巧妙化するサプライチェーン攻撃｜インシデント発生前に情シスが知るべき対策のすべて

まずは現状認識から。サプライチェーン攻撃が「他人事」ではない理由

「うちは大企業ではないから大丈夫」「セキュリティ対策はしっかりやっているはず」。もし、そうお考えの情報システム担当者の方がいらっしゃれば、その認識は今すぐに見直す必要があるかもしれません。現代のサイバー攻撃において、サプライチェーン攻撃はもはや対岸の火事ではなく、すべての企業にとって現実的な脅威となっています。

自社が直接狙われるのではなく、セキュリティ対策が比較的脆弱な取引先や子会社が攻撃の足がかりにされる。それがサプライチェーン攻撃の恐ろしさです。信頼している取引先を経由するため、攻撃の検知が遅れ、気づいた時には甚大な被害に繋がっているケースも少なくありません。

本セクションでは、まずサプライチェーン攻撃の現状がいかに深刻であるか、そしてなぜ「情シス」がその対策の最前線に立つべきなのかを明らかにしていきます。

サプライチェーン攻撃は、年々その手口が巧妙化・多様化し、被害の規模も拡大し続けています。独立行政法人情報処理推進機構（IPA）が発表した調査結果は、その深刻な実態を浮き彫りにしています。

組織向け脅威のランキングでは、「サプライチェーンの弱点を悪用した攻撃」が2023年版に引き続き2位となりました。この脅威は、標的組織を直接攻撃するのではなく、取引先や海外拠点など、セキュリティ対策が手薄になりがちな組織を経由して標的組織へ侵入する攻撃です。信頼関係を悪用するため、攻撃に気づきにくい傾向があります。

出典: IPA「情報セキュリティ10大脅威 2024」

この報告が示すように、サプライチェーン攻撃は7年連続で「10大脅威」にランクインしており、今や企業が直面する最も警戒すべきサイバー攻撃の一つと位置づけられています。

攻撃者は、ソフトウェアのアップデートサーバーにマルウェアを仕込んだり、業務委託先の管理アカウントを乗っ取ったりと、あらゆる経路で侵入を試みます。一度侵入を許せば、機密情報の窃取やランサムウェアによる事業停止など、経営の根幹を揺るがす深刻な事態に発展するリスクをはらんでいるのです。

「サプライチェーン攻撃のターゲットは、機密情報を多く持つ大企業だろう」という考えは、非常に危険です。むしろ、攻撃者にとって格好の標的となるのは、セキュリティ対策に十分なリソースを割きにくい中小企業なのです。

なぜなら、多くの中小企業は大企業のサプライチェーン、つまり取引関係の連鎖の中に組み込まれているからです。攻撃者は、まずセキュリティが比較的甘い中小企業を「踏み台」として攻略し、そこから本丸である大企業への侵入を試みるのです。

• 予算や人材の不足: 専門のセキュリティ人材を確保できず、対策が後手に回りがち。
• 低いセキュリティ意識: 「自社が狙われるはずがない」という思い込みから、基本的な対策が疎かになっている。
• 取引先としての信頼: 大企業側も、まさか取引先から攻撃されるとは想定していないケースが多い。

こうした背景から、自社に直接的な狙いがなくても、取引関係があるというだけで攻撃の起点にされる可能性があります。むしろ、「うちは中小企業だから」と安心している組織こそ、今すぐ対策に着手する必要があると言えるでしょう。

サプライチェーン攻撃への対策は、経営層の理解や従業員一人ひとりの協力が不可欠ですが、その中でも実務的な対策を主導し、組織全体のセキュリティレベルを引き上げる中心的な役割を担うのが、情報システム担当者です。

情シスの皆様には、以下のような多岐にわたる役割が期待されています。

• リスクの可視化: 自社がどのようなサプライチェーンの中にいるのか、どこに脆弱性があるのかを正確に把握し、経営層に報告する。
• 技術的な防御策の導入: ゼロトラストの考え方に基づいたアクセス制御や、EDR/XDRといった最新のセキュリティソリューションを導入・運用する。
• 取引先の管理体制構築: 新規取引先の選定基準にセキュリティ項目を盛り込んだり、既存の取引先に対してセキュリティ対策状況の確認を求めたりする。
• インシデント対応体制の整備: 万が一攻撃を受けた場合に、被害を最小限に食い止めるための対応計画を策定し、訓練を実施する。
• 従業員への啓発活動: 全従業員のセキュリティ意識を高めるための教育や注意喚起を継続的に行う。

このように、情シスは技術的な知見と組織運営の視点を併せ持ち、サプライチェーン全体のセキュリティを俯瞰的に見て対策を講じる「司令塔」となることが求められています。

次のセクションでは、サプライチェーン攻撃の具体的な仕組みと手口について、図解を交えながらさらに詳しく掘り下げていきましょう。

サプライチェーン攻撃とは？その仕組みと代表的な3つの手口を徹底解説

サプライチェーン攻撃の対策を講じる上で、まず敵の手口を正しく理解することが不可欠です。このセクションでは、「そもそもサプライチェーンとは何か？」という基本から、攻撃の全体像、そして代表的な3つの手口について、具体例を交えながら分かりやすく解説します。

サプライチェーンとは、製品やサービスが企画・開発から製造、販売を経て、最終的に顧客の元に届くまでの「一連の流れ」のことを指します。ここには、原材料の供給業者、部品メーカー、ソフトウェア開発会社、物流業者、販売代理店、業務委託先など、非常に多くの企業や組織が関わっています。

サプライチェーン攻撃は、この連鎖の中のセキュリティ的に弱い部分（＝最も壊れやすい輪）を狙って侵入し、それを足がかりにして、最終的な標的（ターゲット）である企業に到達する攻撃手法です。自社のセキュリティをどれだけ強固にしても、取引先一社の脆弱性が、自社への侵入経路となり得るのです。

これは、多くの企業が利用しているソフトウェアの開発元や、アップデートファイルを配信するサーバーを攻撃し、正規のソフトウェアやアップデートファイルにマルウェアを混入させる手口です。

ユーザーは正規のものだと信じてインストールやアップデートを行うため、攻撃に気づくことが極めて困難です。

ある企業の従業員が、普段利用している会計ソフトのアップデート通知を受け取りました。提供元は信頼できる大手ソフトウェアベンダーです。従業員は疑うことなくアップデートを実行。しかし、そのアップデートファイルには、攻撃者によって密かにマルウェアが仕込まれていました。

結果、従業員のPCがマルウェアに感染。攻撃者はそのPCを乗っ取り、社内ネットワークへ侵入。最終的に、顧客情報や財務情報などの重要データを窃取していきました。このケースでは、ソフトウェアベンダーへの信頼が完全に裏切られる形で攻撃が成立しています。

システムの保守・運用を委託している企業や、利用しているクラウドサービス（SaaSなど）のアカウントが乗っ取られ、そこから自社のシステムやデータに不正アクセスされる手口です。

テレワークの普及に伴い、外部サービスとの連携は今や当たり前。その「信頼関係」が悪用されるケースが増えています。

ある企業は、サーバーの保守・運用を外部のITベンダーに委託していました。このITベンダーの従業員がフィッシング詐欺に遭い、管理者IDとパスワードを盗まれてしまいます。

攻撃者は、窃取したIDとパスワードを使って、正規の保守担当者になりすまし、委託元企業のサーバーへ堂々とログイン。サーバー内にランサムウェアを仕掛け、システムを停止させた上で、高額な身代金を要求しました。委託先企業のセキュリティ管理の甘さが、直接的な被害に繋がった典型的な例です。

これは、サーバーやネットワーク機器、PCといったハードウェアの製造段階や輸送段階で、不正なチップやバックドア（裏口）が仕込まれる手口です。

ソフトウェアだけでなく、物理的な機器そのものが攻撃の媒体となるため、検知は非常に困難です。国家が関与するような、大規模で高度な攻撃で見られることがあります。

政府機関が、海外から高性能なサーバーを調達しました。しかし、そのサーバーの製造委託先の工場で、作業員が買収され、基板上に本来存在しないはずの不正なチップが取り付けられていました。

納品されたサーバーは正常に稼働しているように見えましたが、裏ではこの不正チップが外部の攻撃者サーバーと秘密裏に通信を行い、政府機関内の機密情報を継続的に漏洩させていました。物理的なサプライチェーンのどこかの工程で不正が行われると、導入後のソフトウェア対策だけでは防ぎきれない脅威となります。

これらの手口から分かるように、攻撃者はあらゆる「つながり」を狙ってきます。次のセクションでは、実際に国内外で発生したインシデント事例を基に、その脅威の現実味をさらに深く掘り下げていきましょう。

国内・海外のインシデント事例から学ぶ、サプライチェーン攻撃の脅威

これまで解説してきたサプライチェーン攻撃は、決して理論上の話ではありません。国内外で数多くの企業が実際に被害に遭い、事業に深刻な影響が出ています。ここでは、具体的なインシデント事例を取り上げ、そこから我々情報システム担当者が何を学ぶべきかを考察します。

2023年、国内で広く利用されている決済サービスにおいて、大規模な情報漏洩インシデントが発生しました。この事件の原因は、決済サービスのシステム開発を委託していた企業の従業員が使用していたPCがマルウェアに感染したことでした。

攻撃者は、このPCを踏み台にして委託先企業のシステムに侵入。さらに、そこから委託元である決済サービス事業者のシステムへもアクセスし、テスト環境に保管されていた大量の顧客情報を窃取しました。

この事例のポイントは、直接攻撃されたのが決済サービス事業者本体ではなく、業務委託先であった点です。自社のセキュリティ対策は万全だと考えていても、サプライチェーンの一部である委託先のセキュリティレベルが低ければ、そこが穴となって重大なインシデントに繋がるという典型的なケースです。

2020年に発覚した、米国のIT管理ソフトウェア開発企業を標的としたインシデントは、サプライチェーン攻撃の恐ろしさを世界中に知らしめました。

攻撃者は、この企業が開発するソフトウェアのアップデートサーバーに侵入し、正規のアップデートプログラムにバックドアを仕込みました。この汚染されたアップデートプログラムは、世界中の約18,000社に配信され、その中には多数の政府機関や大手企業が含まれていました。

結果として、1社のソフトウェア開発企業への攻撃が、その顧客である数多くの組織へと連鎖的に被害を拡大させるという、前代未聞の事態に発展しました。ソフトウェアというサプライチェーンの根幹を狙われたことで、被害の範囲が爆発的に広がったのです。

これらの事例は、私たち情報システム担当者に多くの重要な教訓を与えてくれます。

1. 「信頼」は脆弱性になり得る: 「大手だから」「長年の付き合いだから」といった理由で、取引先や委託先のセキュリティ対策を鵜呑みにするのは危険です。「信頼するが、検証する（Trust but Verify）」という姿勢が不可欠です。
2. 自社だけを守っても意味がない: サプライチェーン全体を一つの共同体と捉え、取引先や委託先を含めた全体のセキュリティレベルを底上げしていく視点が求められます。自社のセキュリティ対策レベルを取引先に求めることも、時には必要です。
3. ソフトウェアの構成要素管理が重要: 利用しているソフトウェアが、どのようなコンポーネント（部品）で構成されているかを把握し、それぞれの脆弱性情報を管理する「SBOM（Software Bill of Materials）」の考え方が、今後ますます重要になります。

インシデントは、決して他人事ではありません。これらの教訓を自社の状況に置き換え、具体的な対策へと繋げていくことが、情報システム担当者の重要な責務です。

次章では、いよいよインシデントを未然に防ぐための具体的な対策ガイドをステップバイステップで解説していきます。

インシデント発生前に実施すべき！サプライチェーン攻撃への具体的な対策ガイド

サプライチェーン攻撃の脅威を理解したところで、次はいよいよ具体的な対策について見ていきましょう。対策は一度にすべてやろうとすると挫折しがちです。

ここでは、「ステップ1：現状把握」「ステップ2：組織的対策」「ステップ3：技術的対策」の3つのステップに分けて、情シスが主導して実施すべき項目を網羅的に解説します。

何よりもまず、自社がどのようなリスクに晒されているのかを正確に把握することから始めましょう。敵が見えなければ、効果的な対策は打てません。

まずは以下の5つの項目について、自社の状況をチェックしてみてください。YESの数が少ないほど、リスクが高い状態にあると言えます。

これらの項目を洗い出すだけでも、自社のサプライチェーンにおける弱点が見えてくるはずです。

リストアップした委託先や取引先のセキュリティ体制は、客観的な基準で評価する必要があります。具体的には、以下のような方法が考えられます。

• セキュリティチェックシートの活用: IPAなどが公開しているチェックシートを参考に、自社独自の質問票を作成し、取引先に回答を依頼します。
• 第三者認証の確認: ISMS（ISO 27001）やプライバシーマークなどの第三者認証を取得しているかを確認するのも有効な手段です。
• ヒアリングの実施: 特に重要な情報を扱う委託先に対しては、直接訪問したりオンライン会議を行ったりして、セキュリティ対策の具体的な状況をヒアリングします。

これらの評価結果に基づき、各取引先のリスクを「高・中・低」などでランク付けし、リスクの高い取引先から優先的に対策を講じていくことが重要です。

サプライチェーン攻撃対策は、情シス部門だけで完結するものではありません。会社全体として取り組むべきルール作りや体制構築が不可欠です。

新しい取引を開始する際には、価格や品質だけでなく、セキュリティ対策レベルを必須の選定基準に加えましょう。
また、既存・新規を問わず、業務委託契約書や秘密保持契約書に、以下のようなセキュリティに関する条項を明記することが極めて重要です。

• 遵守すべきセキュリティ基準（例：自社のセキュリティガイドライン）
• インシデント発生時の報告義務と協力体制
• 契約終了時のデータ消去に関する取り決め
• 定期的なセキュリティ監査への協力義務

法務部門とも連携し、契約レベルでの対策を徹底しましょう。

自社が遵守すべきセキュリティルールをまとめた「セキュリティガイドライン」を策定し、それをサプライヤー（取引先・委託先）にも展開し、遵守を求めましょう。

ガイドラインには、アクセス管理、脆弱性管理、従業員教育など、具体的な対策項目を盛り込みます。一方的に送付するだけでなく、説明会を開催したり、質疑応答の機会を設けたりすることで、サプライヤー側の理解を促進し、実効性を高めることができます。

どれだけ高度なシステムを導入しても、従業員一人の不注意が全ての防御を無にしてしまう可能性があります。サプライチェーン攻撃の起点となりやすいフィッシングメールへの対応訓練や、パスワードの適切な管理方法など、全従業員を対象とした継続的なセキュリティ教育が欠かせません。

「委託先から送られてきたメールやファイルであっても、安易に信用しない」という意識を組織全体に浸透させることが重要です。

組織的な対策と並行して、情シスが主導する技術的な防御策も多層的に講じる必要があります。

従来の「社内は安全、社外は危険」という境界型防御の考え方は、もはや通用しません。サプライチェーン攻撃では、信頼しているはずの取引先から攻撃がやってくるからです。

そこで重要になるのが、「すべてを信頼しない（Never Trust, Always Verify）」を前提とするゼロトラスト・アーキテクチャへの移行です。社内外を問わず、すべての通信やアクセスを検証し、厳格な認証と認可に基づいて最小限のアクセス権限のみを付与することで、万が一侵入された場合でも被害を最小限に抑えます。

利用しているソフトウェアにどのような部品（オープンソースソフトウェアなど）が使われているかをリスト化した「SBOM（Software Bill of Materials）」を活用することで、未知の脆弱性が発見された際に、自社が影響を受けるかどうかを迅速に判断できます。

SBOMを導入し、ソフトウェア資産とそれに含まれる脆弱性を一元管理する体制を整えることは、ソフトウェア・サプライチェーン攻撃への有効な対策となります。

従来のアンチウイルスソフト（EPP）が「侵入させない」ことを目的とするのに対し、EDR（Endpoint Detection and Response）はPCやサーバーへの侵入をいち早く検知し、対応することを目的としています。

さらに、EDRの検知範囲をネットワークやクラウドにまで広げたXDR（Extended Detection and Response）を導入することで、サプライチェーンを跨いだ巧妙な攻撃の兆候も捉えやすくなり、インシデントの早期発見と封じ込めが可能になります。

近年、サプライヤーのセキュリティリスクを自動的に評価・監視するソリューションも登場しています。これらのツールは、インターネット上から収集した情報（OSINT）を基に、各サプライヤーのサイバーリスクをスコアリングし、継続的にモニタリングしてくれます。

人手によるチェックには限界があるため、こうしたツールを活用してサプライヤー管理を効率化・高度化することも有効な選択肢の一つです。

これらの対策を段階的に実施することで、サプライチェーン全体のセキュリティレベルを確実に向上させることができます。しかし、100%の防御はあり得ません。次の章では、万が一インシデントが発生してしまった場合に備えるための対応策について解説します。

万が一に備える。インシデント発生時の被害を最小限に抑える対応策

どれだけ万全な事前対策を講じても、サイバー攻撃を100%防ぎきることは不可能です。「インシデントはいつか必ず起こるもの」という前提に立ち、発生時の被害をいかに最小限に食い止め、迅速に復旧するかという「事後対応（インシデントレスポンス）」の準備が、事業継続の観点から極めて重要になります。

インシデント発生時に、誰が、何を、どの順番で行うのかをあらかじめ定めた行動計画が「インシデントレスポンス計画（IRP: Incident Response Plan）」です。パニック状態に陥らず、冷静かつ迅速な対応を行うための生命線となります。IRPには、最低限以下の項目を盛り込みましょう。

• 発見と報告の手順: 誰がインシデントを発見し、誰に、どのような方法で報告するのか。
• トリアージ（被害範囲の特定）: 攻撃の影響がどこまで及んでいるのかを切り分け、特定する手順。
• 封じ込め: 被害拡大を防ぐため、感染した端末のネットワーク隔離など、具体的な封じ込め手順。
• 根絶: 攻撃の原因となったマルウェアや脆弱性を完全に除去する手順。
• 復旧: システムやデータを正常な状態に復旧させる手順と優先順位。
• 事後対応と報告: 原因分析、再発防止策の策定、関係各所（経営層、監督官庁、顧客など）への報告手順。
• 緊急連絡網: 夜間や休日でも対応できるよう、関係者の連絡先を網羅したリスト。

インシデント対応の実働部隊となるのがCSIRT（Computer Security Incident Response Team）です。情報システム担当者が中心となり、法務、広報、経営層など、関連部署のメンバーを含めて構成します。

CSIRTの重要な役割は、技術的な対応だけでなく、関係各所とのスムーズな連携を担うことです。

• 経営層: 被害状況やビジネスインパクトを迅速かつ正確に報告し、経営判断を仰ぐ。
• 法務部門: 法的な報告義務の有無や、対外的な公表内容について協議する。
• 広報部門: 顧客やメディアへの説明責任を果たすための情報発信をコントロールする。
• 委託先・取引先: サプライチェーン攻撃の場合、原因究明や被害拡大防止のために、攻撃の起点となった可能性のある委託先との連携が不可欠。
• 外部専門家: 必要に応じて、フォレンジック調査会社や弁護士など、外部の専門家の支援を速やかに要請できる体制を整えておく。

平時からこうした連携体制を構築し、定期的にコミュニケーションを取っておくことが、有事の際の迅速な対応に繋がります。

計画書や体制図を作るだけでは不十分です。実際にインシデントが発生したと想定し、具体的なシナリオ（例：「取引先A社から送付された請求書ファイルを開いたところ、ランサムウェアに感染した」など）に基づいて、机上訓練やシミュレーションを定期的に実施しましょう。

• 第一発見者は、計画通りに報告できるか？
• CSIRTメンバーは、速やかに招集できるか？
• システムの隔離や復旧の手順に漏れはないか？
• 対外的な報告内容は、誰がいつまでに決定するのか？

実際にやってみることで、計画書の不備や連携の課題が浮き彫りになります。訓練で見つかった課題をIRPにフィードバックし、継続的に改善していくサイクルを回すことが、インシデント対応能力を高める上で最も効果的です。

まとめ：サプライチェーン攻撃から自社を守るために、情シスが今日から始めるべきこと

本記事では、巧妙化・深刻化するサプライチェーン攻撃の現状から、その仕組み、具体的な対策、そして万が一の際の対応策まで、情報システム担当者が知るべきすべてを網羅的に解説してきました。

自社だけでなく、取引先や委託先を含めたサプライチェーン全体でセキュリティレベルを向上させていくという視点が、これからの時代には不可欠です。

最後に、本記事の重要なポイントを改めて整理します。

• もはや他人事ではない: サプライチェーン攻撃は、企業の規模を問わず、すべての組織にとって現実的な脅威です。特に中小企業が攻撃の「踏み台」にされるケースが増加しています。
• 信頼の連鎖を悪用: 攻撃者は、ソフトウェア開発元、業務委託先、クラウドサービスといった企業間の「信頼関係」を悪用して侵入します。
• 対策は三位一体で: 対策は「現状把握」「組織的対策」「技術的対策」の3つのステップで、網羅的かつ段階的に進めることが重要です。
• 「信頼しない」が新常識: 従来の境界型防御から脱却し、「ゼロトラスト」の考え方を基本としたセキュリティアーキテクチャへの移行が求められます。
• 事後対応の準備が鍵: 100%の防御は不可能です。インシデント発生を前提とした「インシデントレスポンス計画（IRP）」の策定と訓練が、被害を最小化します。

「何から手をつければいいか分からない…」と感じた方もいらっしゃるかもしれません。
もしそうであれば、今日から始めるべき最初の具体的な一歩は、「自社のサプライチェーンに関わる委託先・取引先のリストを作成し、それぞれのセキュリティリスクを簡易的にでも評価してみること」です。

自社のビジネスが、どのような企業やサービスの上に成り立っているのかを可視化すること。それが、全ての対策の出発点となります。

サプライチェーン攻撃への対策は、一朝一夕に完了するものではありません。しかし、この記事を参考に一歩ずつ着実に進めることで、確実に自社の、そしてサプライチェーン全体のレジリエンス（回復力）を高めることができます。

貴社のセキュリティ対策に関して、より具体的なアドバイスや専門的な支援が必要な場合は、お気軽にご相談ください。専門のコンサルタントが、貴社の状況に合わせた最適なサプライチェーンリスク対策をご提案いたします。