サプライチェーン攻撃とは？中小企業が狙われる理由と手口・事例・対策を徹底解説

近年、企業を脅かすサイバー攻撃の中でも、特に被害規模が大きく深刻化しているのが「サプライチェーン攻撃」です。

独立行政法人情報処理推進機構（IPA）が毎年発表している「情報セキュリティ10大脅威（組織編）」において、サプライチェーンの弱点を悪用した攻撃は常に上位（近年は連続して2位）にランクインしており、規模を問わずあらゆる企業にとって無視できない脅威となっています。

「うちは中小企業だから狙われないだろう」という考えは、現代のサイバー攻撃においては非常に危険です。むしろ、大企業を狙うための「踏み台」として、中小企業こそが真っ先に狙われているのが実態です。

本記事では、サプライチェーン攻撃の正確な意味や主な手口、国内外の最新被害事例を初心者にも分かりやすく解説します。さらに、これまで9,000社以上の情報セキュリティ（ISMS・Pマーク）構築を支援してきたコンサルティング会社の専門家の視点から、現場担当者がつまずきやすい失敗例や、実務で役立つ対策チェックリスト、担当者の作業負担を減らしながら確実に対策を進める方法をご紹介します。

1.サプライチェーン攻撃とは？大企業ではなく中小企業が狙われる理由

サプライチェーン（供給網）とは、製品やサービスが原材料の調達から製造、在庫管理、物流、販売を経て、最終消費者に届くまでの「企業間の繋がり」全体を指します。
サプライチェーン攻撃は、このビジネス上の繋がりを悪用したサイバー攻撃です。

⑴サプライチェーン攻撃の定義と攻撃者の目的

サプライチェーン攻撃とは、セキュリティ対策が強固な「本命のターゲット企業（主に大企業や政府機関）」を直接攻撃するのではなく、セキュリティレベルが比較的低い子会社、関連企業、業務委託先、あるいは利用しているソフトウェアなどを経由して、ターゲット企業へ侵入を試みるサイバー攻撃の手口です。

攻撃者の主な目的は以下の通りです。

• 大企業が保有する機密情報や顧客データ、最先端の技術情報を不正に盗み出すこと。
• 不正に盗み出した情報を人質に取ったり、システムをランサムウェアで暗号化して事業を停止させ、高額な身代金を要求すること。

⑵なぜ「関連企業」や「委託先」が踏み台にされるのか？

大企業の多くは、多額の予算を投じて最新のセキュリティ機器を導入し、専門の担当者を配置して強固な防御壁を築いています。そのため、攻撃者が正面から直接侵入するのは非常に困難です。

そこで攻撃者は、標的企業とネットワークで繋がっていたり、日常的にデータのやり取りを行っていたりする「関連企業」や「取引先の中小企業」に目をつけます。中小企業は、コストやIT人材の不足からセキュリティ対策が不十分になりがちです。攻撃者はこの弱点を突き、まず中小企業のシステムに侵入します。
そして、正規の取引先を装ったメール（標的型攻撃メール）を送ったり、共有ネットワーク経由で大企業のシステムへと侵入範囲を広げていくのです。

もし自社が踏み台にされてしまった場合、被害は自社内にとどまりません。取引先に多大な損害（システムの停止、情報漏洩など）を与えてしまい、巨額の損害賠償請求、社会的信用の失墜、最悪の場合は取引停止による倒産という企業の存続に関わる重大な事態に発展する恐れがあります。

⑶IPA「情報セキュリティ10大脅威」でも常に上位の深刻な脅威

経済産業省のIT機関であるIPAが発表する「情報セキュリティ10大脅威」では、「サプライチェーンの弱点を悪用した攻撃」が近年連続して2位にランクインしています。

これは、テレワークの普及やクラウドサービスの利用拡大、DX（デジタルトランスフォーメーション）の推進により、企業間のネットワークがより複雑に繋がり、攻撃の起点となる「弱点（脆弱性）」が増加していることが背景にあります。

2.サプライチェーン攻撃の主な3つの種類・手口

⑴ビジネスサプライチェーン攻撃（取引先・関連企業経由）

最も代表的で、多くの中小企業が直接的な脅威にさらされる手口です。ターゲット企業と業務上関わりのある子会社、関連企業、業務委託先などに存在する脆弱性を突いて侵入し、そこを踏み台にしてターゲット企業へと攻撃を広げます。

普段からやり取りのある取引先からのアクセスやメールを装うため、攻撃に気づくのが遅れ、被害が拡大しやすいという非常に厄介な特徴があります。

⑵ソフトウェアサプライチェーン攻撃（システム・アプリ経由）

企業が業務で利用するソフトウェアの「製造工程」や「アップデートプログラム」に、攻撃者が不正なコード（マルウェアなど）を混入させる手口です。 ユーザーは「正規のメーカーから提供された安全なアップデート」だと信じてプログラムを実行してしまうため、疑うことなく自らマルウェアをインストールしてしまいます。

広く普及しているソフトウェアが狙われた場合、一度の攻撃で数千〜数万社に一斉に被害が及ぶという大規模な脅威となります。

⑶サービスサプライチェーン攻撃（クラウド・MSP事業者経由）

企業からITシステムのネットワーク管理や運用を委託されている「MSP（マネージドサービスプロバイダ）」や、クラウドサービス（SaaS）を提供する事業者を標的とする手口です。「デジタルサプライチェーン攻撃」と呼ばれることもあります。

事業者のネットワークに侵入できれば、その事業者が管理している多数の顧客企業のシステムへも芋づる式に侵入・攻撃が可能になるため、攻撃者にとって非常に効率的で影響範囲の広い手口として近年増加しています。

3.実務でよくあるセキュリティ対策の失敗例と担当者のつまずきポイント

失敗例1：高価なセキュリティツールを導入しただけで満足してしまう

【状況】
最新のアンチウイルスソフトやファイアウォールを導入し、「これで自社のセキュリティは完璧だ」と安心してしまうケースです。

【つまずきポイント】
ツールはあくまで「システム的な防御」の一部にすぎません。設定ミスがあったり、OSのアップデートを怠っていたり、従業員が推測されやすいパスワード（「123456」など）を使い回していれば、簡単に突破されてしまいます。また、標的型攻撃メールを開封してしまうといった「人的ミス」はツールだけでは防ぎきれません。
ルール策定と運用、従業員教育がセットになって初めて効果を発揮します。

失敗例2：「一人情シス」で業務が集中し、対策が形骸化する

【状況】
中小企業に多いのが、ITに詳しい担当者が1人しかおらず（いわゆる「一人情シス」）、通常業務の片手間でセキュリティ対策を任されているケースです。

【つまずきポイント】
担当者は日々のパソコントラブル対応やシステム保守に追われ、セキュリティの最新動向を追ったり、社内の運用ルール（ポリシー）を見直したりする時間がありません。結果として、退職者のアカウントが放置されたり、ルールの徹底ができず、セキュリティ対策が名ばかりの形骸化したものになってしまいます。

失敗例3：自社は安全でも「委託先の委託先」の管理ができていない

【状況】
自社内のセキュリティは厳重に管理しているが、業務を外注している委託先や、利用しているクラウドサービスのセキュリティ状況までは把握していないケースです。

【つまずきポイント】
サプライチェーン攻撃は、最も弱い環（リンク）を狙います。直接の委託先（一次請け）は安全でも、さらに再委託している先（二次請け、三次請け）のセキュリティが甘ければ、そこから情報が漏洩します。契約書でセキュリティ要件を明確に定めていなかったり、定期的な監査を実施していない企業は非常に危険です。

4.企業が今すぐ講じるべきサプライチェーン攻撃への具体的な対策ステップ

サプライチェーン攻撃を防ぐためには、自社単独ではなく「サプライチェーン全体」を俯瞰した総合的な対策が不可欠です。具体的な対策ステップを3段階で解説します。

ステップ1：自社とサプライチェーン全体のリスクと現状を把握する

まずは、自社が利用しているシステム、ネットワーク機器（VPNルーターなど）、クラウドサービスに脆弱性がないかを洗い出します。長期間アップデートされていない古い機器は格好の標的です。 同時に、取引先や業務委託先をリストアップし、どのような情報を共有しているか、彼らがどのようなセキュリティ対策を実施しているかをアンケートやヒアリングで把握します。

必要に応じて、外部の「セキュリティ診断（脆弱性診断）」サービスを活用し、客観的なリスク評価を行うことも有効です。

ステップ2：ガイドライン（NIST CSFやIPA）に沿った運用ルールの策定

システムの現状が把握できたら、社内のルール（情報セキュリティポリシー）を策定します。一から作るのではなく、公的なガイドラインを参考にするのが確実です。

IPA「中小企業の情報セキュリティ対策ガイドライン」

中小企業向けに、何から始めるべきかが分かりやすくまとめられています。

IPA「サイバーセキュリティ経営ガイドライン」

経営層が認識すべき原則や、サプライチェーン全体での対策の重要性が記載されています。

NIST CSF（サイバーセキュリティフレームワーク）

世界標準のフレームワーク。リスクの特定から防御、検知、対応、復旧までのプロセスを体系的に整理できます。

取引先との契約時には、セキュリティ要件（インシデント発生時の報告義務や責任の所在など）を契約書に明確に盛り込む（SLAの締結など）ことも重要です。

ステップ3：従業員教育の徹底とインシデント対応体制（PSIRT等）の構築

ルールを作っても、守られなければ意味がありません。全従業員に対して、標的型メールの訓練や、パスワード管理の重要性、不審な挙動を見つけた際の報告手順などを定期的に教育します。

また、万が一サイバー攻撃を受けた場合（インシデント発生時）に備え、誰が・いつ・どこに連絡し、どのように初動対応を行うかを定めた「対応マニュアル」を整備します。
製品やサービスを提供している企業であれば、自社製品の脆弱性対応を行う専門チーム「PSIRT（Product Security Incident Response Team）」の設置も検討すべきです。

まとめ

サプライチェーン攻撃は、自社のセキュリティ対策が万全だと思っていても、関連企業や利用しているサービスの脆弱性を突かれて被害に遭う、あるいは自社が加害者になってしまう恐れのある非常に深刻な脅威です。

「自社のセキュリティを強化すること」は、単なるリスク回避にとどまらず、サプライチェーン全体、ひいては社会全体の安全性を高めることに直結します。そして何より、取引先からの信頼を獲得し、ビジネスを継続・拡大するための「重要な投資」です。

自社のセキュリティ体制に不安を感じている方は、まずは現状の洗い出しと、外部専門家への相談から始めてみてはいかがでしょうか。