はじめに
サプライチェーン攻撃は、取引先や委託先の弱点を悪用して最終的な標的に侵入する攻撃手法です。IPAの2025年版「情報セキュリティ10大脅威」では2位に選ばれており、その重要性が認識されています。 本稿では、ビジネスサプライチェーンとソフトウェアサプライチェーンの2つの観点から攻撃手法を整理し、国内外の事例や防御策を紹介します。従来記事の重複を避け、幅広い事例と最新の対策フレームワークを取り上げます。
ビジネスサプライチェーン攻撃の仕組み
企業は購買、物流、顧客サービスなど複数の業務を外部企業に委託しています。攻撃者は、この業務委託先のセキュリティが本社より甘いことに着目し、まず委託先に侵入してから連携システムや共有アカウントを通じて標的企業へ横移動します。例えば、物流会社が使う配送管理システムにマルウェアを潜ませ、受注データのやり取りに乗じて他社ネットワークへ拡散するといった手口が報告されています。攻撃は1社にとどまらず、サプライチェーン全体を揺るがす可能性があります。
国内の事例
印刷会社イセトーの事件では、受託元企業のデータを管理するシステムが攻撃を受け、約5万件の個人情報が漏えいしました。 この攻撃では、サーバの設定不備が初期侵入のきっかけとなり、関連する複数企業が影響を受けました。物流会社カンツウでは、委託先を経由してランサムウェアに感染し、配送システムが停止しました。復旧には数週間を要し、取引先にも遅延が発生しました。
海外の事例
米国では2020年にIT管理ソフト「SolarWinds」のアップデートサーバが侵害され、同社製品を利用していた政府機関や企業がバックドアを仕込まれる事件がありました。この攻撃はソフトウェアサプライチェーンの脆弱性を突いたものであり、供給するソフトウェアの信頼性が一夜にして崩れ得ることを示しました。その他、POS端末ベンダーへの攻撃により、小売チェーン各社の決済端末が乗っ取られる事件も発生しています。
ソフトウェアサプライチェーン攻撃
開発工程に対する攻撃は、ソースコードや依存ライブラリ、ビルド環境を標的とします。不正なコードをパッケージに紛れ込ませることで、多数のユーザーがマルウェアをインストールしてしまうリスクがあります。2024年にはUNIX系ツール「xz utils」にバックドアが仕込まれ、複数のLinuxディストリビューションで更新配布が停止されました。 オープンソースコミュニティでも依存関係の複雑化が進み、攻撃者が人気ライブラリの乗っ取りを狙うケースが増えています。
防御策とフレームワーク
委託先管理
サプライチェーン攻撃を防ぐ第一歩は、委託先や取引先のセキュリティレベルを適切に評価することです。契約時にはセキュリティ要件や監査権限を明記し、定期的な評価を通じてリスクを共有します。特に、データの取り扱いやアクセス権限、ログの保存期間について具体的に取り決めることが重要です。攻撃が発生した場合には、委託先との報告義務と緊急連絡ルートを確立しておく必要があります。
SBOMとサプライヤーの可視化
ソフトウェアサプライチェーンへの対策として、SBOM(Software Bill of Materials)を活用し、使用しているソフトウェア部品や依存ライブラリの一覧を把握します。 SBOMにより、脆弱性が報告された際にどの製品が影響を受けるか迅速に判断でき、アップデート計画を効率的に策定できます。また、サプライヤーの階層構造や更新履歴を可視化することで、攻撃が拡散する経路を特定しやすくなります。
ゼロトラストの導入
従来の境界防御では、委託先とのVPN接続やファイル共有を経由して攻撃が広がる危険があります。ゼロトラストモデルでは、ネットワーク内外を問わずすべての通信を検証対象とし、ユーザーとデバイスの認証を継続的に行います。これにより、委託先が侵害されても自社システムへの横移動を防げます。また、最小特権アクセスとマイクロセグメンテーションにより、攻撃の拡大を抑制します。
業界連携と情報共有
業界団体や政府機関との情報共有も重要です。攻撃の兆候やIoC(Indicator of Compromise)を共有することで、別の企業が同じ手口で攻撃される前に対策を講じられます。IPAやJPCERT/CCが提供する脅威情報を活用し、CSIRT同士の連携や訓練を通じて対応力を向上させることが有効です。
まとめ
サプライチェーン攻撃は企業間の信頼関係と複雑な依存関係を悪用するため、被害が広範囲に及ぶ危険があります。本稿では、ビジネスサプライチェーンとソフトウェアサプライチェーンの両面から実態を整理し、具体的な防御策を紹介しました。委託先の評価と契約、SBOMによる可視化、ゼロトラストモデルの導入、情報共有といった複数の施策を組み合わせることで、サプライチェーン全体のレジリエンスを高めることができます。
