1. TOP
  2. サイバー攻撃対策(サイバーセキュリティ)
  3. サイバー攻撃
  4. 記事一覧
  5. サプライチェーンリスクとは?攻撃の種類や被害事例、対策を解説

サプライチェーンリスクとは?攻撃の種類や被害事例、対策を解説

「自社のセキュリティ対策は万全なはずなのに、取引先が原因で被害に遭うことがあるのか?」と不安に感じている方も多いのではないでしょうか。近年、取引先や委託先のセキュリティの隙を突いて、標的企業に侵入するサプライチェーン攻撃が急増しています。

サプライチェーンリスクは、自社のセキュリティ対策だけでは防ぎきれない脅威です。

この記事では、サプライチェーンリスクの基本から、攻撃の種類、実際の被害事例、そして具体的な対策までをわかりやすく解説します。

目次

[ 開く ] [ 閉じる ]
  1. サプライチェーンリスクとは?意味と注目される背景
  2. サプライチェーン攻撃の3つのパターン
  3. 1.ビジネスサプライチェーン攻撃
  4. 2.サービスサプライチェーン攻撃
  5. 3.ソフトウェアサプライチェーン攻撃
  6. サプライチェーンリスクが発生する3つの原因
  7. 1.関連企業や取引先のセキュリティの脆弱性
  8. 2.内部の人的ミス・セキュリティ教育の不足
  9. 3.内部不正による情報漏えい
  10. サプライチェーンリスクの被害事例3選
  11. 1.小島プレス工業へのランサムウェア攻撃(2022年)
  12. 2.SolarWinds事件(2020年)
  13. 3.大阪急性期・総合医療センターへのランサムウェア攻撃(2022年)
  14. サプライチェーンリスクマネジメント(SCRM)が重要な理由
  15. サプライチェーンリスクを軽減するための6つの対策
  16. 1.自社のセキュリティ状況を把握し、課題を洗い出す
  17. 2.関連企業のリスク評価を実施し、パートナーを慎重に選定する
  18. 3.委託先との契約にセキュリティ要件を明記する
  19. 4.従業員へのセキュリティ教育を徹底する
  20. 5.セキュリティ対策ソフト・サービスを導入する
  21. 6.インシデント発生時の対応計画(BCP)を策定する
  22. まとめ

サプライチェーンリスクとは?意味と注目される背景

サプライチェーンリスクとは、原材料の調達から製品・サービスが消費者に届くまでの一連の供給網(サプライチェーン)に潜む、セキュリティ上のリスクのことです。具体的には、取引先・委託先・子会社といった関連組織のセキュリティの弱点を突かれ、そこを踏み台にして自社が攻撃を受けるリスクを指します。

この脅威が注目される背景には、被害の深刻化があります。IPAが毎年発表する「情報セキュリティ10大脅威」では、サプライチェーンを狙った攻撃が2019年に初選出されて以来、7年連続でランクインしています。2025年版・2026年版ともに組織部門の2位に位置づけられ、ランサムウェアに次ぐ深刻な脅威として認識されています。経済産業省も「サプライチェーン強化に向けたセキュリティ対策評価制度」の構築を進めており、国を挙げた対策が求められるフェーズに入っています。

参考:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025

参考:IPA 独立行政法人 情報処理推進機構「プレス発表「情報セキュリティ10大脅威 2026」を決定

サプライチェーン攻撃の3つのパターン

サプライチェーン攻撃は、その手口によって大きく3つのパターンに分類できます。

  • ビジネスサプライチェーン攻撃:取引先・子会社を踏み台にする手口
  • サービスサプライチェーン攻撃:外部サービス経由で被害が広がる手口
  • ソフトウェアサプライチェーン攻撃:ソフトウェアの配布工程に不正コードを仕込む手口

それぞれ詳しく見ていきましょう。

1.ビジネスサプライチェーン攻撃

ビジネスサプライチェーン攻撃とは、標的企業を直接狙うのではなく、セキュリティ対策が手薄な取引先や子会社を経由して侵入する手口です。大企業は堅固なセキュリティ体制を持っていても、その取引先である中小企業の対策が不十分であれば、そこが「入口」として狙われます。

たとえば、2022年にはトヨタ自動車の部品供給元である小島プレス工業がランサムウェア攻撃を受け、トヨタの国内全14工場が稼働停止に追い込まれました。このように、たった1社の被害がサプライチェーン全体に連鎖する点が、この攻撃の怖さです。

参考:日経クロステック「トヨタの工場を止めたサイバー攻撃 サプライチェーン攻撃のリスクが露呈

2.サービスサプライチェーン攻撃

サービスサプライチェーン攻撃は、MSP(マネージドサービスプロバイダ)やクラウドサービスといった外部委託先のサービスを経由して攻撃が広がるパターンです。

委託先のサービスが侵害されると、そのサービスを利用する多数の企業に同時に被害が及ぶ可能性があります。たとえば、IT管理サービスを提供するKaseya社が2021年に攻撃を受けた際には、同社のサービスを利用する世界中の企業約1,500社に被害が拡大しました。1つのサービスの侵害が、数百〜数千の企業に波及するという点で、被害規模が非常に大きくなりやすい手口です。

参考:CISA「REvil/Sodinokibi Ransomware Attack on Kaseya VSA: Actions to Take

3.ソフトウェアサプライチェーン攻撃

ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発・配布工程にマルウェアやバックドアを混入させる手口です。正規のソフトウェアアップデートに不正なコードが紛れ込むため、利用者は気づかずにマルウェアをインストールしてしまいます。

代表的な事例が、2020年のSolarWinds事件です。ネットワーク監視ソフト「Orion」のアップデートにバックドアが仕込まれ、最大約18,000組織が影響を受けました。正規のアップデートを悪用するため検知が極めて難しく、発覚までに約9ヶ月を要しています。

参考:トレンドマイクロ「SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃

サプライチェーンリスクが発生する3つの原因

サプライチェーン攻撃が成立してしまう背景には、主に3つの原因があります。

  • 関連企業や取引先のセキュリティの脆弱性
  • 内部の人的ミス・セキュリティ教育の不足
  • 内部不正による情報漏えい

自社だけでなくサプライチェーン全体に目を向ける必要がある理由を、順に解説します。

1.関連企業や取引先のセキュリティの脆弱性

もっとも多い原因が、取引先や委託先のセキュリティ対策の不十分さです。中小企業は大企業と比べてセキュリティへの投資余力が限られており、VPN機器の脆弱性を放置していたり、パスワード管理が不十分だったりするケースが少なくありません。

攻撃者はこうしたセキュリティが手薄な組織を見つけ出し、そこを足がかりにして本来の標的である大企業に侵入します。自社がどれだけ堅固な対策を施していても、接続先の一社が弱ければ、そこがリスクの入口となってしまうのです。

参考:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025 解説書[組織編]

2.内部の人的ミス・セキュリティ教育の不足

メールの誤送信、サーバー設定のミス、安易なパスワードの使い回しなど、人的ミスもサプライチェーンリスクの大きな原因です。とくに委託先の従業員にまでセキュリティ教育が行き届いていないケースでは、フィッシングメールに引っかかるなどして認証情報が流出するリスクが高まります。

サプライチェーンはその名のとおり「鎖」であり、もっとも弱い環(組織)の強度が、全体のセキュリティレベルを決めてしまいます。自社だけでなく、委託先を含めた教育体制の整備が不可欠です。

参考:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025 解説書[組織編]

3.内部不正による情報漏えい

委託先や自社内部の従業員・元従業員が、意図的に機密情報を持ち出したり、システムを不正に操作したりするケースも存在します。IPAの「情報セキュリティ10大脅威 2025」では、「内部不正による情報漏えい等」が組織部門の4位にランクインしています。

内部不正は外部からの攻撃と比べて発見が遅れやすく、被害額が大きくなる傾向があります。アクセス権限の適切な管理や、操作ログの監視といった技術的対策に加え、退職者のアカウント削除の徹底なども重要な防止策です。

参考:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025

サプライチェーンリスクの被害事例3選

ここからは、サプライチェーンリスクが実際に顕在化した代表的な事例を3つ紹介します。いずれも公的機関の報告書や調査報告が公開されている事例で、それぞれ異なる攻撃パターンと教訓を含んでいます。

1.小島プレス工業へのランサムウェア攻撃(2022年)

2022年2月、トヨタ自動車の部品サプライヤーである小島プレス工業が、ランサムウェア攻撃を受けました。攻撃者は同社の子会社のネットワークを経由して本社サーバーに侵入したとされています。

この攻撃の影響で、部品の受発注システムが停止。トヨタは国内全14工場28ラインの稼働を停止し、約1万3,000台の生産に影響が出ました。工場停止は1日で済みましたが、システムの完全復旧には約1ヶ月を要しています。ビジネスサプライチェーン攻撃の典型例として、取引先1社のセキュリティ対策が自社の事業継続に直結することを示した事例です。

参考:トヨタイムズ「小島プレス、サイバー被害から1年 苦難乗り越え深めた絆

参考:日経クロステック「ハッカーに狙われたトヨタ、小島プレスへの攻撃で国内全工場停止

2.SolarWinds事件(2020年)

2020年12月に発覚したSolarWinds事件は、ソフトウェアサプライチェーン攻撃の代名詞ともいえる事例です。ネットワーク監視ソフト「Orion」のアップデートにバックドア(Sunburst)が仕込まれ、正規のアップデートを通じてマルウェアが配信されました。

影響を受けた組織は最大約18,000にのぼり、米国の財務省・商務省・国土安全保障省などの政府機関を含む約100組織が実際に侵害されたとされています。攻撃者はロシアの国家支援グループAPT29と広く認定されています。正規のソフトウェアを悪用するため検知が非常に難しく、最初の不正アクセスから発覚まで約9ヶ月を要した点も、この事件の深刻さを物語っています。

参考:トレンドマイクロ「SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃

3.大阪急性期・総合医療センターへのランサムウェア攻撃(2022年)

2022年10月、大阪急性期・総合医療センター(病床数865床)がランサムウェア攻撃を受けました。侵入経路は、同センターに給食を提供する委託業者に設置されたVPN機器でした。このVPN機器には既知の脆弱性(CVE-2018-13379)が放置されており、攻撃者はここから病院内ネットワークに侵入しました。

電子カルテをはじめとする基幹システムが暗号化され、緊急以外の手術や外来診療が停止。完全復旧までに約2ヶ月を要し、被害額は調査・復旧で数億円、診療制限による逸失利益は数十億円規模と報告されています。委託先とのネットワーク接続における管理の不備が、大規模な被害につながった典型的な事例です。

参考:大阪急性期・総合医療センター「情報セキュリティインシデント調査委員会報告書概要

サプライチェーンリスクマネジメント(SCRM)が重要な理由

サプライチェーンリスクマネジメント(SCRM)とは、取引先や委託先を含むサプライチェーン全体のセキュリティリスクを特定・評価・管理する取り組みのことです。なぜこれが重要なのかというと、サプライチェーン上でインシデントが発生した際に、「対応の責任がどこにあるのか」が不明確な企業が多いからです。

前述の大阪急性期・総合医療センターの事例でも、病院と給食事業者の間でセキュリティに関する責任範囲が明確に定められていなかったことが、被害拡大の一因とされています。被害は攻撃を受けた1社にとどまらず、サプライチェーン全体に連鎖して事業停止や信用失墜を招きます。こうした事態を防ぐには、契約段階でセキュリティ要件や責任範囲を取り決め、定期的に見直すSCRMの実践が欠かせません。

参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール

サプライチェーンリスクを軽減するための6つの対策

サプライチェーンリスクへの対策は、自社のセキュリティ強化だけでは不十分です。取引先・委託先を含めたサプライチェーン全体での取り組みが求められます。ここでは、実践しやすい順に6つの対策を紹介します。

  • 自社のセキュリティ状況の把握
  • 関連企業のリスク評価
  • 契約へのセキュリティ要件の明記
  • 従業員へのセキュリティ教育
  • セキュリティ対策ソフト・サービスの導入
  • インシデント発生時の対応計画(BCP)の策定

1.自社のセキュリティ状況を把握し、課題を洗い出す

まず取り組むべきは、自社のセキュリティ対策の現状を正確に把握することです。どのようなIT資産があり、どこに脆弱性があるのかを棚卸ししなければ、適切な対策は打てません。

具体的には、経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン」に沿って自社の対策状況を点検する方法が有効です。また、中小企業であればIPAの「SECURITY ACTION」制度を活用し、自己宣言を行うことで対策の第一歩を踏み出せます。

参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール

2.関連企業のリスク評価を実施し、パートナーを慎重に選定する

自社だけでなく、取引先や委託先のセキュリティ体制も評価する必要があります。新規取引の開始時にセキュリティチェックリストを用いて確認するのはもちろん、既存の取引先に対しても定期的な再評価を行いましょう。

評価のポイントとしては、ネットワーク機器のファームウェアの更新状況、アクセス制御の方針、インシデント対応体制の有無などが挙げられます。一度評価して終わりではなく、定期的にセキュリティ体制を確認する仕組みをつくることが重要です。

参考:内閣サイバーセキュリティセンター(NISC)「外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書

3.委託先との契約にセキュリティ要件を明記する

業務委託契約には、セキュリティに関する要件を必ず盛り込みましょう。具体的には、インシデント発生時の報告義務、責任範囲の明確化、損害賠償条項などが挙げられます。

サプライチェーンリスクを想定した条項がなければ、有事の際に「どちらが対応すべきか」「費用はどちらが負担するのか」が曖昧になり、復旧が遅れる原因になります。契約書にセキュリティの責任範囲を明記しておくことが、いざという時の混乱を防ぐ最善の備えです。

参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール

4.従業員へのセキュリティ教育を徹底する

技術的な対策だけでなく、「人」への対策も欠かせません。自社の従業員はもちろん、可能であれば委託先に対してもセキュリティ教育の水準確保を求めましょう。

具体的な取り組みとしては、標的型メール訓練の実施や、インシデント発生時の対応手順を定めた演習が効果的です。「怪しいメールを開かない」といった基本的なリテラシーの底上げだけでも、人的ミスを起因とする攻撃のリスクを大幅に減らすことができます。

参考:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025 解説書[組織編]

5.セキュリティ対策ソフト・サービスを導入する

エンドポイント(PCやサーバー)を保護するセキュリティ製品の導入も重要な対策です。近年では、従来型のアンチウイルスだけでなく、EDR(エンドポイント検知・対応)やNGAV(次世代アンチウイルス)といった高度な防御ツールが普及しています。

また、サプライチェーン全体のリスクを可視化するサードパーティリスク管理サービスも登場しています。自社の対策に加え、取引先のセキュリティ状態を外部から評価できるツールを活用すれば、サプライチェーン全体のリスクをより効率的に把握できます。

参考:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2025 解説書[組織編]

6.インシデント発生時の対応計画(BCP)を策定する

どれだけ対策を講じても、サイバー攻撃を100%防ぐことは困難です。そのため、「攻撃を受けた後にどう動くか」を事前に決めておくBCP(事業継続計画)の策定が不可欠です。

サプライチェーンが途絶した場合を想定し、取引先を含めた連絡体制や復旧手順をあらかじめ策定しておきましょう。計画を策定するだけでなく、定期的に訓練を実施して実効性を確認することが、いざという時に迅速な対応を可能にします。

参考:経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール

まとめ

サプライチェーンリスクは、自社のセキュリティ対策だけでは防ぎきれない脅威です。攻撃者は取引先や委託先の弱点を突いて侵入するため、サプライチェーン全体でのセキュリティ強化が求められます。

まずは自社のセキュリティ状況を把握し、取引先のリスク評価、契約でのセキュリティ要件の明確化、そしてインシデント発生時のBCP策定へと、段階的に対策を進めていくことが大切です。

GMOインターネットグループでは、パスワードの漏洩やWebの侵入リスクなどを無料で診断できるサービス「GMO セキュリティ24」を提供しています。また、ネット利用に関するご不安にも無料でお答えしていますので、お気軽にご相談ください。

文責:GMOインターネットグループ株式会社

関連記事

TECHNOLOGY BLOG