サプライチェーン攻撃とは?起点別3類型と最新事例・対策の優先順位を解説

サプライチェーン攻撃は、標的の大企業を直接狙わず、セキュリティが手薄な取引先・子会社・利用中のソフトウェアを踏み台にして侵入する手口です。IPAの「情報セキュリティ10大脅威 2026」組織編では2位に入り、2023年以降4年連続で同じ順位が続いています。この記事では、攻撃の起点を「ソフトウェア型・サービス型・ビジネス型」の3類型で整理し、国内事例に共通する弱点、経済産業省のSCS評価制度など最新の制度動向、そして企業規模別に取るべき対策の優先順位と外注の判断基準までを一次情報に基づいて解説します。

目次

まとめ|サプライチェーン攻撃の要点と対策の優先順位

サプライチェーン攻撃の本質は、防御の弱い一点から入って信頼関係をたどり被害を広げる「間接侵入」にあります。自社の対策が強固でも、取引先やOSSに穴があれば侵入経路になります。だからこそ守るべき対象は自社単体ではなく供給網全体です。

対策は横並びで並べず、順序で考えます。第一に自社の攻撃面を閉じること(多要素認証・EDR・脆弱性管理)、第二に委託先とOSSの管理(SBOM・契約要件・第三者評価)、第三に経済産業省のSCS評価制度やSECURITY ACTIONといった制度への対応です。中小企業はまず自社の基本対策と自己宣言から、発注側の大企業は委託先に求める水準の明文化から着手するのが現実的な打ち手になります。自社だけで判断が難しい領域は、脆弱性診断など外部の専門家に切り出す線引きを先に決めておきます。

サプライチェーン攻撃の定義と企業が標的にされ続ける構造的な理由

まず言葉の意味と、なぜこの手口が減らないのかという構造を押さえます。定義があいまいなまま対策を並べても、自社のどこが穴になるのかが見えないためです。

取引先・子会社・OSSを踏み台にする間接侵入という手口の定義

サプライチェーン攻撃とは、攻撃者が最終標的の組織へ直接侵入する代わりに、その組織とつながる取引先・子会社・委託先、あるいは組み込まれたソフトウェア部品を侵害の起点にする攻撃の総称です。標的型攻撃が本丸を正面から狙うのに対し、こちらは「信頼された経路」を借りて入ってきます。侵入後は正規の通信やアップデートに紛れるため、受け取る側では気づきにくいのが厄介な点です。セキュリティの3要素やISMSの基本を含む全体像は、情報セキュリティとは何かと外注時の要件を整理した解説で補足できます。

IPA10大脅威2026で4年連続2位という増加傾向の裏付け

IPAが2026年1月29日に公表した「情報セキュリティ10大脅威 2026」組織編で、「サプライチェーンや委託先を狙った攻撃」は2位でした。この脅威は8年連続でランクインし、2023年以降は4年連続で2位に位置しています。1位はランサム攻撃による被害で、3位には初選出の「AIの利用をめぐるサイバーリスク」が入りました。順位が動かない事実が示すのは、対策の難しさが構造に根ざしている点です。大企業が自社防御を固めるほど、攻撃者は相対的に弱い委託先へ回り込みます。数字は「まだ解けていない問題」の証拠として読むべきものです。

サプライチェーン攻撃の起点別3類型と侵入経路ごとの手口の違い

対策の設計は、まず「どこから入られるか」を型で分けるところから始まります。起点が違えば守り方も変わるためです。ここでは実務でよく使われる3類型に沿って手口を整理します。

ソフトウェア型|OSSや正規の更新配信の汚染で広く感染させる手口

ソフトウェア型は、多くの企業が使う部品や配信経路そのものを汚染し、一度に広範囲へ被害を及ぼす起点です。OSSのライブラリに悪意あるコードを混入させる、正規のアップデートに不正な処理を仕込む、といった手口が代表例になります。npmでは2025年に自己増殖型のワームが確認され、公開パッケージ経由で認証情報を盗み出す事案が起きました。具体的な挙動と影響確認の手順はShai-Hulud(npmサプライチェーン攻撃)の全体像を追った技術記事にまとめています。PyPIでも同種の不正パッケージが繰り返し報告されており、外部部品を「信頼済み」と暗黙に扱う開発文化そのものが狙われています。

サービス型|MSPやクラウド管理経由で顧客網に波及させる手口

サービス型は、複数の顧客を一括で管理するMSP(マネージドサービス事業者)やクラウド運用事業者を侵害し、その管理権限を使って配下の顧客へ一斉に横展開する起点です。管理ツールは高い権限を持つため、一つ落とされると影響範囲が管理下の全社に及びます。委託先に運用を任せている企業ほど、自社の画面からは攻撃の兆候が見えにくいのが実情です。事業者側の権限管理と、利用側での操作ログ監視の両方がなければ検知が遅れます。

ビジネス型|取引先や子会社を踏み台に本丸へ迫る商流経由の手口

ビジネス型(商流型)は、対策の弱い取引先や海外子会社に先に侵入し、そこを足がかりに本命の組織へ近づく起点です。日本国内では、海外子会社を経由した大規模な個人情報流出や、取引先が受けた攻撃の余波で工場の稼働が全面停止した事案が知られています。特徴は、正規の商流や業務連絡に紛れて侵入が進む点です。取引の深い相手ほど通信を疑いにくく、その油断が経路になります。

国内で確認されたサプライチェーン攻撃の被害事例と共通する弱点

個々の事例を並べるより、そこに共通する「開いていた穴」を抽出するほうが対策に直結します。起点は違っても、破られる急所は驚くほど似ています。

委託先管理・OSS管理・認証の甘さに共通する3つの侵入の急所

公表された国内事案を横断すると、破られた急所は次の3つに集約されます。

  • 委託先・子会社の管理不全:契約でセキュリティ水準を定めず、実態も点検していない状態。海外拠点や再委託先まで可視化できていない例が目立ちます。
  • OSS・外部部品の把握不足:どのソフトにどのライブラリが含まれるかの一覧(部品表)が無く、汚染された版を使っていても気づけない状態。
  • 認証と権限の甘さ:多要素認証が未導入、あるいは委託先アカウントに過剰な権限が残り、一つの窃取で内部を移動できてしまう状態。

裏を返せば、この3点を閉じるだけで大半の経路は塞げます。実務でまず着手すべきはこの優先順位です。次章で順を追って示します。

企業が取るべきサプライチェーン攻撃対策の優先順位と着手する順序

対策を「やることリスト」として等価に並べると、費用対効果を見失います。効くのは順序です。自社→委託先・OSS→制度対応、の三段で組み立てます。

第一段階|自社の攻撃面を閉じる多要素認証・EDR・脆弱性管理

最初に着手するのは、自社が踏み台にならないための土台固めです。全アカウントへの多要素認証、端末へのEDR(不審な挙動を検知・遮断する仕組み)の導入、既知の脆弱性を放置しないパッチ運用の3つが基本になります。この土台は攻撃の起点が何であっても効く共通防御です。自社にどの穴が残っているかを客観的に洗い出す手段としては、脆弱性診断の種類と費用相場・進め方をまとめた解説が判断材料になります。侵入を完全には防げない前提に立つなら、内部を自由に動かせない設計、すなわちゼロトラストの考え方と導入判断の解説も併せて検討します。

第二段階|委託先とOSSを管理するSBOM・契約要件・第三者評価

自社の土台が固まったら、供給網の外側へ管理を広げます。ソフトウェアの部品表であるSBOM(Software Bill of Materials)を整備し、どの製品にどのOSSが含まれるかを一覧化すると、汚染版が出た際の影響調査が一気に速くなるのが利点です。委託先には契約段階でセキュリティ要件を明記し、再委託の範囲や事故時の報告義務まで定めます。安全なアプリ開発の実装観点はOWASPの主要プロジェクトと開発への組み込み方の技術解説が参考になります。ここは一度整えれば毎年の点検で回せる領域です。

第三段階|経産省のSCS評価制度2026とSECURITY ACTIONへの備え

制度対応は、取引条件として外部から求められる前に動くと有利になります。経済産業省と内閣官房国家サイバー統括室は、企業のセキュリティ対策状況を客観基準で可視化する「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」の構築方針を2026年3月27日に公表しました。★3・★4は2026年度末頃の申請受付開始を目指し、★5は2026年度以降に評価基準を具体化する方向です。中小企業向けには「サイバーセキュリティお助け隊サービス」の新類型が用意され、まず取り組める入口として自己宣言型のSECURITY ACTIONとの連携が示されています。制度は「対応済みを取引先に示す共通言語」になっていくため、方針段階から自社の位置づけを把握しておくと後の対応が軽くなります。

企業規模別に見たサプライチェーン攻撃対策の重点と外注の判断基準

同じ供給網でも、中小企業と大企業では守るべき重心が違います。ここは玉虫色にせず、それぞれ何を優先し、どこは手を広げないかを示します。

中小企業が最優先すべき基本対策と過剰なセキュリティ投資を避ける線引き

中小企業がまず取り組むべきは、多要素認証・EDR・パッチ運用・従業員教育という基本の徹底と、SECURITY ACTIONの自己宣言です。ここで高価な統合監視基盤やSOC(専門の監視部隊)に先行投資するのは、多くの中小企業では過剰になります。専任の運用者がいなければ高度な仕組みは形骸化し、費用だけが残るためです。人手が足りない部分は「お助け隊サービス」のような外部支援で補い、自前主義に固執しないのが賢い線引きになります。狙われないから小さいのではなく、狙われやすいから小さくても基本を固める、という順序です。

発注側・大企業が委託先に求めるセキュリティ水準と外部委託の判断

発注側の大企業が負う責任は、自社防御にとどまりません。委託先が破られれば自社の情報も流出するため、求める水準を契約とチェックリストで明文化し、再委託先まで可視化する必要があります。すべてを内製で監査するのは非現実的です。診断・監視・SBOM整備といった専門性の高い工程は、外部の専門家に切り出したほうが精度も速度も上がります。自社対応と外部委託の切り分けに迷う場合は、脆弱性診断を外注する際の判断基準の解説を起点に、どこまで自前で持ちどこを預けるかを設計してください。当社でも、Webシステム開発と併せてこうしたセキュリティ設計の相談を承っています。

よくある質問

サプライチェーン攻撃について、検索でよく調べられる疑問に簡潔に答えます。

サプライチェーン攻撃はいつから増えたのですか?

単独の起点ではなく、2010年代後半から継続的に増加してきた脅威です。IPAの「情報セキュリティ10大脅威」組織編では8年連続でランクインし、2023年以降は4年連続で2位という高水準が続いています。大企業の直接防御が固まるにつれ、攻撃者が弱い委託先へ回り込む構造が定着したことが背景にあります。

ソフトウェアサプライチェーン攻撃は他の類型と何が違うのですか?

侵入の起点がソフトウェア部品や配信経路である点が違いです。OSSライブラリの汚染や正規アップデートへの不正混入によって、一つの汚染が利用企業全体へ同時に広がります。取引先を踏み台にするビジネス型より波及が速く広いため、SBOMによる部品の把握が特に効きます。

中小企業でもサプライチェーン攻撃の標的になりますか?

むしろ狙われやすい立場です。大企業への侵入口として、対策の手薄な取引先・子会社が先に攻撃されます。自社の情報だけでなく取引先への加害者になるリスクもあるため、多要素認証やパッチ運用などの基本対策とSECURITY ACTIONの自己宣言から始めるのが現実的です。

サプライチェーン攻撃対策の費用はどのくらいかかりますか?

取る対策の段階によって幅があります。多要素認証やパッチ運用は既存製品の設定で始められ、追加費用を抑えられます。一方で脆弱性診断やSBOM整備、外部監視は専門性が要り、規模と範囲で費用が変わる点に注意が必要です。まず基本対策で土台を固め、診断で穴を特定してから投資範囲を決めると無駄が出にくくなります。

ゼロトラストはサプライチェーン攻撃に有効ですか?

侵入を前提に被害を抑える考え方として有効です。取引先やOSS経由の侵入を100%は防げない以上、内部で自由に横移動させない設計が効きます。すべての通信とアクセスを検証するゼロトラストは、踏み台にされた後の被害拡大を止める防御として機能します。

関連記事

資料請求

RELATED POSTS 関連記事