サプライチェーン攻撃とは？主な種類や対策などを解説

サプライチェーン攻撃とは、取引先や関連会社など、標的企業とつながりのある外部組織を足がかりにして侵入を試みるサイバー攻撃です。

近年、日本国内のニュース報道などでサプライチェーン攻撃による被害事例を目にすることが増えています。しかし、「サプライチェーン攻撃」という言葉自体は聞いたことがあっても、具体的にどのような攻撃手法なのか理解していないという方は多いでしょう。

自社のセキュリティ対策が堅牢でも、協力会社や利用サービスの防御が手薄であれば被害に巻き込まれる可能性があります。実際、国内外で工場停止や個人情報漏洩といった深刻な事例が相次ぎ、IPA「情報セキュリティ10大脅威 2025」でもランサムウェアに次ぐ第2位の脅威とされています。

本記事では、サプライチェーン攻撃の仕組みや主な種類について解説します。サプライチェーン攻撃を防ぐための対策にも触れているので、ぜひ参考にしてください。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、標的企業とビジネス上のつながりのある企業を足がかりとして、標的への侵入を試みるサイバー攻撃です。攻撃者は以下のような手順を踏むことで、ターゲットである企業に攻撃を仕掛けます。

サプライチェーン攻撃の厄介な点は、自社のセキュリティ対策を強化するだけでは攻撃を防ぎ切れないところです。自社のセキュリティ対策を厳重にしていても、利用するサービスや関連企業のセキュリティが手薄だと、被害に遭うリスクが高まってしまいます。

IPA（独立行政法人 情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025[組織]」においても、サプライチェーン攻撃はランサムウェア攻撃に次ぐ第2位の脅威です。2021年版では第4位だったことを考えると、サプライチェーン攻撃の脅威はここ数年でさらに高まっているといえるでしょう。

サプライチェーン攻撃の３つの手法とは

サプライチェーン攻撃の手口は、以下の3つに分類されます。

それぞれの攻撃手法について、詳しく解説します。

ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃とは、企業で使用されるソフトウェアに不正なプログラムを仕込み、標的へ攻撃を仕掛ける手法です。攻撃者は、ソフトウェアの開発元であるシステム会社に侵入し、製造から配布までの過程を侵害することで不正なコードを混入させます。ソフトウェアのアップデートのアップデートを装ってユーザーに配布し、標的企業のシステムにマルウェアを感染させる手口です。

多くの企業で使用されているソフトウェアほど、悪用された際に被害範囲が拡大しやすい傾向があります。

サービスサプライチェーン攻撃

サービスサプライチェーン攻撃とは、ITインフラの運用保守を代行するマネージドサービスや、クラウドサービスなどのサービス事業者を介して標的企業へ侵入する手口です。サービス事業者のシステムに攻撃が仕掛けられることで、そのサービスを利用している顧客にまで被害がおよびます。

多くの顧客に利用されるサービスであれば、その分被害範囲も拡大してしまいます。

ビジネスサプライチェーン攻撃

ビジネスサプライチェーン攻撃とは、標的企業の取引先や関連会社などを踏み台として、本来のターゲットに攻撃を仕掛ける手法です。たとえば、標的企業の協力会社へ不正にアクセスし、標的企業にランサムウェアを仕込んだメールを送信することで感染させるという手口があります。

また、ビジネスサプライチェーン攻撃は、グループサプライチェーン攻撃、アイランドホッピング攻撃とも呼ばれており、関連会社や子会社を足がかりとして、親会社である大企業を標的とするケースも少なくありません。

さらに、同様に自社への侵入を足がかりとして、重要な取引先に大きな損害を与えてしまう可能性も考えられます。

関連記事：標的型攻撃とは？代表的な手口や対策方法をわかりやすく解説

サプライチェーン攻撃を受けた事例

IPAが発行している「実務者のためのサプライチェーンセキュリティ手引書」より、サプライチェーン攻撃による実際の被害事例を紹介します。

関連記事：ラテラルムーブメントとは？攻撃手法から検知・対策方法など解説

自社のセキュリティ対策を強化する方法

サプライチェーン攻撃は自社以外の企業が侵入経路となりますが、最終的な標的は自社です。そのため、自社のセキュリティ対策を強化しないと、システム侵入後の被害が拡大してしまいます。

また、サプライチェーン攻撃では、自社を踏み台として関連企業や取引先に被害がおよぶ可能性もあります。以下のような対策を講じることで自社のセキュリティを強化し、被害範囲を最小限に抑えましょう。

ネットワークの安全性を高める

サプライチェーン攻撃では、外部からの不正な通信を足がかりに侵入されるケースが多くあります。不正なアクセスを防ぐためには、安全なネットワーク環境の構築が不可欠です。

セキュリティの強化をサポートするサービスを導入するなどして、ネットワークの安全性を高めましょう。

EPPやEDRを導入する

EPPとEDRは、ともにパソコンやサーバーなどのエンドポイントを保護するためのツールです。EPPはマルウェアの侵入を未然に防ぐ役割を果たし、EDRは侵入したマルウェアを検知し、被害を最小限に抑える働きを持ちます。

これらを組み合わせることでマルウェアの侵入を防止しつつ、万が一侵入された場合も早期に発見・対処可能な体制を構築できます。

関連記事：エンドポイントセキュリティとは？主要技術や対策、導入ポイントを解説

パスワードを強化する

第三者からの不正アクセスを防ぐためには、複雑で推測されにくいパスワードを設定することが大切です。小文字や大文字、数字や記号など複数の文字種を組み合わせて、強固なパスワードを設定しましょう。なお、サービス名や創立年月日など、企業に紐づく情報は入れない方が得策です。

関連記事：パスワード管理の重要性とは？情報漏洩による損害と安全な管理方法を解説

セキュリティ研修など従業員のセキュリティ意識を高める

サイバー攻撃には技術的な脆弱性だけでなく、人的ミスを狙うケースも多くあります。

実際のセキュリティインシデントやフィッシング詐欺の手口などを周知し、組織全体のセキュリティレベルを底上げしましょう。サイバー犯罪の手口は日々進化しているので、担当者は常に最新の情報をキャッチする必要があります。

また、自社のセキュリティポリシーを見直すとともに、従業員の理解度を定期的にチェックすることも大切です。

関連記事：セキュリティアウェアネスとは？必要性・教育内容・導入のポイントを解説

サプライチェーン全体のセキュリティ対策を強化する方法

サプライチェーン攻撃を防ぐためには、自社だけではなくサプライチェーン全体でのセキュリティを強化する必要があります。たとえば、経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン Ver3.0」では、サプライチェーン攻撃への対策が具体的に示されています。

参考：サイバーセキュリティ経営ガイドライン Ver3.0｜経済産業省・IPA（独立行政法人 情報処理推進機構）

上記のガイドラインの内容も参考にして、以下のような対策を講じることで被害を未然に防ぎましょう。

取引先のセキュリティ対策をチェックする

サプライチェーン全体のセキュリティ対策を強化するためには、取引先のセキュリティ状況を確認することが大切です。セキュリティポリシーや具体的な対策などを相互に評価し、改善点がないかチェックしましょう。

また、新たな企業と取引を開始する際は、セキュリティ対策が一定の水準を満たしていることを確認します。

取引契約におけるセキュリティ対策を義務付ける

取引先や委託先に対して、一定のセキュリティ対策を義務付けるという方法も考えられます。

取引を開始する際には、セキュリティに関する契約書を交わすとよいでしょう。インシデント発生時には報告義務があることや、セキュリティ違反発覚時の制裁内容などを記載すれば、取引先にセキュリティ対策の強化を促しやすくなります。

インシデント発生時の対応を定めておく

万が一セキュリティインシデントが発生した場合に備えて、取引先やサプライヤーと対応フローを共有しておきましょう。初動の遅れを防ぐことで、被害の拡大を抑制する効果を期待できます。

セキュリティ対策を強化するならパロアルトネットワークス

サプライチェーン攻撃の対策を強化するなら「パロアルトネットワークス」にお任せください。パロアルトネットワークスでは、複雑化するサイバー攻撃に対応するための包括的セキュリティプラットフォームを提供しています。

マルウェアの感染防止から被害拡大の抑制まで、トータルにサポート可能です。

まとめ

サプライチェーン攻撃とは、標的企業とのビジネス上のつながりを悪用したサイバー犯罪です。標的企業以外の取引先や子会社などを踏み台として、最終的な標的に侵入することを目的とします。

サプライチェーン攻撃を防ぐためには、自社のセキュリティを強化するだけでなく、サプライチェーン全体で対策を講じることが大切です。取引先やサプライヤーと連携しながら、サイバー犯罪への備えを強化しましょう。