サプライチェーン攻撃とは、攻撃対象を直接狙わず、その組織がつながっている取引先・委託先や、利用しているソフトウェア・サービスの弱点を踏み台にして侵入する攻撃です。本丸の守りが堅くても、相対的に対策の弱い「周辺」を経由されると侵入を許してしまう——これがこの攻撃の本質です。IPAの「情報セキュリティ10大脅威 2026[組織]」でも第2位に選ばれ、8年連続でランクインしている、いま最も警戒すべき脅威の一つです。
この記事でわかること
- サプライチェーン攻撃の定義と、なぜ成立してしまうのか
- 大きく3つに分けられる攻撃の型(ソフトウェア型・サービス型・ビジネス型)
- 代表的な事例(SolarWinds など)から見える怖さ
- 情シスが委託先管理・自社対策で押さえるべきポイント
サプライチェーン攻撃とは何ですか?
サプライチェーン攻撃とは、標的組織そのものではなく、その供給網(サプライチェーン)上の弱い箇所を悪用して標的に到達する攻撃です。米国の標準であるCNSSI 4009-2015(NISTの用語集が引用)では、製品やサービスのライフサイクルのいずれかの段階で、ハードウェア・ソフトウェア・OS・周辺機器などにインプラント(不正な仕込み)や脆弱性を埋め込み、情報を窃取・操作する攻撃、と定義されています。
ここでいう「サプライチェーン」は、部品や製品の供給網だけを指すのではありません。業務を委託している取引先、導入しているソフトウェア、利用しているクラウドサービスや運用保守ベンダーまで、自社の業務を成り立たせている「つながり」全体が対象になります。攻撃者から見れば、本丸を正面から攻めるより、警備の手薄な「裏口」を探すほうが効率的なのです。
なぜサプライチェーン攻撃が増えているのですか?
背景には、業務の外部依存とソフトウェアの再利用が進んだことがあります。
- 大企業の守りが固くなった:直接攻撃が通りにくくなったぶん、攻撃者は対策の手薄な中小の取引先・子会社へ狙いを移している。
- ソフトウェアの「部品」化:現代のソフトは、オープンソースのライブラリや外部部品を大量に組み合わせて作られる。そのうちの一つに悪意あるコードが混入すれば、利用する全ユーザーへ一気に広がる。
- クラウド・SaaSの普及:1つのサービス事業者が侵害されると、その顧客が連鎖的に影響を受ける構造になっている。
つまり、一度の攻撃成功で多数の組織に被害を波及させられる「効率の良さ」が、攻撃者にとっての旨味になっているのです。
サプライチェーン攻撃の主な種類
手口は大きく3つの型に整理すると理解しやすくなります。
| 型 | 侵入の経路 | 典型的なイメージ |
|---|---|---|
| ソフトウェア型 | 正規のソフトやアップデート、OSSライブラリに不正コードを混入 | 信頼して導入した製品の更新プログラム自体が汚染されている |
| サービス型 | 運用保守・クラウド・MSP(運用代行)などのサービス事業者を侵害 | ベンダーが持つ顧客への正規アクセス権を悪用される |
| ビジネス型 | 取引先・委託先・子会社を踏み台にして標的本体へ侵入 | 対策の弱い関連会社経由でグループ全体に被害が拡大 |
ソフトウェア型:信頼そのものを悪用する
もっとも「サプライチェーン攻撃らしい」のがこの型です。利用者は正規の製品・正規の更新だと信じてインストールするため、悪意の混入に気づきにくいのが厄介です。近年は、npmやPyPIといったオープンソースの公開リポジトリに悪意あるパッケージを紛れ込ませる手口(依存関係を狙う攻撃)も急増しています。
サービス型・ビジネス型:「つながり」が侵入口になる
運用を任せているベンダーや、取引でネットワークがつながっている委託先が侵害されると、その正規の接続・アクセス権がそのまま攻撃者の侵入口になります。標的にとっては「自社は何も悪いことをしていないのに侵入された」という形になりやすく、検知も対応も難しくなります。
代表的な事例:SolarWinds 事件
ソフトウェア型の代表例が、2020年12月に発覚したSolarWinds事件です。IT運用管理ソフト「Orion」の正規アップデートにバックドア(裏口)が仕込まれ、それを信頼して適用した1万8千を超える顧客組織に不正なコードが配布されました。米国の政府機関や大企業を含む多数の組織が影響を受け、「正規の更新プログラムすら信用できるのか」という問いを世界に突きつけた象徴的な事件です。1か所の汚染が、これだけ広範囲に連鎖する——サプライチェーン攻撃の怖さを端的に示しています。
現場目線の課題:自社だけでは閉じられない守り
情シスにとってこの脅威が頭の痛いところは、リスクの源泉が自社の管理が及ばない場所にある点です。自社のパッチ適用やアクセス管理をどれだけ徹底しても、取引先のセキュリティ水準まではコントロールできません。「うちはちゃんとやっている」だけでは守りきれない。かといって、すべての委託先に高度な対策を強制するのも、力関係や予算の現実から簡単ではありません。導入済みのソフトに何のライブラリが含まれているかを正確に把握しきれていない、という組織も多いはずです。限られた人員で「自社の外側」まで目を配るむずかしさは、多くの担当者が日々実感されているのではないでしょうか。
情シスはどう向き合うべきですか?
結論として、「直接対策」と「委託先を含めた対策」の両輪で考えるのが基本です。自前で完璧なチェックリストを作り込むより、公的な指針を起点にするのが近道です。
- 使っているものを把握する:導入ソフト・利用サービス・接続している取引先を棚卸しする。ソフトウェアの構成部品を一覧化するSBOM(ソフトウェア部品表)の活用も、混入や脆弱性の影響範囲を素早く特定する助けになります。
- 委託先の管理:契約や委託の段階でセキュリティ要件を明確にし、アクセス権を必要最小限に絞る。委託先の状況を定期的に確認する。
- 侵入を前提にした備え:踏み台にされても被害を広げないよう、ネットワーク分離やログ監視、有事の連絡・対応体制を整える。
具体的な進め方は、IPAが公開する中小企業の情報セキュリティ対策ガイドラインが、委託先管理や基本動作を体系的に示しています。委託先・取引先と足並みをそろえるうえでは、サプライチェーン全体での対策を促すIPAの各種資料も参考になります。あわせて、利用者が「正体不明のソフトを安易に入れない」意識を持てるよう、地道なユーザ教育・啓発を続けることも欠かせません。
まとめ
- サプライチェーン攻撃とは、標的を直接狙わず、取引先・委託先や利用ソフト・サービスの弱点を踏み台にする攻撃。IPAの10大脅威で長年上位に位置する。
- 手口はソフトウェア型・サービス型・ビジネス型に大別でき、SolarWinds事件のように1か所の汚染が広範囲へ連鎖するのが怖さ。
- 自社対策だけでは閉じられないため、利用資産の棚卸し(SBOM等)・委託先管理・侵入前提の備えを、公的指針を起点に進めることが重要。
出典
- NIST CSRC Glossary「supply chain attack」(出典:CNSSI 4009-2015)https://csrc.nist.gov/glossary/term/supply_chain_attack
- IPA「情報セキュリティ10大脅威 2026」https://www.ipa.go.jp/security/10threats/10threats2026.html
- IPA「中小企業の情報セキュリティ対策ガイドライン」https://www.ipa.go.jp/security/guide/sme/index.html
