2025.10.17
【令和7年度版】中小企業におけるセキュリティ脅威への対策強化 ~サプライチェーンの弱点を悪用した攻撃から対策を学ぶ~
目次
独立行政法人 情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威2025」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。
今回は2位に挙げられている「サプライチェーンの弱点を悪用した攻撃」を事例とともに深掘りします。
1.サプライチェーンとは
サプライチェーンとは、商品の企画、開発、調達、製造、在庫管理、物流など、製造から販売までの一連のプロセス及び、その商品やサービスが最終消費者に届くまでに関わる全ての組織や活動のネットワークを指します。
サプライヤー、製造業社、流通業者などがこれにあたります。
また、ソフトウェア開発のライフサイクル*に関与する全てのモノ(ライブラリ、各種ツール等)や人の繋がりを、ソフトウェアサプライチェーンと呼びます。
*ソフトウェア開発のライフサイクル:ソフトウェアが企画・仕様、設計から実装、テスト、運用、及びメンテナンス・監視までたどる、一連のライフサイクルのこと
このような「ビジネス上の繋がり」や「ソフトウェアの繋がり」を悪用した攻撃をサプライチェーン攻撃と呼びます。
この脅威が業務にもたらす影響や、取るべき対策について解説いたします。
引用元:IPA 情報セキュリティ10大脅威 2025 解説書[組織編]より
2.狙われるサプライチェーンの弱点
標的とする組織が強固なセキュリティ対策を行っていて直接攻撃が困難な場合、攻撃者は、そのサプライチェーンの脆弱な部分を探し出して攻撃を行います。
大手企業と繋がりのある中小企業の中には、セキュリティへの対策が十分でない企業も多くあります。攻撃者はその脆弱な企業を足掛かりとして間接的、及び段階的に標的とする組織を狙います。
攻撃者の侵入を許してしまった場合、機密情報の漏えいや信用の失墜等、様々な被害が発生します。
また、自組織のセキュリティ対策が十分ではなく、攻撃を受けた上で足掛かりとされると、サプライチェーン上の取引相手に損害を与えてしまい、取引相手を失ったり、損害賠償を求められたりするおそれが想定されます。
3.主な攻撃手口
サプライチェーンを狙った攻撃はさまざまな手口で行われます。以下に代表的なサプライチェーンの弱点を悪用した攻撃例を紹介いたします。
(1)取引先や委託先が保有する機密情報を狙った攻撃
標的とする組織よりもセキュリティが脆弱な取引先や委託先、国内外の子会社等を攻撃し、その攻撃を受けた組織が保有する標的組織の機密情報等を窃取する手法です。
標的とする組織では機密情報扱いであり、堅牢なセキュリティのもと管理されているとしても、セキュリティが脆弱なサプライチェーン上の組織でも同じように厳密に管理されているとは限らず、そこが狙われてしまうのです。
(2)ソフトウェアサプライチェーン攻撃
標的組織と取引のある、または調達するであろうソフトウェアやサービスを改ざんして、ソフトウェアそのものやアップデートプログラムなどに不正コードを混入させ、標的組織に侵入するための足掛かりとする攻撃手法です。
標的組織がそのソフトウェアを導入したり、更新する際にウイルス感染を引き起こすのです。
(3)サービスサプライチェーン攻撃
はじめに企業システムの運用、監視等を請け負う事業者(MSP:マネージドサービスプロバイダー)等を攻撃し、足掛かりとする攻撃手法。
MSPが利用する資産管理ソフトウェア等にウイルスを仕込み、MSPの複数顧客にウイルスを感染させる手口もあります。
4.サプライチェーンの弱点を悪用した具体的な攻撃事例
【事例1:業務委託先業者からの顧客情報漏えい】
2024 年 5 月、情報処理業のI社は VPN 経由の不正アクセスを受け、端末やサーバー等がランサムウェア攻撃を受けたことを公表しました。
また同年 6 月には、 攻撃者が窃取したとされる情報のダウンロード用 URL が攻撃者グループのリークサイトに掲載されました。
この攻撃によって、I社に業務を委託した組織からは 情報漏えいに関するお知らせが多数公表され、自治体だけでも約 50 万件以上の個人情報の漏えいが判明しています。
また、業務委託元の 1 組織からは損害賠償請求を行う予定も報告されています。引用元:IPA 情報セキュリティ10大脅威 2025 解説書[組織編]より抜粋
この事例は、「2.主な攻撃手口」の「(1)取引先や委託先が保有する機密情報を狙った攻撃」の具体的な内容になります。
機密情報を保有する委託先が攻撃者に狙われた訳ですが、委託元も「委託しても情報漏えいの責任は委託元に残る場合がある」ことに意識を持ち、セキュリティの可視化と継続的な確認体制の構築が必要であると言えます。
【事例2:提携先企業に不正アクセス、顧客情報漏えい】
2024 年 3 月、Linux 環境で広く利用されている「XZ Utils」という可逆圧縮ツールに悪意のあるコードが仕込まれたことが確認されました。
この悪意あるコードは共同開発者によって挿入されており、特定の条件下でリモートからシステム全体へ不正アクセスできるおそれがありました。引用元:IPA 情報セキュリティ10大脅威 2025 解説書[組織編]より抜粋
この事例は、「2.主な攻撃手口」の「(3)サービスサプライチェーン攻撃」の具体例です。
オープンソースソフトウェアの利便性とリスクの両面を改めて認識させるものであり、今後のオープンソースソフトウェア活用においては、技術的な対策だけでなく、信頼性の評価と継続的な監視体制の構築が求められます。
5.サプライチェーンの弱点を悪用した攻撃への対策
サプライチェーンの弱点を悪用した攻撃への対策は組織で実施する必要があります。
以下に「経営層の観点」「自組織の観点」「関わる組織の観点」で説明していきます。
(1)経営層の対応と対処
◇被害の予防
・インシデント対応体制を整備し対応する※
(2)自組織の対応と対処
◇被害の予防
・情報管理規則の徹底
調達先や業務委託先等、契約時に取引先の規則を確認します。
・セキュリティ評価サービス(SRS)*1を用いた自組織のセキュリティ対策状況の把握
*1セキュリティ評価サービス(Security Rating Services):攻撃者と同様の手法を用いた擬似的な攻撃を行うことにより潜在的な脆弱性を評価し改善するための助言を行うサービス
・信頼できる委託先、取引先、サービスの選定
商流に関わる組織、サービスの信頼性評価*2(ISMAP*3など)、品質基準を検討し、複数候補を検討します。
*2サービスの信頼性評価:システムやソフトウェアが一定の条件下で正常に稼働し、安定的にサービスを提供しつづけることができるかどうかを測るための指標
*3 ISMAP:政府が活用しているクラウドサービスのセキュリティレベルを評価する制度
・契約内容の確認
組織間の取引や委託契約における情報セキュリティ上の責任範囲を明確化し、合意を得ます。また、賠償に関する契約条項を盛り込みます。
・委託先組織の管理
委託元組織が委託先組織のセキュリティ対策状況と情報資産の管理の実態を定期的に確認できる契約とすることが重要です。また、業務委託自体が適切であるかも検討します。
・納品物の検証
納品物に組み込まれているソフトウェアの把握と脆弱性対策を実施します。ソフトウェアの把握や管理においてはソフトウェア部品表(SBOM)*4の導入を検討します。
*4ソフトウェア部品表(Software Bill Of Materials):ソフトウェアアプリケーションを構築するためのライブラリ、コードパッケージ、サードパーティ製コンポーネントなどのライセンス情報・バージョン・修正適用状況・依存関係等をすべて記載したもの。
◇被害を受けた後の対応
・インシデント対応体制を整備し対応する※
・被害への補償組織としての体制の確立
(3)関わる組織の対応と対処
自組織に関わる組織の対応は共に実施する必要があります。
◇被害の予防
・取引先や委託先との連絡プロセスの確立
・取引先や委託先の情報セキュリティ対応の確認、監査
・情報セキュリティの認証取得ISMS、プライバシーマーク、SOC2等を取得し、定期的に見直して必要な運用を維持する。
・公的機関等が公開している資料の活用
◇被害を受けた後の対応
・適切な報告/連絡/相談を行う※
「※」の詳細については、IPAの「情報セキュリティ10大脅威2025」の36ページからの「共通対策」をご参照ください。
また、前回の「中小企業におけるセキュリティ脅威への対策強化~ランサムウェアによる攻撃事例から対策を学ぶ~(2/2)」でも、詳細を解説していますので、併せてご参照ください。
ここまでサプライチェーンの弱点を悪用した攻撃の事例や影響、対策方法について考えてきましたが、いかがだったでしょうか。
今回取り上げた事例や対策から分かるように、サプライチェーンを狙った攻撃の影響は自組織の外部へも及びます。
サプライチェーンは企業活動と切り離すことは困難です。
セキュリティへの取り組みは各企業を超えてサプライチェーン全体で実施することで、企業活動を支える基盤を強化することが可能です。
そのため、サプライチェーン全体で的確なセキュリティ対策を行うことは、企業の持続可能な発展を支える鍵となるとも言えます。
※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2025.10.17
2024.09.02
2025.02.06
