>
>
最終更新日
サプライチェーン攻撃とは、強固なセキュリティを持つ企業を直接狙うのではなく、防御が手薄な業務委託先やソフトウェアの供給網(サプライチェーン)を踏み台にして侵入を図るサイバー攻撃です。自社が加害者にならないための対策手順と2026年の最新被害動向を解説します。
この記事でわかること
管理者アカウントへのMFAに例外を設けることがなぜ致命傷になるのかがわかる
2025〜2026年の最新被害統計と実際の侵害手口がわかる
自社の規模に合った具体的な対策ステップと、今日から使えるチェックリストがわかる
サプライチェーン攻撃(アタック)とは?わかりやすく図解
サプライチェーン攻撃は、製品やサービスの供給ネットワーク(サプライチェーン)を構成する要素を標的とし、正規の流通経路やネットワーク接続を悪用して内部システムへ侵入する手法です。企業のデジタル化が急速に進んだことで、システム同士が密接に連携するようになり、攻撃者は本命のターゲット企業へ侵入するための「裏口」として、セキュリティの緩い委託先や子会社を狙うようになりました。
この脅威の恐ろしい点は、自社でどれほど強固なセキュリティシステムを構築していても、業務委託先や利用しているクラウドサービスの脆弱性を突かれることで、間接的に被害を受けてしまうことにあります。独立行政法人情報処理推進機構(IPA)が毎年発表している情報セキュリティ10大脅威においても、「サプライチェーンの弱点を悪用した攻撃」は長年にわたり上位にランクインし続けており、組織における最大の脅威の一つとして確固たる位置を占めています。
【図解:サプライチェーン攻撃の仕組み】
(※ここにサプライチェーン攻撃の概念図が入ります)
本命のターゲット企業(大企業)には分厚いファイアウォールや厳格なアクセス制御が敷かれています。しかし、その企業とネットワークで繋がっている業務委託先(中小企業)や、導入しているITツール(ソフトウェアベンダー)の防御が手薄な場合、攻撃者はまずそこへ侵入します。そして、正規の取引先としての信頼された通信経路を利用し、本命の企業へと侵入を拡大させます。
▲ サプライチェーン攻撃(アイランドホッピング)の仕組み
サプライチェーン攻撃の歴史:いつから増えたのか?
サプライチェーン攻撃は1990年代から存在していましたが、DX推進で企業間のネットワーク接続が複雑化した2020年代以降に急激に増加しました。年代ごとの変遷を整理します。
年代 | 主な背景と攻撃の特徴 |
|---|---|
1990年代〜2000年代 | ソフトウェアの物理的な配布経路(CD-ROMやUSBメモリなど)の流通過程でマルウェアを混入させる、物理的なサプライチェーン攻撃が報告され始めました。 |
2010年代 | インターネット経由でのソフトウェアアップデートを通じた攻撃が顕在化しました。2017年の「NotPetya」ランサムウェアなど、会計ソフトの更新プログラムを悪用した国家主導の大規模な攻撃が発生しました。 |
2020年代前半 | 2020年の「SolarWinds事件」を皮切りに、IT管理ツールやネットワーク機器の脆弱性を狙う手法が爆発的に増加しました。企業のリモートワーク移行に伴い、VPN機器の脆弱性が格好の標的となりました。警察庁の「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」では、ランサムウェア感染経路の約7割がVPN機器等からの侵入であったことが報告されています。最新動向については警察庁が毎年公表するサイバー脅威情勢レポート(https://www.npa.go.jp/publications/statistics/cybersecurity/data/)を参照してください。 |
2024年〜2026年 | RaaS(Ransomware as a Service)による分業化が進み、攻撃が高度化しています。SaaSやAI-OCRツールなどの再委託先を経由した「逆流型」の被害や、クラウド環境の構成ミスを悪用するクラウドネイティブ攻撃が主流となっています。 |
近年では、特定の組織を標的にするだけでなく、広く利用されているオープンソースソフトウェア(OSS)の構成部品に悪意のあるコードを仕込むなど、ソフトウェア・サプライチェーン全体を人質に取るような無差別かつ大規模な攻撃も急増しています。
サプライチェーン攻撃の標的となる対象組織の分類
大企業とネットワークで繋がる中小企業や業務委託先はすべて、本命の標的へ侵入するための「踏み台」として狙われます。
サプライチェーンリスク管理において最も危険なのは、「自社は規模が小さいから狙われない」「盗まれて困るような機密情報はない」という誤解です。攻撃者が狙うのは、あなたの会社が持つ固有の情報そのものではなく、本命の大企業へ侵入するための「踏み台(初期アクセス権)」としての価値です。
アイランドホッピングという侵入戦術
大企業は多額のセキュリティ投資を行い、強固な防御壁を構築しています。そのため、攻撃者は正面突破を避け、セキュリティ対策が相対的に手薄な中小企業や業務委託先を狙います。これを「アイランドホッピング」と呼びます。関連会社から親会社へ、あるいは委託先から発注元へと、島を渡り歩くように侵入を拡大させ、最終的に本命の機密データベースへと到達する仕組みです。
標的となりやすい組織の分類
業務委託先・アウトソーシング企業:データ入力、コールセンター、カスタマーサポートなど、大企業の業務を請け負い、日常的に発注元のシステムへアクセスする権限を持つ企業です。
システム開発会社・MSP(マネージドサービスプロバイダー):ITインフラの保守運用を担い、特権ID(管理者権限)を保有している企業です。ここが突破されると、顧客企業全体のシステムが同時に乗っ取られる危険性があります。
海外拠点・関連子会社:本社に比べてセキュリティガバナンスが行き届きにくく、ネットワーク機器のパッチ適用や更新が遅れがちな拠点です。
貴社がサプライチェーン攻撃の踏み台とならないよう、実務で使えるセキュリティチェックシートの作り方と経産省テンプレートを参考に、取引先評価と自社対策の強化を進めましょう。
起点別に見るサプライチェーン攻撃の3つの種類
攻撃の起点がどこにあるかによって、対策の焦点も変わります。
1. ソフトウェアサプライチェーン攻撃
企業が日常的に使用するソフトウェアの開発段階や更新プロセスに、悪意のあるコードを混入させる攻撃です。正規のデジタル署名が付与されたアップデートプログラムを通じてマルウェアが配信されるため、従来のアンチウイルスソフトでは異常として検知しにくいのが特徴です。また、広く利用されるオープンソースコンポーネント(OSS)が汚染されると、一度の攻撃で世界中の多数の企業へ一斉に被害が拡大します。
ソフトウェア更新の経路を狙うこの手口は、正規の署名が付いたアップデートを通じてマルウェアを配布するため、従来のウイルス対策では検知が難しい点が最大の特徴です。SolarWinds事件はその典型例であり、1万8,000社以上が影響を受けました。
2. サービスプロバイダー(ビジネス)攻撃
ITインフラを管理するMSPや、クラウドサービスを提供する事業者に対する攻撃です。プロバイダーが持つ高い権限を悪用し、そこから顧客企業のネットワークへ侵入します。信頼された通信経路を利用するため内部犯行と区別がつきにくく、クラウド上の設定ミスや不要なアカウントの放置が原因となるケースが後を絶ちません。
この攻撃への対策として、利用SaaSの棚卸しと権限設計の見直しが出発点になります。経済産業省が整備を進めるSCS評価制度でも、この点は審査基準の中核に位置づけられています(詳細はSCS評価制度におけるSaaS対応とIT資産可視化を参照)。
3. ハードウェア攻撃
サーバーやネットワーク機器、PC端末などの製造段階、または輸送途中のサプライチェーンにおいて、不正なチップを物理的に埋め込んだり、ファームウェアを改ざんしたりする攻撃です。物理的な改ざんを伴うためソフトウェア的な検出が極めて困難であり、長期間にわたってバックドアとして機能し続ける傾向があります。
【2025〜2026年最新】サプライチェーン攻撃の具体的な事例と失敗パターン
最新の事例からわかるように、強固な自社システムであっても「委託先の脆弱性」や「MFAの例外設定」という小さな綻びから致命的な被害に直結します。
ここでは、過去に国内で発生した重大なインシデントの事実関係から得られる教訓と、2025〜2026年に報告された最新の被害動向を解説します。
過去の重大事例から学ぶ「よくある失敗パターン」
国内の著名なインシデントから、企業が陥りがちな運用上の落とし穴が浮き彫りになっています。
事例1:特権IDの例外運用によるランサムウェア被害(2025年10月発生・アスクルの事例)
大手ECサイト運営企業において、業務委託先向けに用意されていた管理者アカウントの認証情報が奪取され、ランサムウェア攻撃を受けました。このアカウントは運用上の利便性を優先し、例外的に多要素認証(MFA)が適用されていませんでした。攻撃者はこの「例外ルール」という最大のセキュリティホールを突いて権限を掌握しました。※本事例の詳細はアスクル株式会社の公表情報をもとに記載しています。
【教訓】サプライチェーン環境において、例外なきMFAの適用がいかに見落とせないかを示しています。「利便性のための例外」は、システム全体を危険に晒します。事例2:再委託先のツール侵害による「逆流型」被害(2025年9月発生・2025年10月公表)
通貨処理機器メーカーが提供するAI-OCRサービスのサーバーが不正アクセスを受けました。このツールはデータ入力を請け負う委託先企業で広く利用されており、結果的にその委託先に業務を再委託していた多数の大手金融機関の顧客データが流出する事態に発展しました。※本事例はJijilla株式会社および関係各社の公表情報をもとに記載しています。
【教訓】委託先、さらには「再委託先」が利用するクラウドサービスの脆弱性が、自社の顧客情報漏洩に直結するというデータ・サプライチェーンリスクが証明されました。
2025〜2026年の最新被害動向と統計データ
サプライチェーン攻撃はさらに巧妙化し、深刻な事業停止をもたらしています。
VPNプロバイダーを狙ったソフトウェア侵害の発覚(2025年1月公表事例)
2025年1月には、韓国のVPNプロバイダー「IPany」のインストーラーが中国系攻撃グループにより悪意あるパッケージにすり替えられ、長期にわたりサプライチェーン侵害を引き起こしていたことが発覚しました。正規のセキュリティツール自体が侵害の入り口となるソフトウェアサプライチェーン攻撃の典型例です。サードパーティ経由の侵害が前年比2倍に急増
Verizonの「データ漏洩調査報告書 2025年版(DBIR 2025)」によると、パートナーやベンダーを経由したサードパーティ侵害は、前年の15%から30%へと2倍に急増しました。中小企業の復旧率に関する統計(要確認)
国内の調査では、感染した中小企業(従業員299人以下)のシステム復旧率が極めて低く、一度のサプライチェーン攻撃が中小企業の倒産に直結するケースが報告されています。身代金を支払ってもデータの復元に失敗するケースも多く、バックアップの分離保管が事業継続の鍵となります。
これらの事例やデータから得られる教訓を活かし、SCS評価制度チェックリスト★3取得に向けた具体的な準備項目を今から確認しておくことが、サプライチェーンリスクへの備えの第一歩です。
▲ 特権ID運用における例外ルールがランサムウェア被害を招く分岐点
企業規模別・サプライチェーン攻撃の対策ステップと実用チェックリスト
自社の企業規模に応じた現実的な対策ステップを策定し、サプライチェーン全体を包括するゼロトラストアーキテクチャへ段階的に移行することが、現在のサイバー脅威環境では避けられない課題です。
経済産業省は、サプライチェーン全体のサイバーレジリエンスを高めるため、企業のセキュリティ対策水準を客観的に可視化する制度の整備を進めています。サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の全体像を把握し、自社の対策水準を客観的に証明する準備が求められます。一定の基準を満たせない企業は、大企業のサプライチェーンから排除される経営リスクを抱えることになります。
企業規模別のアプローチと必須対策
企業規模 | 優先すべき対策アプローチと具体策 |
|---|---|
50名未満 | 基礎的な衛生管理の徹底(SCS評価 ★1〜★2相当) |
50〜300名 | 防御・検知体制の構築(SCS評価 ★3相当) |
300名超 | サプライチェーン全体の統制と高度化(SCS評価 ★4〜★5相当) |
最新概念の導入:ゼロトラストとSBOMの考え方
サプライチェーン攻撃への根本的な対策として、以下の2つのアプローチが世界の標準となりつつあります。
ゼロトラストアーキテクチャの導入:
「社内ネットワークは安全である」という従来の境界型防御を捨て、「すべてのアクセスを信頼せず、常に検証する」という設計思想です。VPN機器は攻撃者の格好の標的となるため、リモートアクセスの仕組みを「アイデンティティ(ID)とデバイスの健全性」に基づく動的アクセス制御(ゼロトラストネットワークアクセス:ZTNA)へ移行する手順を進めます。ゼロトラスト移行には段階的なコストと工数がかかります。まずはID管理の統合(シングルサインオン+MFAの全社展開)から着手し、次のフェーズでデバイス管理(MDM/EDR)、最終フェーズでネットワーク分離(ZTNA)へと順を追って進めるアプローチが現実的です。SBOM(ソフトウェア部品表)の活用:
自社で利用しているソフトウェアが「どのようなオープンソース部品で構成されているか」をリスト化する手法です。新たな脆弱性(ゼロデイ脆弱性など)が発見された際、自社のシステムに該当の脆弱な部品が含まれているかを瞬時に特定し、被害が広がる前にパッチを適用することが可能になります。SBOMは調達契約の要件として発注元から提出を求められるケースも増えており、ソフトウェアベンダーにとっても整備が急務です。
明日から使える!サプライチェーンリスク評価チェックリスト
自社と取引先のリスクを可視化するために、まずは以下の項目をチェックしてください。1つでも「いいえ」がある場合は、早急な運用ルールの改善が必要です。
□ 業務委託先が「どこに」「どのような業務を」「どのツールを使って」再委託しているか把握しているか?
□ システム運用保守を担う外部業者の管理者アカウント(特権ID)に、例外なく多要素認証(MFA)を導入しているか?
□ ランサムウェア被害に備え、バックアップデータは本番環境のネットワークから完全に分離(オフラインまたはイミュータブルストレージ)されているか?
□ 利用しているクラウドサービスやSaaSの設定ミス(公開範囲の誤りなど)を定期的に監査しているか?
□ 退職者や、契約が終了した委託先のアカウントを即座に削除・無効化する運用フローが確立されているか?
▲ SCS評価制度を見据えた企業規模別の対策ステップ
よくある質問
Q:自社が「踏み台」にされるケースと「被害者」になるケースは何が違うのですか?
A:「踏み台」とは、攻撃者があなたの会社のシステムを経由して、本命の大企業へ侵入するために利用するケースです。あなたの会社自体に大きな被害が出ない場合でも、取引先である大企業に損害が生じ、契約解除や損害賠償請求を受けるリスクがあります。一方「被害者」は、委託先や利用SaaSが攻撃され、そこ経由で自社の顧客情報やシステムが直接被害を受けるケースです。どちらも加害・被害の両面があり得る点が、サプライチェーン攻撃の特徴です。
Q:サプライチェーン攻撃はいつから増えましたか?
A:手法自体は1990年代から存在していましたが、企業のクラウド移行やDX化が進み、企業間のネットワーク接続が複雑化した2020年代以降に急激に増加しました。特に近年はRaaS(ランサムウェアのサービス化)により被害が爆発的に拡大しています。
Q:サプライチェーンリスクをわかりやすく言うと何ですか?
A:自社のセキュリティ対策をどれだけ完璧にしても、取引先や利用しているソフトウェアに脆弱性があれば、そこから自社の機密情報が漏洩したり、システムが停止したりする連鎖的な危険性のことです。
Q:サプライチェーン攻撃の標的となりやすい対象組織は何ですか?
A:大企業にシステム保守を提供する開発会社(MSP)、データ入力を担う業務委託先、セキュリティ統制が緩い海外子会社などが標的となります。「うちは規模が小さいから狙われない」という企業ほど、踏み台として狙われやすい傾向にあります。
まとめ
サプライチェーン攻撃は、自社の努力だけでは完全に防ぐことができない現代の複雑なサイバー脅威です。2025〜2026年のデータが示す通り、再委託先を経由した逆流型の情報漏洩や、ランサムウェアによる事業停止は、あらゆる企業にとって明日の我が身となるリスクです。まずは本記事で紹介した「リスク評価チェックリスト」を活用し、自社のアカウント管理状況と委託先の業務実態を把握することから始めてください。例外なきMFAの適用や不要なアカウントの棚卸しなど、今日からできる確実な一歩を踏み出しましょう。
以下のアクションリストを参考に、今週中に取り組める項目から着手してください。
✅ 管理者アカウントのMFA適用状況を今週中に確認する
✅ 委託先・再委託先の一覧と利用ツールを書き出す
✅ バックアップの分離状況をIT担当者と確認する
✅ 退職者・契約終了先のアカウント棚卸しを実施する
✅ 利用SaaSの公開設定・権限設定を点検する
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
