サプライチェーン攻撃とは、組織を直接攻撃するよりも、組織の供給網に含まれるセキュリティ対策が手薄な要素を標的とするサイバー攻撃の一種です。
目次
サプライチェーン攻撃
昨今、世界中でサプライチェーン攻撃による被害が発生しています。サプライチェーン攻撃とは、組織間の業務上の繋がりを悪用して次なる攻撃の踏み台とするサイバー攻撃手法全般を指します。
サプライチェーン攻撃の特徴は、本来侵入が難しいセキュリティレベルの高いターゲット組織でも、比較的セキュリティレベルの低い取引先や子会社などを経由することで、ターゲット組織への侵入を可能にすることです。最終的な標的となる組織は、普段の業務上のやりとりを介して侵入されているため、侵入段階で気づくことは非常に困難であり、気づかない間に攻撃を受けていたという状況になりかねません。
サプライチェーン攻撃は、攻撃の起点の違いから3種類に分類できます。ソフトウェアサプライチェーン攻撃、サービスサプライチェーン攻撃、ビジネスサプライチェーン攻撃の3種類です。
それぞれの手法や事例を解説します。
サプライチェーン攻撃の主な特徴
間接的なアプローチ
攻撃者は、標的の組織を直接攻撃する代わりに、ソフト提供元、ハードウェア供給業者、業務委託先などの信頼できる第三者を侵害します。この第三者は、不正なプログラム(攻撃コード)を最終的な標的組織へ送り込むための経路になります。
複雑さと規模
サプライチェーン攻撃は複雑になり、複数の段階が関与し、多数の組織に影響を及ぼす可能性があります。攻撃者は、不正なコードや機器を供給網のさまざまな段階に混入させ、検知を困難にします。
信頼関係の悪用
これらの攻撃は、組織とその供給業者の間の信頼関係を悪用します。外部の事業者は、多くの場合、組織のシステムや機密データへの強力なアクセス権限を持っているため、攻撃者にとって魅力的な標的になります。
広範な影響
サプライチェーン攻撃の影響は大きく、主要な標的だけでなく、侵害された第三者に依存する他の何千もの組織にも波及します。
サプライチェーン攻撃の種類
サプライチェーン攻撃は、その起点に基づいて3つの種類に分類できます。
1.ソフトウェアサプライチェーン攻撃
ソフトウェアサプライチェーン攻撃とは、ソフトウェアの製造や提供の工程を侵害し、ソフトウェアそのものやアップデートプログラムなどに不正コードを混入し、標的組織に侵入する攻撃です。
主な攻撃経路として、オープンソースコード、システム管理ツール、利用するアプリケーションなどが挙げられます。まず、これらのソフトウェアを開発する企業のシステムやソフトウェアのダウンロード元に侵入した後、アップデートサーバなどを経由して不正なプログラムを含めた「正規のソフトウェア」をターゲット組織に配布(アップデートなど)する手法です。これらのソフトウェアが広く使われているものであれば、攻撃者は大規模な攻撃を引き起こすことが可能になります。
2.サービスサプライチェーン攻撃
サービスサプライチェーン攻撃とは、MSP(マネージドサービスプロバイダ)などのサービス事業者を侵害し、サービスを通じて顧客に被害を及ぼす攻撃です。
2021年のKaseya社のリモートIT管理サービス「Kaseya VSA」を利用しているMSPサービス事業者や、そのMSPの顧客である多数の企業などに対するランサムウェア攻撃がサービスサプライチェーン攻撃に当てはまります。MSP事業者は企業から委託を受けてネットワークの管理や運用を行っているため、攻撃者はMSP経由で、ランサムウェアを拡散させることが可能となります。この事例では、このMSPの特性が悪用され、「Kaseya VSA」を利用していたMSP事業者に加え、そのMSPサービスを利用している顧客にもランサムウェア攻撃の被害が発生することとなりました。この広範な攻撃によって、最大で1,500社程度の企業がランサムウェアの影響を受けたと報道されています。
3.ビジネスサプライチェーン攻撃
ビジネスサプライチェーン攻撃は、標的組織の関連組織や子会社、取引先などを侵害し、業務上の繋がりを利用して標的組織へ攻撃します。この攻撃は、組織への侵入を行うためにすでに常套手段化されていると言ってもよい段階に入っています。
標的型攻撃を行うEarth Hundun(アースフンドゥン)【別名:BlackTech】、Earth Tengshe(アーステンシェ)【関連グループ:APT10】といったサイバー攻撃者グループは、企業の海外拠点を先に侵害し、本来の標的である国内拠点へ侵入することを、トレンドマイクロでも継続して観測しています。
サプライチェーン攻撃の分類
- 侵害されたソフトウェア更新プログラム:攻撃者は、悪意のあるコードをソフトウェア更新プログラムに混入させ、多数のユーザに配布します。
- 侵害された外部のソフトウェアライブラリ:不正なコードが外部のライブラリや依存プログラムに挿入され、正規のソフトウェア製品に統合されます。
- 侵害されたハードウェアまたはファームウェア:製造または流通工程中に悪意のあるハードウェア部品または制御ソフトを製品に挿入すること。
- 開発者ツールの乗っ取り:IDE(統合開発環境)やCI/CD(継続的統合/継続的展開)パイプラインなど、開発者が使用するツールを侵害します。
- 侵害されたソフトウェアの依存関係:悪意のあるコードを、広く使用されている正規のソフトウェアが依存するプログラムに混入させます。
- 悪用された通信手順を介したデータの悪用:SMB、TLS、SSHなどの通信規約の脆弱性を悪用したり、SQLインジェクションなどの方法で直接データベースを標的にしてデータを悪用したりします。
- オープンソースプロジェクトの標的化:幅広く使用されているオープンソースプロジェクトを攻撃し、多くの下流プロジェクトに影響を及ぼす可能性のある悪意のあるコードを挿入します。
サプライチェーン攻撃の事例
NPM(Node Package Manager)(2025)
2025年9月15日、NPM(Node Package Manager)のリポジトリ(保管場所)で進行中のサプライチェーン攻撃が発生し、攻撃者は高度な標的型詐欺メール(フィッシング)攻撃を実行して、NPMパッケージの保守担当者のアカウントを侵害しました。攻撃者は特権アクセスにより、悪意のあるコードを広く使用されているJavaScriptパッケージに注入し、ソフトウェアのエコシステム全体を脅かしました。
リソース:NPMサプライチェーン攻撃
RockYou2024(2024)
100億近くの過去に侵害された認証情報が編集・統合され、ハッキングフォーラムに投稿された「RockYou2024」のパスワード流出は、複数の基盤とサービスにわたる侵害された認証情報(ID・パスワード)の集約、再利用、公開によって引き起こされるサプライチェーンの重大なリスクを浮き彫りにしています。
LLM(大規模言語モデル)と一般公開チャットボット(2024)
LLMを搭載した一般公開チャットボットは、対話中に共有される機密の内部情報を誤って公開し、これらのAIサービスに対する企業の信頼を損なう可能性があります。これは、学習および対話プロセスを通じて機密データを意図せずに流出させる可能性のある外部のAI基盤に依存するリスクを浮き彫りにしています。
US National Public Data(2024)
この侵害は、関連資産であるRecordsCheckの脆弱性によって引き起こされ、攻撃者は関連サービス間の信頼関係を利用して機密データにアクセスできるようになりました。
PHP Gitサーバ侵害(2021)
攻撃者はPHPのGitサーバを侵害し、一般的なWebスクリプト言語のソースコードに裏口(バックドア)を挿入しようとしました。
SolarWinds攻撃(2020年)
攻撃者はSolarWindsのOrionソフトウェア更新の仕組みに侵入し、政府機関や大手企業を含む18,000社を超える顧客に悪意のある更新プログラムを配信しました。
リソース:SolarWindsのCISAアラート
Trend Vision One™ プラットフォーム
トレンドマイクロが提供するXDR(Extended Detection and Response)は、端末に加え、メール、サーバ、クラウド上のシステム、ネットワークなどの複数のセキュリティ階層から正・不正問わずファイルやプロセスに対する活動履歴データ(テレメトリ)を収集し、サイバー攻撃の有無や対処すべき事項を見出します。AI、最先端の脅威研究、脅威情報を活用した包括的な防御、検出、対応機能により、セキュリティを全方位的に管理します。
また、事故発生時の対応にとどまらず、法人組織が平時から環境全体のリスクの把握、評価、軽減を行うことで、事故の発生自体を予防する「アタックサーフェスリスクマネジメント(攻撃対象領域のリスク管理)」もこのプラットフォームで実現できます。