【一緒にセキスペになろう！】サイバー攻撃の怖い話① サプライチェーン攻撃編

こんにちは！登録セキスペ（情報処理安全確保支援士）を目指して勉強中のT.Eです。資格取得に向けて学んでいる中で、「現場で起きているリアルなインシデントを知ること」がとても重要だと感じています。そこで今回は「サプライチェーン攻撃」について、実際の事例をもとに分析してみました。セキスペの視点で、企業が取るべき対策についても考察していきます。

情報処理安全確保支援士（登録セキスぺ）とは？

情報処理安全確保支援士（登録セキスぺ）は、IPA（独立行政法人 情報処理推進機構）が認定する国家資格で、情報セキュリティ分野における高度な専門知識と実務能力を持つ人材として認められるものです。
この資格は、「情報セキュリティスペシャリスト試験」を前身とし、2016年10月の法改正により新設されました。資格取得には、情報処理安全確保支援士試験の合格後、IPAへ登録申請を行う必要があることから「登録セキスペ」とも呼ばれています。
試験では、技術的な知識だけでなく、マネジメントや法制度に関する理解も求められ、合格率は15〜20％前後と難易度の高い資格です。

登録セキスぺを目指す理由

情報セキュリティの重要性がますます高まる中で、専門的な知識を体系的に学び、実務に活かしていく必要性を感じたことがきっかけです。
資格取得を通じて、社内外のセキュリティ対策に対する理解を深め、より安全な業務環境づくりに貢献したいと考えています。
そこで今回の記事では、サイバー攻撃事例から見るサプライチェーン攻撃の分析と対応という事でわかりやすく説明したいと思います。

委託先が狙われたーーある大手企業の事例にみる、サプライチェーン攻撃の現実

「うちはセキュリティ対策をしっかりしているから大丈夫」──そう思っていた企業が、ある日突然、情報漏えいの当事者に。しかも、攻撃されたのは自社ではなく、業務を委託していた外部企業でした。

2025年春、ある大手企業が、書類保管業務を委託していた外部企業のサーバーがランサムウェア攻撃を受け、約7.5万件の顧客情報が漏えいした可能性があると発表しました。
この事例は、近年増加している「サプライチェーン攻撃」の典型例であり、企業のセキュリティ対策に新たな視点を投げかけています。
情報処理安全確保支援士の午後試験（実務に即した事例形式の記述問題）でもサプライチェーンリスクに関する問題は何度か取り扱われており、試験対策としても非常に重要な分野です。

サプライチェーン攻撃とは何か？

サプライチェーン攻撃とは、企業が直接管理していない外部の取引先や委託先を経由して、間接的に攻撃を受ける手法です。
たとえば、ある企業が顧客情報を外部の業務委託先に預けていた場合、その委託先がサイバー攻撃を受けることで、本来守られているはずの顧客情報が漏えいする可能性があります。

なぜ狙われるのか？

攻撃者は、セキュリティ対策が厳重な大企業よりも、比較的対策が手薄な中小企業や外部委託先を狙う傾向があります。
そこから本体企業のシステムやデータにアクセスすることで、効率的に大きな被害を与えることができるのです。

どんな企業が対象になるのか？

攻撃者の最終的な狙いは、大企業が保有する情報資産です。
しかし、その目的を達成するための手段として、大企業のサプライチェーン上に存在する関連企業が“侵入のための踏み台”となるケースが増えています。「うちは大企業じゃないから関係ない」と思われがちですが、実際には業種や規模を問わず、すべての企業が攻撃対象になり得るのです。
特に、外部とのシステム連携や業務委託がある企業は、知らず知らずのうちに攻撃者にとっての“入り口”になっている可能性があります。

被害の影響は？

サプライチェーン攻撃による被害は、単なる情報漏えいにとどまらず、業務停止や信用失墜、法的責任など多方面に及ぶ可能性があります。以下は、2025年に発生した代表的な事例です。

1. 保険ショップ大手（漏えい件数：約510万件）
   ランサムウェア攻撃により、保険契約者の氏名・住所・電話番号など約510万件の個人情報が漏えいした可能性があると発表されました。
   社内サーバの切り離しなどの対策が取られましたが、調査・対応に膨大なリソースが必要となり、業務の一部停止や顧客対応の混乱が発生しました。
2. 人気テーマパーク運営企業（漏えい件数：約200万件）
   ランサムウェア攻撃により、年間パスポート購入者や従業員・取引先の情報約200万件が漏えいした可能性があると報告されました。
   同時期にシステム障害も発生し、来場予約などのサービスが一時停止。ブランドイメージへの影響も大きく、セキュリティ体制の抜本的な見直しを迫られています。
3. 大手損害保険会社（漏えい件数：約7.5万件）
   委託先のシステムがランサムウェアに感染し、約7.5万件の顧客情報が漏えいした可能性があると発表されました。
   この事例は、サプライチェーン攻撃の典型例であり、委託先のセキュリティ対策が不十分だったことが直接的な原因となっています 。

企業が取るべき対策のポイントとは？

サプライチェーン攻撃のリスクを本質的に減らすには、委託先のセキュリティ状況を“見える化”し、継続的に管理する仕組みが必要です。その際の対策やポイントは次の通りです。

1. 委託先のセキュリティ評価
   委託先のセキュリティ水準を把握することは、リスク管理の第一歩です。契約前にはチェックリストを用いた評価を行い、業務開始後も定期的な監査やヒアリングを通じて状況を確認しましょう。また、セキュリティポリシーの共有と遵守状況の確認も重要です。これにより、委託先との信頼関係を築きつつ、リスクを可視化できます。
2. 契約時のセキュリティ条項の明文化
   契約書にセキュリティ関連の条項を明記することで、インシデント発生時の対応がスムーズになります。たとえば、インシデント報告義務や情報漏えい時の責任分担を明文化することで、トラブル時の混乱を防げます。また、最低限のセキュリティ対策基準を契約に盛り込むことで、委託先の対策レベルを一定以上に保つことが可能です。
3. モニタリング体制の構築
   委託先とのデータ連携部分は、攻撃者にとっての侵入口になり得ます。ログ管理やアクセス制御の強化を行い、異常な挙動を検知できる体制を整えましょう。また、インシデント発生時には迅速に対応できるよう、対応フローの整備も欠かせません。これにより、被害の拡大を防ぎ、復旧までの時間を短縮できます。

対策カテゴリ	施策①	施策②	施策③
委託先のセキュリティ評価	契約前にチェックリストで評価	定期的な監査・ヒアリング	セキュリティポリシーの共有と確認
契約時のセキュリティ条項の明文化	インシデント報告義務の明記	情報漏えい時の責任分担	最低限の対策基準の設定
モニタリング体制の構築	データ連携部分の監視	ログ管理・アクセス制御の強化	対応フローの整備

代表的な技術的ソリューション

外部委託先やソフトウェア供給元を狙ったサプライチェーン攻撃が増加しており、企業のセキュリティ対策はより複雑化しています。これに対抗するためには、単なる境界防御ではなく、ソフトウェアの信頼性や通信の監視、アクセス制御など多層的な技術的対策が求められます。以下に、代表的な技術的ソリューションを紹介します。これらの技術的なソリューションに関しては情報処理安全確保支援士の試験でも取り扱われる内容でもあり、企業に必要なセキュリティになります。

• SBOMの活用
  使用しているソフトウェアの構成要素（ライブラリ、依存関係など）を明示することで、脆弱性の特定や管理を効率化。第三者製ソフトウェアの安全性を可視化する手段として有効。
• コードサイニングの導入
  ソフトウェアやアップデートファイルにデジタル署名を付与し、改ざんの有無を検証。信頼できる提供元からのソフトウェアであることを保証する。
• ゼロトラストアーキテクチャの導入
  「誰も信頼しない、常に検証する」という原則に基づき、社内外問わずすべてのアクセスに対して認証・認可を実施。委託先や関連企業からのアクセスも厳格に管理。
• 脆弱性情報の収集と対応
  JVNやNVDなどから脆弱性情報を収集し、使用中のソフトウェアに該当する脆弱性があれば迅速にパッチを適用。
• SIEMの活用
  ネットワークやシステムのログを一元的に収集・分析し、異常な挙動をリアルタイムで検知。サプライチェーン経由の不審なアクセスも早期に発見可能。

まとめ：あなたの委託先は、本当に安全ですか？

今回の事例から学べるのは、自社のセキュリティ対策だけでは不十分だということ。
委託先や外部パートナーの脆弱性が、自社の情報資産を危険にさらす可能性がある今、サプライチェーン全体を守る視点が求められています。

アライドテレシスでは、インシデント対応教育・訓練コースの一環として「APIサプライチェーンセキュリティ編」を提供しています。
このコースでは、APIを介した情報連携に潜むリスクや、委託先とのセキュリティ連携のポイントを実践的に学ぶことができ、CSIRTやIS部門だけでなく、経営層にも有益な内容となっています。

「うちは大丈夫」ではなく、「委託先も含めて守る」──それが、これからのセキュリティ戦略です。
今回の記事では、委託先のセキュリティリスクに焦点を当てましたが、これからもリアルな事例をもとに、皆さんと一緒に考えていけたらと思っています。「一緒にセキスペになろう！」シリーズ、次回もぜひお楽しみに！