サプライチェーン攻撃とは｜手口・対策・事例

概要

サプライチェーン攻撃とは、標的の組織を直接狙う代わりに、セキュリティ対策が手薄な取引先・委託先や、利用しているソフトウェアの供給網（サプライチェーン）の弱点を踏み台にして、本来の標的へ侵入する攻撃です。

大企業は防御が固くても、つながっている中小の取引先や、導入しているソフトの提供元が弱ければ、そこが突破口になります。「組織は自社だけでなく取引先も含めて守る必要がある」という考え方の重要性を示す攻撃です。

種類	内容
ビジネスサプライチェーン型	取引先・委託先・子会社を踏み台に、本来の標的へ侵入する。
ソフトウェアサプライチェーン型	正規ソフトの開発・更新（アップデート）に不正コードを混入させ、利用者全体に配布させる。
サービスサプライチェーン型	MSP（運用委託先）やクラウド事業者を侵害し、その顧客へ広げる。

サプライチェーン攻撃のキーワードは「取引先・委託先・供給網の弱点を踏み台にする」。標的型攻撃と組み合わさることが多く、対策の中心が委託先管理である点が頻出です。

自社の防御を固めるだけでは不十分で、つながる相手のセキュリティまで含めて管理する必要があります。これは個人情報保護法の「委託先の監督義務」とも共通する考え方です。

大手メーカーの取引先（部品サプライヤ）がランサムウェアに感染し、部品供給が止まったことで、大手側の工場まで操業停止に追い込まれた事例があります。1社の被害がチェーン全体に波及することを示しました。

正規のソフトウェア更新プログラムに攻撃者が不正コードを仕込み、それを適用した世界中の多数の組織が一斉に被害を受けた事例があります。信頼している供給元が侵害される怖さを示しました。