【知っておくべき】サプライチェーン攻撃とは？手口や対策法解説！

「サイバー攻撃の種類と被害」記事一覧 更新日: 2025年11月19日

【知っておくべき】サプライチェーン攻撃とは？手口や対策法解説！

取引先がどれぐらいセキュリティ対策をしているかご存知ですか？

セキュリティ対策が甘い取引先だと不正アクセスされ、あなたの会社の情報が漏えいするかもしれません。

サプライチェーン攻撃はセキュリティが甘い取引先や関連企業に不正アクセスし、ターゲットの機密情報や個人情報を盗む攻撃。

この記事ではサプライチェーン攻撃の手口や被害事例、企業が行なうべき対策をご紹介します。
被害にあわないためにどうすればいいか知りたい方は必見です。

サプライチェーン攻撃とは？

原材料の調達・製造・組み立て・管理・配送・販売までの一連の流れを、サプライチェーンと言います。

サプライチェーン攻撃とはセキュリティが手薄な末端の企業にサイバー攻撃し、そこからサプライチェーンの流れに沿って攻撃を拡大させる攻撃です。

サプライチェーン攻撃の手口

サプライチェーン攻撃の手口は主に2通りあります。

取引先や関連企業をたどりながら攻撃を拡大させる方法と、製品やサービスの製造過程で多くの社員が使用するソフトウェアを介して攻撃を広める方法があります。

なぜ被害に遭うのか？

サプライチェーン攻撃はなぜ成功するのでしょうか？

まず考えられる理由が3つあります。

多くの事件は一人の社員がフィッシングメールを開いたことによるウイルス感染。

社員のセキュリティ意識が欠けていると起きてしまうことが多いです。

また、セキュリティの導入や人員に割ける予算が少ないと、セキュリティが薄くなってしまいます。

できる範囲でセキュリティルールとフローを確立させておきましょう。

サプライチェーン攻撃に遭った事例

サプライチェーン攻撃を受けて大規模な被害に遭った事例をご紹介します。

三菱電機株式会社の機密情報と個人情報が漏洩

2020年1月に三菱電機株式会社が「個人情報と機密情報が流出した」と発表。

中国の拠点にあるサーバにサイバー攻撃が仕掛けられ、不正アクセスされました。

中国拠点内のサーバから日本国内の端末に侵入され、不正アクセス探知機の知らせにより攻撃が判明。

流出した情報は機密扱いで本来なら紙のまま保管しておくべき情報でしたが、三菱電機が電子データ化し端末内に保存した結果、流出したのです。

AmazonやSlackなどのソフトウェアを狙った攻撃が急増

AmazonやSlackなどの企業とソフトウェアの依存関係を利用した攻撃が、2021年以降急増。

企業は業務を効率よく進めるために複数のソフトウェアを使用し、企業内のネットワークに結びつけます。

サイバー犯罪者はこの結びつきの部分に悪意のあるプログラムを仕掛け、企業のネットワークをハッキングしたのです。

更新プログラムにウイルスを仕込んで攻撃

ソフトウェアの更新プログラムや公式ソフトウェアにウイルスを仕掛けて、感染させる攻撃が増加。

会社のメールや掲示板サイトなどで「更新プログラムが配布されたので更新してください」と、お知らせが届きます。

サイバー犯罪者が更新プログラムにウイルスを埋め込めば社内中に広まり、社内に広まったウイルスはそのまま関連企業への攻撃を可能にするのです。

ネットワーク監視ソフトに過去10年で最悪な攻撃が！

国や企業が利用する大規模なネットワーク監視ソフト「Orion Platform」が、過去10年で最も大きいと言われるサプライチェーン攻撃を受けました。

ウイルスに感染した企業のサービスやシステムが、サイバー犯罪者の手によって強制的に停止させられたのです。

「Orion Platform」はアメリカの政府機関や大手企業など多くの組織が使用していたため、それらの組織と繋がりがあった企業にも被害が及びました。

恐ろしいことにこの攻撃は約9ヶ月間行われた可能性があり、被害総額は想像もつきません。

対策するなら経済産業省から補助金が出る？

企業や関連会社全体をサプライチェーン攻撃に強い組織にするため、経済産業省が「サプライチェーン・サイバーセキュリティ・コンソーシアム」を立ち上げました。

この組織はセキュリティ対策を推進し、企業に対しセキュリティ対策のアドバイスをしたり、人材育成をサポートしています。

さらには令和3年に経済産業省から、サプライチェーン攻撃の対策を考える企業に対し「国内投資促進事業費補助金」 が出されました。

セキュリティ対策に予算を割くべきか迷っている企業には朗報でしたが、すでに募集期間は終了しています。

今後も定期的に公募を開始する可能性があるので、経済産業省の公式サイトを確認しましょう。

サプライチェーン攻撃を受けないための7つの対策

サプライチェーン攻撃から情報を守るために効果的な対策をご紹介します。

認証制度の活用

企業内のセキュリティ対策が万全かどうか、第三者から客観的に見てもらうこともおすすめです。

PマークやISMSなどセキュリティ状況を確認し、安全を保障する機関があります。

安全の保証だけでなく認証マークを公表することで、社会的信用にもつながります。

【おすすめの認証マーク】

認証マーク名	内容
プライバシーマーク（Pマーク）	適切に個人情報を扱える仕組みのある法人や組織に付与。 マークの有効期限は2年間で、都度更新が必要。
ISMS（情報セキュリティマネジメントシステム）	適切に個人情報を扱える仕組みのある法人や組織に付与。 マークの有効期限は2年間で、都度更新が必要。

ネットワークを独立させる

サプライチェーン攻撃は企業同士の繋がりをたどって、攻撃範囲を拡大させます。

できるだけネットワークの繋がりを断ち、それぞれ独立したネットワークに設計してリスクを下げましょう。

緊急事態発生時のフロー確立

サイバー攻撃を受け緊急事態が発生した際、問題に対応するためのフローを確立させることで攻撃の拡大を食い止められます。

フローの作成時、最初に決めるのは以下の3点です。

予算の準備とサイバー保険への加入

サイバー攻撃のリスクは年々高まっています。

なので、サイバー攻撃による金銭的被害を補償してくれる「サイバー保険」へ加入し、万が一に備えておくといいでしょう。

主に損害賠償請求や訴訟を起こされた際の損害を補償します。

実際にサイバー保険に加入する企業は年々増加しています。

ログの管理と監視

不正アクセスを早期発見するには、アクセスログの管理と監視が必要。

いつ誰がどこにログインしたかを記録するのが「アクセスログ」です。

サイバー犯罪者たちは足跡を残すのを恐れ、アクセスログを自ら消します。

ログは消去されてもいいように、別の場所にも保管した方がいいでしょう。

ログの監視とは具体的に、正常時のログと比較して異常な箇所が無いか観察します。

「許可していない人がログインしていないか」「不自然な時間帯にログインしていないか」など、正常時と異なる箇所を探します。

使わないサービスは削除する

サプライチェーン攻撃は会社同士やソフトウェアのつながりで引き起こされる攻撃です。

使用しないサービスは即解約し、削除しましょう。

取り扱うソフトウェアやサービスが少ないほど、サプライチェーン攻撃のリスクは低いです。

サイバー犯罪者の侵入経路を1つでも多く断ちましょう

ファイアウォールとIPS / IDSの導入

「ファイアウォール」と「IDS（侵入検知システム）」を導入し、二重で不正アクセスを監視。

どちらも社内ネットワークへの通信を監視し不正アクセスを探すシステムですが、どちらも導入することで探知漏れを防ぎます。

サプライチェーン攻撃を防ぐおすすめのセキュリティ対策

サイバー攻撃による被害を防ぐには、人の手だけでは限界があります。

情報漏洩のリスクを考慮し、セキュリティを導入するのがおすすめです。

最強・安心のウイルス対策ソフト「ESET」

サプライチェーン攻撃はウイルスを仕込むことが多いため、強力なウイルス対策ソフトは必須。

導入するウイルス対策ソフトに迷っているならば、「ESET」がおすすめです。

多くの企業で採用され、ウイルスや不正アクセスをブロックする技術が非常に優れています。

企業のセキュリティ対策はこれ一台「Cyber Box Pro」

社員や端末の数だけ導入するよりも「Cyber Box Pro」1台の方が、断然お得です。

まとめ

サプライチェーン攻撃は自社だけでなく、関連会社全てをサイバー攻撃の脅威に晒し大変危険です。

実際にセキュリティ意識の高い大企業や高度なセキュリティサービスまで、被害に遭いました。

セキュリティ意識が低く対策しない企業は攻撃の踏み台にされ、更に大きな被害に遭う可能性が高いでしょう。

企業としてなすべき対策をし、ウイルス対策ソフトなどで不正アクセスを徹底的に防ぐことが大切です。