優先度付け

まず自社のすべての委託先・取引先を一覧化し、「自社の機密情報へのアクセス権限を持つか」「自社システムへのリモートアクセスを持つか」という観点でリスクの高い委託先を特定します。全委託先に均等にリソースを投入することは非現実的なため、優先度に基づいた管理が必要です。

対策②:最小権限の原則の徹底

委託先に付与するアクセス権限を「業務に最低限必要な権限のみ」に限定します。特にVPN接続や管理者権限は、必要な期間・時間帯のみ有効にする「ジャストインタイムアクセス」の仕組みを導入することが有効です。

対策③:多要素認証(MFA)の全面導入

委託先・取引先が使用するアカウント(VPN・クラウドコンソール・業務システム等)への多要素認証を必須化します。パスワード漏洩だけでは侵入できない環境を作ることで、委託先経由の侵入リスクを大幅に低減できます。

対策④:インシデント対応計画への委託先シナリオの組み込み

インシデント対応計画(IRP)に「委託先がランサムウェアに感染した場合」「委託先経由で自社に侵入された場合」というシナリオを追加します。初動対応(委託先との通信の切断・影響範囲の特定)から復旧手順まで、事前に定義しておくことが重要です。

対策⑤:ソフトウェア部品の把握(SBOM整備の開始)

自社が開発・運用するシステムに使用されているOSSライブラリとサードパーティ製ソフトウェアを把握するため、SBOM整備を始めます。全システムを一度に対応することが難しい場合は、重要度の高い基幹システムから順次対応を進めます。

よくある質問(FAQ)

Q1. 中小企業もサプライチェーン攻撃の対策が必要ですか?
A. はい、むしろ中小企業こそ重要です。大企業から見れば中小企業の委託先は「侵入しやすい踏み台」として狙われます。一方、中小企業側も大企業の顧客を持つことで攻撃者の標的になりやすく、攻撃された場合は取引機会の喪失・賠償責任という深刻な結果につながります。

Q2. 委託先評価の質問票は何社程度に送るべきですか?
A. 全委託先への質問票送付が理想ですが、現実的には「重要委託先(自社の機密情報・システムへのアクセスを持つ委託先)」に絞り込むことをお勧めします。まず自社システムへのアクセス権を持つ委託先から優先的に評価を始め、段階的に対象を広げていく方法が実践的です。

Q3. ISMS(ISO/IEC 27001)を取得している委託先は安全ですか?
A. ISMS取得は一定のセキュリティ管理体制を示しますが、それだけで「安全」とは言い切れません。ISMSは「セキュリティ管理の仕組みが存在すること」を認証するものであり、具体的な技術的対策の水準を保証するものではありません。ISMS取得を評価に加点要素として扱いながらも、質問票や外部評価との組み合わせが推奨されます。

Q4. 委託先のセキュリティが不十分だとわかった場合、どうすれば?
A. まず委託先に改善を求める期限を設けた改善計画の提出を求めます。改善が見込めない場合は、アクセス権の制限・システム接続の切り離し・契約の見直しを検討します。また、委託先選定の段階でセキュリティ評価を実施する仕組みを整備することで、リスクの高い委託先との新規取引を避けられます。

Q5. サプライチェーン攻撃とゼロトラストの関係は?
A. ゼロトラストの「すべてのユーザー・デバイス・通信を信頼しない」という原則は、委託先経由の侵入対策に直結します。特に「ネットワークセグメンテーション(委託先のアクセス範囲を制限)」「継続的な認証・認可検証(委託先のアクセスをリアルタイムで監視)」はゼロトラストの中核的な対策として機能します。

Q6. 経産省の評価制度は小規模企業にも適用されますか?
A. 経産省の2026年度開始予定の評価制度は、重要インフラ関連企業を主なターゲットとしていますが、中小企業向けの支援策も並行して検討されています。「自社が大企業の委託先として評価される側になる」という観点から、中小企業もセキュリティ強化への取り組みを早期に始めることが重要です。

Q7. SBOMを整備するためのツールはありますか?
A. OSS向けのSBOM生成ツールとして、Syft(Anchore)・CycloneDX・SPDX Tools等が無料で利用できます。商用ツールとしてはBlack Duck・Snyk・FOSSA等があり、コンポーネント検出から脆弱性データベースとの照合まで一元管理できます。

サードパーティAPI連携が拡大する中、外部APIを呼び出す自社実装側に脆弱性がないかも重要な観点です。API脆弱性診断では、認可ロジックの欠陥・過剰なデータ露出など、サプライチェーンリスクに関連する脆弱性を検出できます。

まとめ

サプライチェーン攻撃は、組織の外部にある「弱いリンク」を突く攻撃手法として、今後もその脅威が拡大することが予想されます。IPA 10大脅威での4年連続ランクインは、この問題が単なるトレンドではなく、日本企業が継続して取り組むべき根本的な課題であることを示しています。

対策の優先順位は以下のとおりです。

  1. 委託先の一覧化とリスク評価(最優先):誰が自社システムへのアクセスを持っているかを把握する
  2. 最小権限・MFAの徹底:委託先経由の侵入が起きても被害範囲を限定する
  3. 契約への盛り込み:セキュリティ要件を法的拘束力のある形で委託先に求める
  4. SBOM整備の開始:ソフトウェアの部品構成を把握し、脆弱性への対応を迅速化する
  5. インシデント対応計画の更新:委託先経由のシナリオを想定した訓練を実施する

AEVUSでは、ペネトレーションテストWeb/Mobile脆弱性診断プラットフォーム診断を通じて、委託先・サプライヤーのセキュリティリスクを定量的に評価するサービスを提供しています。サプライチェーンセキュリティの強化についてのご相談は、AEVUSにお気軽にお問い合わせください。

← ブログ一覧に戻る

関連記事

「業界動向」の記事をもっと見る →

セキュリティのご相談はAEVUSへ

ブログの内容についてのご質問・セキュリティ診断のご相談はお気軽にどうぞ。

無料相談・お問い合わせ