サプライチェーン攻撃の最新事例と対策をわかりやすく解説

情報セキュリティを取り巻く脅威は、年々多様化しています。

 

現在、多くの企業では、メールフィルタリングツールやセキュリティ教育プラットフォーム、脅威検知システムなど、複数のセキュリティ製品を組み合わせて対策を講じることが一般的です。

 

これらのツールやシステムはそれぞれ異なる役割を担い、企業全体の防御力を高めるために相互に補完し合う構成となっています。

 

こうした技術的なセキュリティ対策に加え、従業員一人ひとりが自社のセキュリティ対策や、インシデント発生時の対応を正しく理解しておくことも重要です。また、経営層を中心としたセキュリティ対策の定期的な見直しやルールの策定も、企業の安全性を継続的に確保するうえで欠かせないでしょう。

 

一方で、企業が直面する情報セキュリティの脅威は、自社内にとどまらない点にも注意が必要です。取引先や関連会社とのやりとりの中で、自社が他社の情報を漏えいさせてしまうリスクがあるだけでなく、他社のセキュリティ対策状況によっては、自社にとって脅威となる可能性もあります。つまり、自社内だけでなく、関連会社や取引企業のセキュリティ対策状況にも目を向けなくてはならないのです。

 

本記事では、こうした関連会社や取引企業との接点を悪用して行われる「サプライチェーン攻撃」に焦点を当て、国内外で発生した事例を紹介します。あわせて、企業が講じるべき対策や、調査・対応に有効な取り組みについて解説します。

サプライチェーンとは、製品やサービスが企画・開発・提供される過程で、複数の企業や組織が関わるネットワークのことです。

 

サプライチェーン攻撃とは、このネットワーク上の弱点を突き、直接の標的ではない企業や委託先を踏み台にして、最終的なターゲットへ侵入する手法を指します。特に近年は、サイバー攻撃だけでなく、契約・運用上の不備を悪用するケースも増加しており、企業全体のリスク管理の重要性が高まっています。

 

サプライチェーン攻撃は、主に以下の二つの経路で行われます：

開発元から提供されるソフトウェアアップデートに、攻撃者がマルウェアを仕込む手法や、外部のクラウドサービスやIT運用サービスの提供元を攻撃して、そこから侵入する攻撃があります。
攻撃と気付かずに、自社のネットワークにマルウェアを展開してしまうリスクがあります。

攻撃者はサプライチェーンの中で、比較的セキュリティ対策が十分にできていない中小関連企業を調査します。その会社の従業員や担当者を標的にして情報を入手し、ターゲット企業へ侵入する手法です。フィッシングメールやなりすましなどが代表例です。これをビジネスサプライチェーンと言います。

個別企業への攻撃であれば影響は限定的ですが、サプライチェーン攻撃では、影響が関連企業全体に波及します。

例えば、取引先や委託先の小さなシステムの脆弱性が、最終的には自社や顧客企業の業務停止や情報漏えいにつながることがあります。

こうした背景から、サプライチェーン全体の可視化とリスク管理が不可欠です。

 

自社や自組織だけを見て、「機密情報を扱っていないから大丈夫」、「重要システムは存在しない」といった理由から対策を後回しにしてしまうと、結果として取引先や顧客企業に思わぬ被害を与えてしまう可能性があります。サプライチェーン攻撃への対策は、もはや個社の問題ではなく、企業に求められる社会的責任の一つとなりつつあります。

 

こうした背景もあり、「サプライチェーンや委託先を狙った攻撃」は情報処理推進機構（IPA）が公表する「情報セキュリティ10大脅威」の組織編において、7年連続で10位以内にランクインしています。また、順位も5位以上の高順位をキープしており、最新の「情報セキュリティ10大脅威2025」においては、第2位となっており、企業にとって無視できない脅威であることがわかります。

引用元：独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威2025」

https://www.ipa.go.jp/security/10threats/10threats2025.html （2025年1月30日公開、2025年7月24日最終更新）

 

 

もちろん10大脅威の順位がすべてではありません。10位以内に選出されていない脅威への対策も必要となりますし、高順位のものほど対策を優先すべき、というわけでもありません。しかし、サプライチェーン攻撃の事例や対策を正しく理解するのは、すべての企業にとっても非常に重要です。

 

では次に、国内外で発生したサプライチェーン攻撃の事例を取り上げていきます。

サプライチェーン攻撃は、日本国内においても多数の事例が報告されている深刻な脅威です。

 

ここでは、「サプライチェーン上の企業や組織のつながりの脆弱性を狙った攻撃」と「ソフトウェアやサービスの技術的なつながりを悪用した攻撃」の２つの観点から、サプライチェーン攻撃事例を紹介します。

2024年6月上旬に国内の大手動画配信サービスの複数のサーバーに対し、サイバー攻撃が確認されました。この攻撃により、動画配信サービスやライブ配信サービスが停止し、同サービスを運営する企業だけでなく、その親会社を含むグループ企業全体にも大きな影響が及びました。

 

なお、動画のデータ自体は、大手クラウドサービス上で運用されていたため、直接的なデータ消失を免れました。しかし、プラットフォームの長期間停止や、アカウントを利用した外部サービスへのログイン不具合など、利用者への影響は広範囲に及びました。完全な復旧までには数か月を要し、その間は投稿年を限定し、一部の動画のみを閲覧できるサイトとして運用するなどの暫定的な対応が取られました。

 

さらに、グループ企業全体では、出版事業における受注システムや製造・物流システムの停止、書籍の編集・制作、刊行業務の遅延、社内システムの停止などが発生しました。これに伴い、取引先への支払いや決済にも遅延が生じています。

 

このインシデントは最終的にランサムウェア攻撃（※データを人質に金銭を要求する攻撃）へと発展し、一部の報道では、グループ企業が多額の損失を被ったほか、株価の下落などの影響も発生し、企業の信頼性に影響を与える結果となりました。

 

また、グループ内の教育事業者が提供する学習アプリにも障害が発生しました。在校生の学習やレポート提出に支障が出ただけでなく、在校生や卒業生、保護者の一部の個人情報が流出する事態にも発展しました。

 

この事例は、一つのサービスへの攻撃が、サプライチェーンを通じてグループ全体へ連鎖的に被害を拡大させた典型例と言えます。

プレスリリース配信サービスを提供する国内事業者のサーバーが不正アクセスを受け、個人情報や発表前のプレスリリース情報の漏えいが確認されました。

 

この事業者の管理者向けサイト

• IPアドレスによる認証
• BASIC認証（ID・パスワード認証）
• 通常のログインパスワード認証

XZ Utilsは、Linux（サーバー用OS）環境で広く利用されているファイル圧縮・解凍ツールです。2024年3月、そのツール内に悪意のあるコードが挿入されていたことが判明しました。

 

問題となったコードは、ソフトウェアの共同開発者によって意図的に組み込まれており、特定の条件下では、外部からSSH（リモート接続）を通じてシステム全体へ不正アクセスできる状態になっていました。

 

XZ Utilsは、DebianやRed Hat、Ubuntuといった多くの企業や組織で使われているLinuxに標準的に組み込まれているツールです。そのため、このツールに問題があると、特定の企業だけでなく、世界中の企業や組織のシステムに影響が及ぶ可能性がありました。

 

本件は情報セキュリティ10大脅威2025（組織編）でも取り上げられており、ソフトウェアのつながりを悪用したサプライチェーン攻撃に該当します。※1　Linux環境を利用する多くの企業に影響が発生する可能性があり、システム全体への不正アクセスが可能となる状況から、被害の拡大の脅威もありました。

国内の企業でも、海外の拠点が攻撃対象となり、そのサプライチェーンを通じて日本本社へ被害が波及するケースも多数報告されています。特に2021年は、サプライチェーン攻撃事例が急増したタイミングでもあり、多くの企業に被害が及びました。

 

主な事例として、次のようなものが挙げられます。

• 2021年8月：大手保険会社の海外グループ会社がランサムウェア攻撃を受けた。なお、機密情報等の流出は未確認である。
• 2021年10月：大手自動車メーカーの海外子会社が不正アクセスを受け、生産システムの一部が停止。工場の一部で2日間稼働を見合わせることとなった。
• 2021年10月：大手医薬品メーカーの海外子会社がサイバー攻撃を受け、 従業員の情報がダークウェブ上に掲示されていたことが判明した。
• 2021年11月：大手電気機器メーカーで、不正アクセスによりファイルサーバーのデータの一部が読み出され、海外子会社のサーバーを経由し、日本のファイルサーバーも不正アクセスを受けたことが判明した。

サプライチェーン攻撃への対策方法として、情報処理推進機構（IPA）は「情報セキュリティ10大脅威2025」の中で、次のような取り組みを紹介しています。※2

 

• 委託業務や取引内容が適正かを定期的にレビューする
• セキュリティ水準の高い取引先やサービスを選定する
• 契約書において、情報セキュリティ上の責任範囲や万が一の損害賠償に関する条項を明確化する

サプライチェーン全体のリスクを把握するためには、関係する企業やサービスを客観的かつ継続的に可視化できる仕組みが重要です。

 

電通総研は、セキュリティ・リスク・スコアリングシステム「SecurityScorecard」（セキュリティスコアカード）の提供を通じて、企業のサプライチェーンリスク対策を支援しています。

 

SecurityScorecardでは、インターネット上から確認できる情報をもとに、外部からの攻撃リスクをスコアリングする仕組みです。攻撃者の視点でリスクを明らかにすることで、第三者から見た自社や取引先のセキュリティ状態を客観的に把握できます。

自社だけでなく、取引先や委託先などのサプライチェーン上の企業についてもスコアリングができるため、契約時のセキュリティ要件の調整や、対応優先度の判断に役立ちます。

 

電通総研では、多くのお客様のサプライチェーンリスク管理を支援してきた実績があります。

SecurityScorecardの詳細については、以下をご参照のうえ、ぜひお気軽にお問い合わせください！
セキュリティ・リスク・スコアリングシステム「SecurityScorecard」
https://security.dentsusoken.com/ssc/

本記事では、サプライチェーン攻撃の概要や事例を紹介し、サプライチェーン全体のリスクを調査する手段として、SecurityScorecardを活用した管理方法について解説しました。

 

サプライチェーン攻撃に対する防御は、自社だけの対策では不十分です。自社の保有するリスクを把握するだけでなく、取引先や委託先を含むサプライチェーン全体のセキュリティ対策状況を把握したり、利用中のソフトウェアやサービスの脆弱性を確認したりする、幅広い対策が求められます。

 

こうした対策は短期間で完了するものではなく、継続的に取り組む必要があります。万が一被害が発生すると、サプライチェーン全体に影響が及ぶ可能性があり、影響範囲の予測が難しいのが特徴です。

 

そのため、ツールや仕組みを活用したリアルタイムの監視や、定期的なリスク確認の実施がサプライチェーン攻撃への備えとして非常に有効です。まずは、自社と取引先のリスク状況を可視化することから始め、段階的に対策を進めてみてはいかがでしょうか？