サプライチェーン攻撃

Supply Chain Attack

IT基礎

解説

自社ではなく、取引先や委託先など関係する企業のシステムや認証情報を踏み台にして、最終的に標的の組織に侵入するサイバー攻撃の手口。IPA「情報セキュリティ10大脅威2026」でも上位に挙げられています。

さらに詳しく解説

サプライチェーン攻撃とは、自社を直接狙うのではなく、取引先・外注先・ソフトウェアベンダーなど「つながりのある第三者」の脆弱性を突いて侵入するサイバー攻撃の手口です。たとえば、中小の部品メーカーのシステムに侵入し、そこを踏み台として大手自動車メーカーの社内ネットワークへ不正アクセスするケースが典型例です。セキュリティ対策が手薄な取引先を「裏口」として悪用するため、被害を受ける本命企業は自社では何も悪いことをしていなくても被害に遭います。

近年はAIを活用した攻撃ツールが普及し、攻撃者は標的となる組織を自動的に絞り込めるようになっています。規模が小さいからといって安心はできず、大企業との取引実績がある中小企業ほど狙われやすい状況です。具体的な侵入経路としては、取引先が提供する業務システムへの不正なコード埋め込み、共有クラウドサービスの乗っ取り、メール経由のマルウェア拡散などがあります。

対策としては、取引先のセキュリティ水準を契約時に確認すること、外部業者に付与するシステムアクセス権限を必要最小限に絞ること、ソフトウェアは公式ルート以外から入手しないことが重要です。「信頼できる相手からの接続だから安全」という思い込みを捨て、すべての接続を疑う姿勢が現代のセキュリティの基本です。

自社での使い方を相談する

サプライチェーン攻撃を自社の業務に当てはめる場合は、対象業務、既存データ、運用担当者、成果指標を先に整理すると判断しやすくなります。