はじめに

2024年、委託先へのサイバー攻撃から情報が漏洩する事案が日本で相次ぎました。IPAの10大脅威でも「サプライチェーンや委託先を狙った攻撃」は7年連続で上位にランクインしています。自社だけを守っても防げないこの脅威に、今どう備えるべきなのでしょうか。この記事では、最新の攻撃手法と防御策を現場の視点から整理します。

サプライチェーン攻撃とは

サプライチェーン攻撃とは、取引先や委託先、ソフトウェアの供給網を経由して標的に侵入するサイバー攻撃のことです。攻撃者は、セキュリティが堅固な大企業を直接狙うのではなく、防御が手薄な取引先を足がかりにします。いわば「正面玄関」ではなく「裏口」から入る手口です。

この攻撃は大きく2つの類型に分けられます。1つ目は「ソフトウェア型」です。ソフトウェアの更新プログラムやライブラリに不正なコードを紛れ込ませる手法で、利用者は正規のアップデートだと信じてインストールしてしまいます。2つ目は「ビジネス型」です。業務委託先やグループ会社のネットワークを経由して、本来の標的である企業に侵入します。

IPAが2025年1月に公表した「情報セキュリティ10大脅威 2025」では、この攻撃が組織編で2位にランクインしました1。翌2026年1月の最新版でも引き続き上位に位置づけられています2。私がコンサル現場でお客様と話していても、「委託先のセキュリティが心配だ」という声は年々増えています。もはや自社の防御だけでは不十分な時代に入ったと言えます。

海外事例に見る攻撃手法の進化

サプライチェーン攻撃は、ここ数年で急速に巧妙化しています。代表的な事件を時系列で振り返ってみましょう。

2020年12月に発覚したSolarWinds事件は、世界に衝撃を与えました。攻撃者はネットワーク管理ソフト「Orion」の開発工程に侵入し、正規のアップデートに不正コードを仕込みました。この更新プログラムは約18,000の組織に配信され、米国政府機関にまで被害が及びました3。復旧費用は合計9,000万ドルを超えたと報告されています。

2021年7月には、IT管理ツールを提供するKaseya社が攻撃を受けました。犯行グループはツールの弱点を突き、Kaseyaの顧客である800〜1,500社に一斉にランサムウェアを配布しました4。1社を攻撃するだけで何百もの企業に被害を広げる、効率的な手法でした。

2023年3月の3CX事件では、攻撃の連鎖がさらに深くなりました。まず金融ソフト企業が侵害され、その影響がビジネス電話サービスの3CXに波及しました5。60万社以上の顧客が影響を受けた可能性があり、「二重のサプライチェーン攻撃」と呼ばれています。

そして2024年3月には、広く使われている圧縮ツール「XZ Utils」にバックドア(不正な侵入口)が発見されました6。攻撃者は約3年をかけて開発コミュニティに入り込み、信頼を築いた上でコードを改ざんしていました。正式リリース直前に偶然発見されたのは、まさに幸運でした。もし見逃されていれば、世界中のサーバーに影響が及んでいた可能性があります。

日本で相次ぐ委託先経由の情報漏洩

海外の事例だけではありません。日本でも2024年以降、委託先を起点とした深刻なインシデントが続いています。

2024年5月、印刷業務を手がけるイセトー社がランサムウェアに感染しました。攻撃者はVPN装置(社外から社内ネットワークに接続する機器)を経由して侵入しました7。問題はイセトー社が複数の自治体や企業から印刷業務を受託していたことです。委託元の個人情報が漏洩し、再委託先の管理体制が厳しく問われました。私が当時関わっていた案件でも、この事件を受けて「委託先のセキュリティ体制を再点検したい」という相談が急増しました。

2024年6月には、東京ガスの子会社であるTGES社が不正アクセスを受けました。同じくVPN装置が侵入口となり、約416万人分の個人情報が流出した可能性があると発表されました8。TGESは51の事業者から業務を受託しており、影響範囲が非常に広いことが特徴です。1社の子会社が侵害されただけで、数十の取引先に波及するという典型的なパターンでした。

さらに2024年9月、物流企業の関通がランサムウェア「Akira」に感染しました。約1億件のデータが暗号化され、約50日間にわたって事業が停止しました9。被害額は17億円に上ると報告されています。1社の感染がサプライチェーン全体の物流を止めてしまう。この事例は、委託先リスクの深刻さを改めて示しました。

なぜSIerが踏み台にされるのか

ここまでの事例を見ると、SIerやIT企業は攻撃者にとって格好の標的であることがわかります。その構造的な理由を整理してみましょう。

第一に、SIerは多数の顧客ネットワークへの接続権限を持っています。リモート保守やVPN接続を通じて複数の顧客環境にアクセスできるため、1社を侵害すれば多くの顧客に横展開が可能です。攻撃者にとっては非常に「効率の良い」標的なのです。

第二に、日本特有の多重下請け構造が脆弱性を生んでいます。元請けから二次請け、三次請けへと業務が流れる中で、末端企業のセキュリティ対策はどうしても手薄になりがちです。私がコンサル現場で見てきた経験では、三次請け以降の企業ではセキュリティポリシーすら整備されていないケースが珍しくありませんでした。

第三に、中小企業のセキュリティ投資不足があります。IPAが2025年5月に公表した調査では、ランサムウェア被害の約6割が中小企業で発生しています10。SIerの下請け企業の多くは中小規模であり、この統計は決して他人事ではありません。

KPMGジャパンが2024年9月に発表した調査では、日本のサイバー攻撃被害の約半数が子会社や取引先を経由したものでした11。グローバル平均の29%と比較すると突出して高い数字です。日本の商習慣が、攻撃者にとって有利な環境を作ってしまっているとも言えます。

SBOMと新たな防御の仕組み

では、サプライチェーン攻撃にどう対抗すればよいのでしょうか。今注目されている仕組みの一つがSBOM(エスボム)です。SBOMとは「ソフトウェア部品表」のことで、自社が使っているソフトウェアにどんなライブラリや部品が含まれているかを一覧にしたものです。食品の原材料表示のように、ソフトウェアの中身を可視化する仕組みだと考えるとわかりやすいでしょう。

海外ではSBOMの義務化が進んでいます。米国のCISA(サイバーセキュリティ専門機関)は2025年8月に「SBOM最小要素」の草案を公表しました12。EUでは「サイバーレジリエンス法(CRA)」が2027年12月に全面施行される予定で、デジタル製品へのSBOM提出が義務化されます13

日本でも動きが加速しています。経済産業省は2024年8月にSBOM導入の手引きを改訂しました14。さらに注目すべきは、2026年度末に開始予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」です15。この制度では企業のセキュリティ対策を★3〜★5の3段階で評価し、取引先選定の判断材料として活用できるようにします。また2025年9月には、日本を含む15カ国のサイバーセキュリティ当局がSBOMの国際ガイダンスに共同署名しました16

私の現場感覚でも、「SBOMを整備したい」という相談はここ1年で明らかに増えました。まだ取り組みが始まったばかりの企業が大半ですが、規制の波が来る前に準備を進めることが重要です。

まとめ

サプライチェーン攻撃は、「自社だけ守れば安全」という考えを過去のものにしました。SIerは多くの顧客のシステムを預かる立場として、信頼基盤を守る最前線にいます。まずは自社のソフトウェア構成の可視化と、委託先との契約におけるセキュリティ要件の見直しから始めてみてください。経産省の評価制度が本格稼働する前に体制を整えておくことが、取引先からの信頼維持と競争力の強化につながります。

セキュリティ対策の課題を、一緒に整理しませんか?

SecureKernelでは、中堅・中小企業向けに情報セキュリティの現状評価から対策ロードマップ策定まで支援しています。まずはお気軽にご相談ください。

資料請求する →

脚注・注釈

  1. IPA「情報セキュリティ10大脅威 2025」(2025年1月)https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/setsumei_2025_soshiki.pdf

  2. IPA「情報セキュリティ10大脅威 2026」(2026年1月)https://www.ipa.go.jp/security/10threats/10threats2026.html

  3. CISA「Advanced Persistent Threat Compromise of Government Agencies」(2020年12月)https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a

  4. CISA「Kaseya Ransomware Attack: Guidance for Affected MSPs」(2021年7月)https://www.cisa.gov/news-events/news/kaseya-ransomware-attack-guidance-affected-msps-and-their-customers

  5. Mandiant / Google Cloud「3CX Software Supply Chain Compromise」(2023年4月)https://cloud.google.com/blog/topics/threat-intelligence/3cx-software-supply-chain-compromise

  6. CISA「Reported Supply Chain Compromise Affecting XZ Utils」(2024年3月)https://www.cisa.gov/news-events/alerts/2024/03/29/reported-supply-chain-compromise-affecting-xz-utils-data-compression-library-cve-2024-3094

  7. 株式会社イセトー「ランサムウェア被害の発生について(続報2)」(2024年7月)https://www.iseto.co.jp/news/news_202407.html

  8. 東京ガス「不正アクセスによるお客さま等に関する情報流出の可能性についてお詫びとお知らせ」(2024年7月)https://www.tokyo-gas.co.jp/news/press/20240717-03.html

  9. @IT「事業停止50日、被害額17億円――関通社長が語るランサムウェア感染」(2025年9月)https://atmarkit.itmedia.co.jp/ait/articles/2509/17/news003.html

  10. IPA「2024年度 中小企業における情報セキュリティ対策に関する実態調査」(2025年5月)https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbvc-att/sme-chousa-report2024r1.pdf

  11. KPMGジャパン「日本型サプライチェーンのサイバーセキュリティリスク」(2024年9月)https://kpmg.com/jp/ja/home/insights/2024/09/cyber-security-risk-supplychain.html

  12. CISA「2025 Minimum Elements for a Software Bill of Materials」(2025年8月)URL確認中

  13. PwC Japan「世界が動くSBOM義務化の波」(2025年)https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/sbom-manufacturing.html

  14. 経済産業省「SBOM導入に関する手引ver2.0」(2024年8月)https://www.meti.go.jp/press/2024/08/20240829001/20240829001.html

  15. 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針(案)」(2025年12月)https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html

  16. 経済産業省「SBOMの共有ビジョンに関する国際ガイダンスに共同署名」(2025年9月)https://www.meti.go.jp/press/2025/09/20250904001/20250904001.html