【2025年版】サプライチェーン攻撃の脅威と企業が取るべき対策

近年、企業を狙うサイバー攻撃のなかでも、自社だけでなく取引先までをも巻き込む「サプライチェーン攻撃」の脅威が深刻化しています。 
一度サイバー攻撃の被害に遭うと、自社のみならずサプライチェーン全体に被害が連鎖し、事業停止や大規模な情報漏洩といった事態に発展しかねません。そのため、企業にとって対策が欠かせないサイバー攻撃の一つとなっています。 

この記事では、サプライチェーン攻撃の最新動向や具体的な事例、企業が今すぐ取るべき対策などについて解説します。 

 

■サプライチェーン攻撃とは？基本的な仕組み

サプライチェーン攻撃は、標的企業へ直接侵入するのではなく、セキュリティ対策が比較的脆弱な取引先や関連企業などを踏み台にして、最終的な標的への侵入を試みるサイバー攻撃の手法です。 
この攻撃は、サプライチェーン上にある1つの脆弱性をきっかけに、連鎖的に被害が拡大する恐れがあります。つまり、企業間の信頼関係を逆手に取った巧妙な攻撃といえるでしょう。そのため、自社だけではなく取引先を含めたサプライチェーン全体でのセキュリティ対策が欠かせません。 
 

◇サプライチェーン攻撃の基本的な流れ 

攻撃者はまず、ターゲット企業と取引のある企業や子会社など、比較的セキュリティが脆弱な組織に侵入します。次に、その組織を踏み台とし、企業間の正常な通信や取引を装ってターゲット企業への不正アクセスを試みる、という流れが一般的です。 
攻撃には、OSやソフトウェアの脆弱性を悪用する手口のほか、標的型攻撃メールやその添付ファイルを開かせるなどの人的ミスを誘発する手口も用いられます。 
 

◇従来の攻撃手法との違い 

従来のサイバー攻撃は、攻撃者が標的企業に対して直接攻撃を仕かける手法が主流でした。しかしサプライチェーン攻撃では、日常的に業務上のやり取りがある取引先を通じて自社のネットワークに侵入されるため、攻撃の検知が非常に困難です。 
信頼している取引先を通じた攻撃となるため、ターゲットとされた企業は侵入に気付きにくく、被害が深刻化しやすい傾向があります。 

 

■サプライチェーン攻撃の3つの種類と手法 

サプライチェーン攻撃は、攻撃の起点や手法によっていくつかの種類に分類されます。これらの手口を理解することは、自社がどのようなリスクに直面しているかを把握し、適切な対策を講じるための第一歩となります。 
ここでは、代表的な3つの攻撃の種類について説明します。 
 

◇取引先経由で狙う「ビジネスサプライチェーン攻撃」

ビジネスサプライチェーン攻撃は、標的企業と取引のある関連会社や子会社など、比較的セキュリティ対策が手薄な組織を踏み台にして侵入する、サプライチェーン攻撃における典型的な手口です。 
この手法は、島から島へと渡り歩くように攻撃を広げる様子から「アイランドホッピング攻撃」とも呼ばれます。攻撃者は侵入後に、ランサムウェアの展開や機密情報の窃取を行ない、多額の金銭を要求することがあります。 
 

◇ソフトの更新に潜む「ソフトウェアサプライチェーン攻撃」 

ソフトウェアサプライチェーン攻撃は、ソフトウェアの開発、製造、提供といった工程のうち、いずれかの段階で不正なプログラムを混入させる攻撃手法です。攻撃者はソフトウェア会社の開発環境に侵入し、正規のアップデートファイルなどにマルウェアを仕込みます。 
利用者は信頼しているソフトウェアを更新する際に、意図せずマルウェアに感染してしまいます。オープンソースコードの脆弱性を突いて、マルウェアを仕込むケースもあるため注意が必要です。 
 

◇クラウドサービス経由の「サービスサプライチェーン攻撃」 

サービスサプライチェーン攻撃は、企業が利用するクラウドサービスやMSP（マネージドサービスプロバイダー）といった、外部のITサービス事業者を経由して行なわれる攻撃です。 
これらの事業者は、多くの顧客企業の機密情報や重要なシステムを管理しています。そのため、一度侵入を許すと、そのサービスを利用する多数の企業に連鎖的に被害がおよぶ可能性があります。 

攻撃者にとっては、一度の攻撃で効率的に多くのサプライチェーンや業界を標的にできる手法といえるでしょう。 

 

■サプライチェーン攻撃はなぜ脅威となるのか 

サプライチェーン攻撃は巧妙な手口で行なわれ、企業活動に深刻な影響をおよぼします。ここでは、サプライチェーン攻撃がなぜこれほどまでに脅威となるのか、その理由を解説します。 
 

◇セキュリティが手薄な中小企業を踏み台にされるから

サプライチェーン攻撃では、セキュリティ対策が強固な大企業が直接狙われるのではなく、関連する中小企業が最初の標的として狙われることが多くあります。 
中小企業は、予算や専門人材の不足といった理由から、十分なセキュリティ対策が講じられていない場合が少なくありません。そのため、攻撃者にとって格好の標的となり、結果として企業規模にかかわらず誰もが攻撃の起点にされる可能性があるのです。 
 

◇攻撃に気付くまでに時間がかかり被害が拡大するから 

サプライチェーン攻撃の厄介な点は、信頼している取引先を経由して攻撃を仕かけられるため、不正な侵入の発見が遅れがちになることです。普段から業務上のやり取りがあるため、攻撃者の活動が通常の業務トラフィックに紛れてしまいます。 
そのため、異常を検知するまでに時間がかかってしまい、攻撃者がシステム内部で長期間潜伏して機密情報を窃取したり、ランサムウェアを展開したりするなど、被害が深刻化する傾向にあります。 
 

◇クラウド化でネットワークの接点が増えリスクが高まったから 

近年、クラウドサービスの活用やテレワークの普及により、企業のネットワーク環境は大きく変化しました。この変化によって社内外のネットワークの境界が曖昧になり、攻撃者が侵入を試みるための接点が増加しています。 
企業間のデータ連携も複雑化したため、全体の管理や監視が難しくなりました。攻撃者にとっては侵入の機会が増え、サプライチェーン攻撃のリスクが一層高まっている、というのが現状です。 
 

◇攻撃者にとって効率良く大きな成果を得られるから

攻撃者の視点から見ると、サプライチェーン攻撃は非常に効率的な手法です。1つの脆弱な企業やサービスを攻略するだけで、その取引先である多数の企業に影響をおよぼせる可能性があるため、少ない労力で大きな成果を期待できます。 
セキュリティ対策が強固な大企業であっても、取引先という「弱点」を経由することにより攻撃の成功率が高まるため、攻撃者にとって合理的な選択肢となっています。 

 

■急増するサプライチェーン攻撃の最新動向 

サプライチェーン攻撃は年々その手口を巧妙化させており、企業にとって看過できない経営リスクとなっています。ここでは、サプライチェーン攻撃に関する最新の動向と今後の展望について解説します。 
 

◇攻撃件数と被害規模の推移 

IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2025」において、「サプライチェーンの弱点を悪用した攻撃」は7年連続でランクインしています。さらに、2023年から3年連続で組織向けの脅威として第2位に位置づけられています。 
2025年上半期に国内の上場企業が公表した被害報告では、子会社経由が14件、そのうち12件は海外の子会社経由でした。依然としてサプライチェーンにおける脆弱性を突いた攻撃が多く発生していることがわかる結果です。 これらの攻撃にはランサムウェアによる被害も複数含まれており、被害の深刻化がうかがえます。 
 

◇ソフトウェア更新を狙った巧妙な新手口 

2025年に入り、AI（人工知能）を活用した巧妙なサイバー攻撃が目立つようになってきました。 特に、ソフトウェアの開発工程でAIが生成した不正なプログラムを混入させたり、AIによってOSS（オープンソースソフトウェア）の脆弱性を発見し、それを悪用したりするソフトウェアサプライチェーン攻撃が増加傾向にあります。 
また、製品やサービスの開発・提供において世界的な分業体制が主流となるなかで、関与する企業が増えた結果、攻撃者にとっての侵入経路が拡大しています。 
 

◇攻撃ツールが簡単に手に入る時代 

近年、ランサムウェア・アズ・ア・サービス（RaaS）と呼ばれる、サイバー攻撃を代行するビジネスモデルが闇市場で拡大しています。高度な専門知識を持たない攻撃者でも、容易にランサムウェア攻撃を実行できる環境が整ってしまいました。 
実際に、2025年上半期のランサムウェア被害の公表件数は前年同期を上回っており、その約8割で侵入経路が特定できていないなど、調査が難航するケースも目立ちます。 
生成AIを活用したツールにより、ディープフェイク、フィッシング、偽音声詐欺など、サイバー攻撃の精度が高まっています。 
 

◇国際情勢とサイバー攻撃の関係 

特定の国家が背後で関与するとされるサイバー攻撃、いわゆるAPT（Advanced Persistent Threat）攻撃が活発化しています。APTとは、特定の標的に対して長期間にわたり、気付かれないように潜伏しながら攻撃を続ける高度な脅威です。 
この攻撃は、ソフトウェアサプライチェーンや重要インフラを標的とし、機密情報の窃取や社会機能の妨害を目的として、執拗かつ周到に行なわれます。 
 

◇自動車産業業界におけるガイドラインの策定 

数多くの部品メーカーやサプライヤーによって成り立つ自動車産業は、サプライチェーン攻撃の主要な標的の一つであり、その脅威は2025年に入っても深刻化しています。 
このような状況を受け、日本自動車工業会（JAMA）および日本自動車部品工業会（JAPIA）は、業界全体で遵守すべきセキュリティ対策を示した「自動車産業サイバーセキュリティガイドライン」を策定し、改訂を重ねています。 
このガイドラインは大手メーカーだけでなく、部品を供給する中小のサプライヤーにも準拠を求めており、サプライチェーン全体でのセキュリティレベル向上を目指すものです。 
 

◇サプライチェーン攻撃に対する今後 

海外では「信頼せず常に検証する」ことを前提とするゼロトラストモデルの採用が進んでおり、セキュリティの考え方が大きく転換しつつあります。2025年末までに80％の組織がゼロトラスト戦略を採用するという予測もあるほどです。 
日本国内においても、経済産業省の主導で「サプライチェーン強化に向けたセキュリティ対策評価制度」の整備が進んでおり、2026年度の本格運用開始が予定されています。将来的には、この評価制度が企業間取引におけるセキュリティレベルの標準的な指標となることが予想されます。 

 

■サプライチェーン攻撃の被害事例 

サプライチェーン攻撃によって、国内外の多くの企業が深刻な被害を受けています。これらの事例から、サプライチェーン攻撃がもたらす現実的な脅威と、企業が直面するジレンマについて理解することができるでしょう。 
 

事例①：大手自動車メーカーの工場が全停止した衝撃

2022年2月、トヨタ自動車の主要な部品供給元である小島プレス工業がランサムウェアとみられるサイバー攻撃を受け、社内システムに大規模な障害が発生しました。 

この影響で小島プレス工業側における部品の受発注システムが停止したため、トヨタ自動車は国内全14工場28ラインの稼働を一日停止せざるを得ない状況でした。幸い、翌日には代替システムを構築して生産を再開することができていますが、この一日だけの稼働停止による影響は甚大であったと報じられています。 
 

事例②：チケットサイトから個人情報が大量流出 

2017年3月、ジャパン・プロフェッショナル・バスケットボールリーグ（Bリーグ）の公式チケットサイトが不正アクセスを受けました。約15万件におよぶ個人情報が流出する事件で、流出した情報には約3万2,000件のクレジットカード情報も含まれており、実際に不正利用による被害も確認されています。 

調査の結果、原因はチケットサイトの運営を再委託されていたシステム会社が利用していたJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を突かれたことによるものでした。 
 

事例③：米政府機関も巻き込んだソフトウェアサプライチェーン攻撃 

2020年、米国のIT企業SolarWinds社が開発・提供するネットワーク監視ソフトウェア「Orion」が、大規模なサプライチェーン攻撃の標的となりました。 攻撃者は、正規のソフトウェアアップデートプログラムの中に悪意のあるコード（バックドア）を潜り込ませ、配布することに成功しています。この不正なアップデートを適用した企業や組織は、意図せずして攻撃者に対し自社ネットワークへの侵入口を提供してしまいました。 

被害は米国財務省、国土安全保障省といった複数の政府機関や、多数の大手企業にまでおよび、世界で1万8,000以上の組織が影響を受けたと推定されています。この事件は、国家レベルの関与も指摘される、史上最も高度で大規模なサプライチェーン攻撃の一つです。 
 

被害を受けた企業が加害者にもなるジレンマ 

サプライチェーン攻撃の最も深刻な特徴は、攻撃を受けた企業が単なる「被害者」では終わらない点です。トヨタ自動車の事例でいえば、小島プレス工業への攻撃が引き金となり、トヨタグループ全体の生産活動に多大な影響をおよぼしました。 
このように、自社が起点となって取引先や顧客にまで被害を拡大させてしまう「加害者」の側面も持ち合わせてしまう点が、この攻撃の恐ろしさです。このことから、自社のみならず、サプライチェーン全体を俯瞰したセキュリティ対策が重要であることがわかるでしょう。 

 

■サプライチェーン攻撃の対策方法 

サプライチェーン攻撃から自社を守るためには、自社のセキュリティ対策を強化するだけでなく、取引先を含めたサプライチェーン全体で対策を講じる視点が不可欠です。ここでは、企業が実施すべき具体的な対策について解説します。 
 

◇経営層がリーダーシップを発揮してセキュリティ体制を構築する 

サイバーセキュリティは今やIT部門だけの問題ではなく、事業継続に直結する経営課題です。経営層がその重要性を認識し、リーダーシップを発揮して全社的なセキュリティ体制の構築を主導することが求められます。 
特に、2026年度に本格運用が開始される予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」も意識し、自社のセキュリティ対策が客観的に評価される時代に備える必要があります。 
 

◇取引先のセキュリティレベルを定期的に評価・監査する 

サプライチェーン攻撃対策の第一歩は、自社の取引先の状況を正確に把握し、それぞれのセキュリティリスクを評価することです。 
すべての取引先をリストアップし、セキュリティポリシーや対策状況について定期的な報告を求めるなど、監査体制を整備することが重要といえます。 

また、自社が持つセキュリティの知見やシステムを取引先と共有することは、サプライチェーン全体のセキュリティレベル向上につながります。 
 

◇マルウェア検知とランサムウェア対策を多重防御で強化する 

侵入を完全に防ぐことが困難な現代においては、侵入後の迅速な検知と対応が重要です。 
パソコンやサーバーといったエンドポイントでの不審な活動を監視・検知するEDR（Endpoint Detection and Response）の導入が、被害の拡大を防ぐうえで効果的です。 

また、複数のセキュリティ対策を層のように組み合わせる「多層防御」の考え方を採り入れ、OSやソフトウェアの脆弱性を管理するプロセスを確立することも不可欠となります。 
 

◇多要素認証で不正アクセスを徹底的に防ぐ 

ID・パスワードの窃取は、サプライチェーン攻撃における主要な侵入経路の一つです。ゼロトラストの考え方に基づき、パスワードの使いまわしを禁止し多要素認証（MFA）を導入することによって、不正アクセスのリスクを低減できます。 

さらに、重要な情報資産へのアクセス権限を必要最小限に絞ることも、万が一侵入された際の被害を最小化するうえでは有効です。 
 

◇セキュリティ専門人材を確保し継続的に教育する 

高度なセキュリティ対策を実現するには、適切なソリューションの導入だけでなく、それを運用できる専門人材の確保と育成が欠かせません。 社内で育成プログラムを確立する方法のほか、即戦力となる経験者の採用や、外部の専門企業への業務委託、副業人材の活用なども有効な選択肢です。

また、全従業員を対象に継続的な教育や訓練を通じて、組織全体のセキュリティ意識を底上げすることも重要です。 
 

◇インシデント発生時の事業継続計画を策定しておく 

どれだけ対策を講じても、サイバー攻撃のリスクをゼロにすることはできません。 「攻撃を受けること」を前提に、インシデント発生時の事業継続計画（BCP）を策定しておくことが重要です。データのバックアップと復旧手順、サプライチェーン内の関係者への連絡プロセス、顧客や社会への公表手順などをあらかじめ明確に定めておくなど、有事の際にも冷静かつ迅速な対応が可能となり、被害を最小限に抑えることに繋がります。 

 

GMOトラスト・ログインでサプライチェーン攻撃に強い認証基盤を構築！

巧妙化するサプライチェーン攻撃の対策として、信頼できる認証基盤の構築は不可欠です。特に「多要素認証」の導入と「取引先を含めたIDの一元管理」は、攻撃の起点となりやすい認証情報の窃取を防ぐうえで極めて有効な手段となります。 
IDaaS（Identity as a Service）である「GMOトラスト・ログイン」はこれらの課題を解決し、セキュリティレベルを効率的に向上させることができるサービスです。 

GMOトラスト・ログインは、SSL認証局として20年以上の実績を持つGMOグローバルサインが提供するサービスで、8,500以上のサービスに対応しシングルサインオン機能を手軽に導入することが可能です。 多要素認証やアクセス制限機能によって不正アクセスリスクを大幅に低減し、取引先のID管理も一元化することによって、サプライチェーン全体の認証基盤を強化します。中小企業への導入実績も豊富で、サプライチェーンとなる企業規模が小規模であっても低コストで導入可能なため、推奨しやすいと言えるでしょう。さらに、導入から浸透・定着までを支援する「あんしんサポート」もご用意していますので、システム担当者とともにセキュリティ対策の実現をサポートします。 

実際に、サプライチェーン攻撃への対策として導入いただいた事例では、信頼されるサプライヤーとして現場を管理するために活用されています。 

GMOトラスト・ログイン導入事例：株式会社プレステージ・インターナショナル様 

 

■まとめ 

サプライチェーン攻撃は、セキュリティが比較的脆弱な取引先を踏み台にして標的企業のシステムに侵入する巧妙な手口であり、一度侵入を許すと被害が連鎖的に拡大する危険性があります。 
サプライチェーン攻撃の手口は高度化・巧妙化しており、企業規模を問わずあらゆる組織にとって喫緊の経営課題となっています。このような脅威に対抗するためには自社だけでなく、取引先を含めたサプライチェーン全体でセキュリティレベルを向上させることが不可欠です。 

「GMOトラスト・ログイン」による認証基盤の強化も、サプライチェーン全体のセキュリティを効率的に高める有効な一手となるため、導入を検討してはいかがでしょうか。