サプライチェーン攻撃 さぷらいちぇーんこうげき
簡単に言うとこんな感じ!
直接攻撃するのが難しいターゲットに対して、そのターゲットが使っているソフトやサービスの「仕入れ元」に先に仕掛ける手口だよ!食品に例えると、レストランを直接狙わず、そこに食材を届ける業者に毒を混ぜちゃう感じ。信頼している相手を踏み台にするから、気づきにくいのが厄介なんだ!
サプライチェーン攻撃とは
サプライチェーン攻撃(Supply Chain Attack)とは、攻撃者が最終的に狙うターゲット組織を直接攻撃せず、そのターゲットが利用するソフトウェア・ハードウェア・サービスの「供給元(サプライヤー)」に侵入し、悪意あるコードや改ざんを紛れ込ませる攻撃手法です。被害者はいつも使っている「信頼済みの製品やベンダー」経由で感染するため、従来のセキュリティ対策をすり抜けやすいのが特徴です。
現代のシステム開発・運用は、オープンソースのライブラリ、クラウドサービス、外部ベンダーが提供するソフトウェアなど、無数の「部品」を組み合わせて成立しています。この依存関係の連鎖(サプライチェーン)が広がるほど、攻撃者が悪意ある部品を差し込める「入口」も増えます。セキュリティが強固な大企業でも、取引先のセキュリティが甘ければそこが突破口になるわけです。
2020年のSolarWinds事件をきっかけに世界的に注目が高まり、国家レベルのサイバー攻撃でも多用されるようになりました。被害を受けた組織は自社のシステムを正しく運用していても被害に遭うという点で、従来の「自社を守れば安全」という発想の限界を突きつけた攻撃形態です。
サプライチェーン攻撃の種類と仕組み
攻撃がどこに仕掛けられるかによって、大きく以下のパターンに分類できます。
| 攻撃の種類 | 標的 | 代表的な手口 | 実例 |
|---|---|---|---|
| ソフトウェアビルド汚染 | 開発環境・ビルドサーバー | 正規ソフトにマルウェアを埋め込んでリリース | SolarWinds(2020年) |
| オープンソース汚染 | npmなどのパッケージリポジトリ | 人気ライブラリに悪意あるコードを混入 | event-stream事件(2018年) |
| ハードウェア改ざん | 製造工程・流通経路 | チップや基板に盗聴回路を埋め込む | SuperMicro疑惑(2018年) |
| MSP経由攻撃 | マネージドサービスプロバイダー | IT管理ベンダーのツールを踏み台に顧客を一括感染 | Kaseya事件(2021年) |
| 更新プログラム汚染 | アップデートサーバー | 正規の自動更新の仕組みを悪用してマルウェア配布 | ASUS LiveUpdate(2019年) |
🔑 「信頼の連鎖」を逆手に取る
サプライチェーン攻撃の核心は、「信頼されているもの」を武器に変える点です。通常、セキュリティソフトや社内ルールは「既知の悪意あるファイル」を検出するように設計されています。しかし、正規の署名付き更新プログラムや、普段から使っているベンダーの正規ツールに仕掛けられたマルウェアは、そのホワイトリストをそのままパスしてしまいます。
📦 オープンソース依存の落とし穴
現代のシステム開発では、1つのアプリが数百〜数千のオープンソースライブラリに依存することも珍しくありません。これらのライブラリは誰でも公開・更新できるため、管理が行き届いていないパッケージを攻撃者が乗っ取るケースが後を絶ちません。「使っているライブラリのライブラリ」(間接依存)まで把握するのは非常に困難です。
歴史と背景
- 2013年 — Targetのクレジットカード大量漏洩事件。空調管理ベンダーの認証情報が突破口となり、直接狙われたわけでないサードパーティ経由の侵入が話題に
- 2015〜2016年 — 中国系APTグループがアジア各国のソフトウェア開発会社を踏み台にする攻撃が相次ぐ
- 2018年 — npmの人気パッケージ
event-streamが乗っ取られ、悪意あるコードが数百万回ダウンロードされる。オープンソース汚染リスクが浮き彫りに - 2019年 — ASUSの公式アップデートツール経由でマルウェアが配布される「ShadowHammer」作戦が発覚。推定100万台以上に配布
- 2020年 — SolarWinds Orionのビルドプロセスが汚染され、米国政府機関・大手企業を含む18,000以上の組織が影響を受ける。国家レベルのサイバー攻撃として衝撃を与える
- 2021年 — IT管理ツール Kaseya VSA が攻撃され、MSP(IT管理サービス業者)を通じて世界1,500社以上が一度にランサムウェアに感染
- 2022年以降 — 各国政府がサプライチェーンセキュリティを規制・ガイドラインに明記。米国大統領令(EO 14028)、日本の経済安保推進法でも重要テーマに浮上
攻撃の流れと対策の全体像
サプライチェーン攻撃がどのように展開し、どこで防御できるかを図解します。
企業が今すぐできる対策チェック
✅ 使用しているソフトウェア・ライブラリを一覧化(SBOM作成)
✅ 外部ベンダーのセキュリティ体制をアンケート・審査で確認
✅ 自動更新を無条件に信頼せず、テスト環境で検証してから展開
✅ 「管理者権限」を持つサードパーティツールの棚卸し
✅ 万が一の侵害を想定したインシデント対応計画(IR)の策定代表的な事件との比較
| 事件名 | 年 | 攻撃の入口 | 被害規模 | 特徴 |
|---|---|---|---|---|
| SolarWinds | 2020 | ビルド環境への侵入 | 官公庁含む18,000組織以上 | 国家支援APTによる長期潜伏 |
| Kaseya VSA | 2021 | MSP管理ツールの脆弱性 | 1,500社以上にランサムウェア | 1撃で多数顧客を一括感染 |
| ASUS ShadowHammer | 2019 | 公式アップデートサーバー | 推定100万台以上 | 正規署名付きで配布 |
| event-stream | 2018 | npmパッケージ乗っ取り | 数百万回ダウンロード | OSS管理の脆弱性を突く |
| CCleaner | 2017 | インストーラーへの混入 | 227万台に感染 | セキュリティツール自体が攻撃媒体に |
関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-161r1 | サイバーサプライチェーンリスク管理のガイドライン(米国標準技術研究所) |
| NIST SP 800-218 | セキュアソフトウェア開発フレームワーク(SSDF)。ビルドプロセスの保護を規定 |
| RFC 9334 | リモート構成証明(Remote ATtestation)アーキテクチャ。ソフトウェアの完全性を証明する仕組みの基盤 |
関連用語
- ゼロトラスト — 「信頼済みの内部も検証する」考え方。サプライチェーン攻撃の対策として有効
- APT(高度持続的脅威) — 国家支援などの組織的・長期的な攻撃。SolarWindsなど大規模サプライチェーン攻撃の背後にあることが多い
- マルウェア — サプライチェーン攻撃で最終的に仕込まれる悪意あるソフトウェア
- ランサムウェア — Kaseya事件など、サプライチェーンを経由して拡散される代表的な攻撃手段
- SBOM(ソフトウェア部品表) — 使用ソフトウェアの構成要素を一覧化する管理手法。サプライチェーンリスク把握の基盤
- 脆弱性管理 — サードパーティ製品の脆弱性を継続的に監視・対処するプロセス
- インシデントレスポンス — 攻撃が発生した際の対応手順。サプライチェーン攻撃では早期検知が特に難しい
- コード署名 — ソフトウェアの配布元と改ざんの有無を検証する技術。サプライチェーン攻撃への対策の一つ