Ivanti の 2025 年サイバーセキュリティ ステータスレポートは、ソフトウェア サプライチェーンの脅威に対する防御策を整備していると考える組織は、3 社のうち 1 社のみであることを明らかにしています。 サードパーティとの依存関係を攻撃者が狙うケースが増えています。組織がサプライチェーン攻撃を放置していると、それがサイバーセキュリティにとって大きな弱点となるおそれがあります。

増加するソフトウェア サプライチェーン攻撃のリスク

攻撃対象領域は急速に広がっています。そのターゲットとなっているのは主に組織のソフトウェア サプライチェーンです。 現代の企業では、社内の技術的なインフラストラクチャが多くのソフトウェア アプリケーション、ツール、依存関係に依拠しています。 BetterCloud の 2024 年レポートによると、1 つの組織につき平均 112 の SaaS アプリケーションが使用されています。 そしてウェブはますます複雑になっています。 各ソフトウェア アプリケーションには平均して 150 の依存関係があります(そのうち 90% は間接的な依存関係です)。これが脆弱性の大部分を占めているのです。

過去数年間でサードパーティとの依存関係を標的とする脅威アクターの数は急増しており、2024 年にはすべてのソフトウェア サプライチェーンの 75% が攻撃を報告しています。 攻撃者がサプライヤーのコードに悪用できる弱点を探すようになり、ソフトウェア サプライチェーンの脅威もより巧妙化しているにもかかわらず、 セキュリティチームは、すべてのソフトウェア コンポーネントを適切に検査するのに苦労することがよくあります。

Ivanti のサイバーセキュリティ調査によると、組織のリーダーの 84% がソフトウェア サプライチェーンの監視は「非常に重要」であると考えているのに対し、ほぼ半数 (48%) は、自社のサプライチェーンで最も脆弱なコンポーネントを依然として特定できていないと答えています。 デューデリジェンスがこのように欠如していると、企業は大きな金銭的リスクおよびレピュテーションリスクを負うことになります。

一般的なソフトウェア サプライチェーン攻撃の種類

調査会社

ガートナーによると、ソフトウェア サプライチェーン攻撃を経験する組織は 2025 年には 45% に上ると見られています。 ここでは、攻撃者が標的とする最も一般的な種類のソフトウェア サプライチェーンの脆弱性の概要を説明しましょう。

  • アップストリームサーバー攻撃は、最も一般的なサプライチェーン攻撃です。 ハッカーが、コードリポジトリなどユーザーの「アップストリーム(上流)」に位置するシステムを侵害し、悪意のあるペイロード/マルウェアを注入する場合に発生します。 このペイロードは、ソフトウェア アップデートなどを通じて「ダウンストリーム(下流)」のユーザーに拡散されます。
  • ミッドストリーム攻撃とは、攻撃者が元のコードベースではなく、ソフトウェア開発ツールなどの中間システムを侵害するインシデントを指します。
  • 依存関係かく乱攻撃は、開発者またはシステムを騙して、外部ソースから侵害されたソフトウェア依存関係をダウンロードさせようとするものです。 一般的な攻撃方法の中には、信頼できる内部ライブラリに似た名前を持つ、悪意のあるソフトウェアをアップロードさせるものもあり、 正当な依存関係の代わりに悪意のあるバージョンがソフトウェアのビルドに組み込まれることが多くあります。
  • コード署名証明書攻撃は、ソフトウェアのセキュリティと信頼性を検証するためのデジタルコード署名証明書に、ハッカーが悪意のあるソフトウェアを挿入したときに発生します。 これらの攻撃は、脅威アクターがソーシャルエンジニアリングやその他の戦術を使用して開発環境を侵害したときに発生します。
  • CI/CD インフラストラクチャ攻撃は、悪意のある目的で本物の GitHub リポジトリを複製するなど、マルウェアを導入して自動化された開発パイプラインを標的にするものです。

サプライチェーン攻撃の最近の事例

こうした種類の攻撃が実際に発生した事例は、ニュースを深掘りせずとも枚挙に暇がありません。 過去数年間に世界的な注目を集めたサプライチェーン攻撃の事例をいくつかご紹介しましょう。

  1. Okta 社へのソーシャルエンジニアリング攻撃

    •  2023 年 10 月、ID およびアクセス管理を行うサービスプロバイダー Okta は、顧客サポートシステムへの 重大なデータ侵害を経験しています。これは、Okta の顧客 4 名が同社の IT サービスデスクを狙ったソーシャルエンジニアリング攻撃の被害に遭ったというものです。 攻撃者は、これらの管理者の資格情報を使用して複数のダウンストリーム攻撃を開始し、1Password、BeyondTrust、Cloudflare など、何千もの Okta 顧客のデータに不正アクセスを行っています。

  2. Kaseya 社へのランサムウェア攻撃

    • 2021 年 7 月のこの事件では、ハッカーが Kaseya 社のリモート管理ツールに存在する 6 つのゼロデイ脆弱性を悪用しています。これらの脆弱性を利用し、ソフトウェア更新に乗じて悪意のあるランサムウェア ペイロードを送り込み、数百のマネージド サービス プロバイダー (MSP) とその顧客を感染させました。 この攻撃により、世界中で約 2,000 社の業務が停止し、攻撃者が 7,000 万ドルという巨額の身代金 (最終的には支払われませんでした) を要求したことが話題になりました。

  3. Codecov 社への CI/CD 攻撃

    • 2021 年 1 月、当時 29,000 人以上の顧客が使用していた人気のコードテストツール Codecov に悪意のある人物が侵入しました。 攻撃者は Codecov の Bash Uploader スクリプトに不正アクセスし、悪意のあるコードを挿入し、このコードが Codecov の顧客によって CI/CD パイプラインで使用されました。 Codecov 社は攻撃を 2021 年 4 月になるまで検知せず、報告もなされませんでした。つまり、悪意のあるこの人物は数か月にわたって顧客システムに含まれる数千の機密データにアクセスしていた可能性があります。
    • これらのサプライ チェーン侵害はいずれも、攻撃を受けたプロバイダーとその何千もの顧客とそれ以外の人々に、連鎖的かつ広範囲にわたる損害を引き起こしました。  

サプライチェーン攻撃が及ぼす深刻な影響

ソフトウェア サプライチェーン攻撃によって生じる被害の規模は見過ごすことができません。 上記の攻撃はいずれも、重大な経済的損害と評判の悪化をもたらし、多くの組織がベンダーのセキュリティに対するアプローチを再検討するきっかけとなりました。

財務への影響

調査会社

Cyber​​security Ventures では、ソフトウェア サプライチェーン攻撃によって企業が被る世界全体の年間コストについて、2025 年には 600 億ドル、 2031 年には 1,380 億ドルという驚異的な数字に達すると予測しています。 これらの損失には、収益の損失、修復費用、訴訟費用、コンプライアンス違反に対する罰金の可能性など、あらゆる損失が含まれます。 2023 年のデータ侵害を受けて、Okta 社の株価は11%下落しています。 2022 年に別の大規模なデータ侵害が発生した後、影響を受けた株主が訴訟を起こし、Okta 社は 6,000 万ドルの支払いを余儀なくされました。

業務への影響

サプライチェーン攻撃では、何千もの顧客が混乱やシステムの停止に見舞われ、重要な業務が停止し、遅延が発生して他のベンダーにも影響が及ぶ可能性があります。 Kaseya 社への侵害の影響を受けた機関をいくつか見てみましょう。 スウェーデンでは、その週末に食品大手小売業者が800店舗の閉鎖を余儀なくされ、国鉄も混乱に見舞われました。 ニュージーランドでは、学校 11 校と 100 以上の保育園のオンライン業務がすべて停止し、問題が解決するまで紙とペンに頼らざるを得なくなりました。

風評被害

事件が公となって企業の評判が損なわれると、顧客や株主からの信頼が失われる可能性があります。 企業が何年もかけて築き上げたベンダーや顧客の忠誠心を失う可能性もあるのです。 2023年3月、ハッカーがアプリケーションに悪意のあるコードを挿入したために人気のビジネスコミュニケーション ソフトウェア「3CX」が侵害を受けました。60 万人以上の顧客の機密データが漏洩した可能性があったことから、数か月にわたって悪い意味でメディアの注目を集め、世論の反発を招きました。

責任の所在は? 技術上の負債と共同責任

ソフトウェア サプライチェーンの脅威は頻度と深刻度を増すと予想されています。企業は明確な説明責任を確立し、サードパーティ ベンダーとソフトウェア サプライチェーンにもサイバーセキュリティに関する厳格なセキュリティ ベストプラクティスの遵守を求めることが重要になっています。

ソフトウェア セキュリティの所有者は? 

現時点では、サードパーティベンダーのセキュリティを評価するための厳格で標準化されたプロセスを持たない組織が数多く存在します。 さらに、多くの顧客とベンダーの間では、サードパーティ製ソフトウェアのセキュリティ管理の責任を誰が負うかについてさえコンセンサスが得られていません。

サイバーセキュリティ 動向ステータスレポートでは、さまざまなレベルのサイバーセキュリティ能力を持つ組織を分析し、サイバーセキュリティの成熟度を測る 「Cybersecurity Maturity Scale(成熟度スケール)」を作成しています。 このスケールは、成熟度の低い組織 (レベル 1 およびレベル 2) から、より高度なサイバーセキュリティ機能を備えた組織までをカバーしています。 (レベル 4)

この調査を通じて、成熟度の低い組織ではサイバーセキュリティはベンダーのみの責任であると考えていることが分かっています。 それに対して、サイバーセキュリティ対策のレベルが高い企業では、ソフトウェアベンダーと顧客の間で責任を共有することが提案されています。

ソフトウェア サプライチェーンの脅威に対する防御方法

ソフトウェア サプライチェーンのセキュリティは、包括的かつ積極的なサイバーセキュリティ戦略において重要な位置を占めます。

ソフトウェア サプライチェーンを強化し、潜在的な攻撃から防御するには、攻撃対象領域をすべてのサードパーティ ベンダーとコンポーネントまで拡大して組織全体の一部として扱うことが必要です。 ここでは、組織がサプライチェーン攻撃をより効果的に防止し、潜在的なサプライチェーンの脅威を検出して対応する準備を整えるための重要な推奨事項について説明しましょう。 

1. 厳格なベンダー管理とリスク評価

ソフトウェアベンダーと提携する前に、十分な調査を行いましょう。 業界の規格に適合し、脆弱性開示ポリシーを公開しているベンダーを見つけましょう。 定期的な監査、コードレビュー、ベンダーと顧客の双方による積極的な評価が、リスクを軽減するための鍵となります。

Ivanti の調査では、最高レベルのサイバーセキュリティを備える組織は、サードパーティベンダーのサイバーセキュリティを評価する際に次の点についてデューデリジェンスを実施する可能性が高いことが分かりました。

  • セキュリティ評価質問票(SAQ)を評価に組み込む 
  • ISO 27001 や SOC 2 など、ベンダーのセキュリティ認証を検討する 
  • 業界固有のコンプライアンス標準を見直す 
  • ベンダーが潜在的なセキュリティ侵害に対処するためのインシデント対応計画およびプロセスを備えていることを確認する 
  • ソフトウェア部品表 (SBOM) を求めて、ソフトウェアで使用されているオープンソースおよびサードパーティのコンポーネントを把握する

2. すべての依存関係について継続的な監視とプロアクティブな修復を行う

自動化された脅威検出ツールおよびプロセスを採用し、すべてのソフトウェア コンポーネントを監視および評価することが重要です。 特にオープンソース ソフトウェア コンポーネントの依存関係は見落とされることが多く、定期的に監視・更新しないと大きな脆弱性リスクとなります。

AI と自動化ツールは、デバイス、アプリケーション、ネットワークのパフォーマンスに関するリアルタイムの分析情報を提供し、潜在的な問題を検出することができます。 自己修復および自動修復ソリューションは、人間の介入を最小限に抑えるか、人間がまったく介入せずに問題を効果的に解決する方法となります。

3. サードパーティベンダーとの定期的なコミュニケーション

ソフトウェア サプライチェーンのセキュリティに対する相互責任を確立するための基礎となるのは、顧客とサードパーティベンダー間の頻繁でオープンなコミュニケーションです。 セキュリティチームと IT チームは、ソフトウェアの更新、既知の脆弱性を修正するパッチ、新たなセキュリティの脅威について常に最新情報を把握しておかなければなりません。

ソフトウェア サプライチェーンのセキュリティについて詳しく知る

さらに詳しく知るには? サイバーセキュリティ 動向ステータスレポートの全文をお読みください。現時点でのサイバーセキュリティの喫緊の脅威と積極的なリスク管理戦略に関する詳細な情報を把握することができます。