サプライチェーン攻撃
サプライチェーン攻撃とは、標的の組織を直接攻撃するのではなく、その組織が利用している取引先、委託先、ソフトウェア、外部サービスなどを経由して侵入する攻撃である。
企業や組織は、業務の中で多くの外部サービスや製品に依存している。攻撃者は、その依存先の中でセキュリティが弱い部分を狙い、正規の取引や更新、接続に見せかけて攻撃を行う。
代表的な例として、ソフトウェアの更新プログラムに不正なコードを混入させる攻撃、オープンソースライブラリを改ざんする攻撃、委託先企業のアカウントを乗っ取って侵入する攻撃などがある。
この攻撃が危険なのは、被害者側から見ると信頼している相手や正規の仕組みを通じた動きに見えやすい点である。そのため発見が遅れやすく、一つの供給元を通じて多くの組織に被害が広がることもある。
対策としては、利用しているソフトウェアや外部サービスを把握し、取引先のセキュリティ管理、認証の強化、権限の最小化、更新プログラムの確認、監視体制の整備などを行うことが重要である。
事例
npm
2026年3月31日にaxiosが受けたサプライチェーン攻撃の概要と予防策「クールダウン」機能について | yamory | 脆弱性管理クラウド | SBOM対応
ブラウザ拡張機能
ステルス性の高いブラウザ拡張機能で430万人がマルウェアに感染、「ShadyPanda」による7年間の攻撃で影響を受けたChrome・Edge拡張機能リストはコレ - GIGAZINE
VS Code拡張機能
GitHub内部リポジトリへの不正アクセス、「悪意あるVS Code拡張機能」が関与と特定 約3800件流出か - ITmedia NEWS