サプライチェーン攻撃は、犯罪者が本来の標的に到達するために、信頼できるサードパーティを侵害したときに発生します。そのサードパーティは、システムやデータへのアクセス権を持つソフトウェアベンダー、ITプロバイダー、SaaSプラットフォーム、またはビジネスパートナーなどです。

中小企業にとって、このリスクは過小評価されがちです。複雑なインフラを運用していなかったり、大規模なITチームがなかったりするかもしれませんが、お客様の企業はおそらく多くの外部サービス(ビジネスメール、給与計算、会計、クラウドストレージ、カスタマーサポート、CRM、決済システムなど)に依存しています。接続されているすべてのベンダーが、お客様の環境への潜在的な侵入パスとなります。

サプライチェーン攻撃とは何か、これらの攻撃がどのように発生するのか、なぜ中小企業が標的になりやすいのか、そしてサードパーティのサプライチェーンリスクを評価および軽減する方法について説明します。

サプライチェーン攻撃とは?

サプライチェーン攻撃の発生の仕組み

中小企業がより標的になりやすい理由

サプライチェーン攻撃の実際の事例

サードパーティリスクを評価する方法

お客様のビジネスの脆弱性を軽減するためにできること

サプライチェーン攻撃における認証情報の関係性

日常業務にサードパーティのセキュリティを組み込む

サプライチェーン攻撃とは?

サプライチェーン攻撃とは、信頼できる外部関係を通じて組織に侵入するサイバー攻撃のことです。犯罪者はお客様のビジネスを直接攻撃するのではなく、ベンダー、ソフトウェアの更新、serviceプロバイダー、連携機能、またはサードパーティのアカウントを侵害し、そのアクセス権を利用して下流のお客様に到達します。

サプライヤーが組織外であっても、お客様のシステム、データ、または業務に接続されている場合、その脆弱性は影響を及ぼす可能性があります。実際、サプライチェーンのサイバー攻撃には以下のようなものが含まれます。

  • 更新の仕組みが侵害されたソフトウェアベンダー。
  • 攻撃者が顧客データにアクセスするために利用するSaaSプラットフォーム。
  • 管理者認証情報が盗まれたITプロバイダー。
  • プロジェクト終了後もアクセス権が残っている契約業者アカウント。
  • 必要以上の権限を持つサードパーティの連携機能。
  • クライアントのシステムにアクセスするために使用されるベンダー従業員のアカウント。

サプライチェーン攻撃は信頼に依存し、それを悪用します。お客様のビジネスは、ベンダーに正当な役割があるために接続を許可しますが、攻撃者はその信頼を悪用してお客様のデータ、アカウント、またはシステムに近づきます。

サプライチェーン攻撃の発生の仕組み

サプライチェーン攻撃は通常、信頼できる接続から始まります。ベンダー、ソフトウェアプロバイダー、契約業者、または連携機能がすでに価値のあるものへのアクセス権を持っている場合、攻撃者はお客様のビジネスに直接侵入する必要はありません。

経路はさまざまですが、パターンは多くの場合類似しています。

  • サードパーティの侵害
  • 信頼関係を利用して、顧客や接続されたシステムに到達する
  • お客様のビジネスネットワークへのアクセスを拡大する

侵害されたベンダーアカウントを経由する手法

攻撃者は、ベンダー、契約業者、代理店、またはマネージドサービスプロバイダーの認証情報を盗んだり推測したりすることがあります。そのサードパーティにお客様のシステムへのアクセス権がある場合、攻撃者は正当なアカウントを使用して、信頼できるルートから侵入できます。

これは、ベンダーアカウントに広範な権限がある場合、脆弱なパスワードが使用されている場合、多要素認証が設定されていない場合、またはプロジェクト終了後にアクセス権が削除されていなかった場合に特に危険です。そのため、サードパーティのアクセス権は定期的に見直し、不要になった場合は管理された管理者プロセスを通じて速やかに失効させる必要があります。

ソフトウェアの更新やアプリを経由する手法

ソフトウェアサプライチェーン攻撃は、アプリの構築、配信、または更新の方法が攻撃者によって侵害されたときに発生する可能性があります。お客様のビジネスは、信頼できるベンダーからのソフトウェアをインストールまたは更新する際に、その更新プログラムが改ざんされていることに気づかない場合があります。

このタイプの攻撃は、未知のソースからではなく、既知のソフトウェアプロバイダーから送信されたように見えるため、発見が困難です。

サードパーティの連携機能を経由する手法

多くのSaaS(Software as a Service)ツールは、連携機能、プラグイン、API、および権限を介して相互に接続されています。これらの接続は、チームの作業を迅速化するのに役立ちますが、隠れたアクセスパスを作成することにもなります。

連携機能が侵害されたり、必要以上の権限が付与されていたりすると、攻撃者は元のツールの範囲を超えてデータ、アカウント、またはワークフローに到達できる可能性があります。

共有された認証情報や管理されていないアクセス権を経由する手法

ベンダーのアクセス権が、共有ログイン、文書内に保管されたパスワード、またはチャットやメールで送信された認証情報に依存している場合、サプライチェーンのリスクも増大します。これらの認証情報のいずれかが漏洩した場合、お客様のビジネスでは、誰がそれを使用したのか、どこで共有されたのか、あるいはまだいくつのシステムにアクセスできるのかを把握できなくなる可能性があります。

アクセス制御は、サプライチェーンのセキュリティを保護するための最も強力な仕組みです。各ベンダーの接続が適切に制御されているほど、問題が発生したときの被害を抑えやすくなります。

中小企業がより脆弱である理由

中小企業は、サプライチェーン攻撃を大企業の問題だと考えがちです。しかし実際には、ベンダーのアクセス権があまり形式化されておらず、監視が不十分で、見直しの頻度も低いため、中小企業のほうがサードパーティを経由して簡単に侵入される可能性があります。

すべてのSaaSサービスが依存関係を増やす

現在、ほとんどの中小企業が日々の業務をSaaSサービスに依存しています。これらはビジネスの迅速性と柔軟性を向上させるのに役立ちますが、同時にビジネスデータを保持したり、ビジネスアカウントに接続したりするシステムの数も増やします。

小規模な代理店、コンサルティング会社、法律事務所、またはスタートアップ企業は、それをサプライチェーンと呼ぶことなく、数十もの外部サービスを使用している場合があります。しかし、セキュリティの観点からは、それらのサービスもチェーンの一部です。

小規模なチームにはベンダーの審査プロセスが不足している可能性がある

大企業には、調達、ベンダーリスクアンケート、セキュリティレビュー、法的手続きなどが用意されていることがよくあります。一方、中小企業は、代わりに非公式の信頼関係やスピードに依存することがあります。

2025年の初め以来、Protonのデータ侵害観測所は、9億200万件以上のレコードを漏洩させた512件の侵害を特定しました。認証情報、連絡先の詳細、またはビジネスデータが漏洩すると、多くの侵害は一社にとどまらないため、このような可視化が重要になります。

それは、中小企業に大企業のような官僚主義が必要であることを意味するものではありません。アクセス権を付与する前に基本的な質問を行い、業務内容の変更後にアクセス権を見直すための、実用的な方法が必要であることを意味しています。

ベンダーのアクセス権が必要以上に広範であるケースが多い

ビジネス内でのベンダーのアクセス権は、通常、実用的な理由から拡大します。たとえば、契約業者が共有ドライブへのアクセスを必要としたり、代理店が分析や広告アカウントのアクセス権を必要としたりすることがあります。その瞬間、特に人員やリソースが限られている中小企業にとっては、アクセス権を付与することが業務を継続させるための最も手っ取り早い方法のように感じられます。

リスクが顕在化するのは後になってからであり、それは付与された権限が制限、確認、または削除されない場合です。プロジェクト終了後もベンダーがアクセス権を保持し続けたり、共有ログインが使われ続けたり、本来の必要性が失われた後も長期間にわたって連携が接続されたままになったりすることがあります。

サプライチェーン攻撃の現実世界の事例

最近のデータ侵害データは、サードパーティリスクが機上の空論ではないことを示しています。弊社のData Breach Observatory(データ侵害オブザバトリー)の調査において、サードパーティまたはサプライチェーンの露出に関連する複数のインシデントが明らかになりました。これにより、影響を受けた組織自体が必ずしも最初の侵害ポイントでなかったとしても、顧客、従業員、または企業のデータが侵害データセットに含まれてしまう仕組みが示されています。

Amtrak

2026年4月、Data Breach ObservatoryはAmtrakに関連するサードパーティのインシデントを発見しました。これにより740万件以上の記録が流出しました。侵害されたデータには、氏名、住所、郵便番号、電話番号、メールアドレス、およびユーザー名が含まれていました。

企業にとってこれは、サードパーティのインシデントによってユーザー情報や連絡先データが大規模に流出し、その結果としてフィッシング、なりすまし、認証情報を悪用した攻撃などの二次的なリスクが発生する明確な事例です。

Canada Goose

アパレル企業のCanada Gooseは、2026年2月にサードパーティのインシデントによる影響を受け、92万1,000件以上の記録が流出しました。侵害されたデータには、氏名、住所、電話番号、およびメールアドレスが含まれていました。

パスワードが含まれていなくても、攻撃者が連絡先情報を利用して詐欺、フィッシング、ソーシャルエンジニアリングの信頼性を高めることができるため、この種のデータセットは依然として企業のビジネスリスクを高めることになります。

サードパーティリスクを評価する方法

お客様のビジネスにおけるリスク評価を開始するのに、大規模なリスク管理チームや膨大なリソースは必要ありません。まずはシンプルなインベントリ(一覧表)から始め、最も重要度の高いベンダーに焦点を絞りましょう。

1. ベンダーとアクセス権の整理

お客様のシステムまたはデータへのアクセス権を持つベンダー、SaaSサービス、請負業者、パートナーをリストアップします。それぞれについて、以下を記録してください。

  • アクセスできるデータ。
  • 使用しているアカウントまたは連携機能。
  • 管理者権限の有無。
  • アクセスが個別か共有か。
  • 多要素認証が必要かどうか。
  • 社内の関係責任者(担当者)。
  • アクセス権が最後に確認された日時。

明確な所有権、管理者の可視性、および取り消し可能なアクセス権を備えた管理システムを通じてベンダーのアクセスを管理すれば、このインベントリの維持ははるかに容易になります。

2. リスクによるベンダーのランク付け

すべてのベンダーに対して詳細な確認を行う必要はありません。給与計算プロバイダー、クラウドストレージプラットフォーム、ITプロバイダー、CRM、またはマネージドサービスプロバイダーは、機密データを扱わない低リスクのサービスよりも詳細な調査を行う価値があります。

顧客データ(ユーザー名など)、認証情報、決済、従業員情報、本番システム、または管理者アクセス権を取り扱うベンダーを優先します。

3. アクセス権を付与する前にセキュリティに関する質問を行う

アクセス権を付与する前に、一歩引いて、そのサードパーティが本当に必要なのか、アクセスする必要があるシステムやデータは何か、そしてそのアクセス権のレベルが妥当であるかを評価することが役立ちます。この段階で、多くの組織が想定していたよりも多くのベンダー、連携機能、外部アカウントに依存していることに気づきます。

簡易的なベンダーレビューでも十分に役立ちます。以下の質問をしてみましょう。

  • 解約した場合、弊社のデータはどうなりますか?
  • 2要素認証をサポートしていますか?
  • 顧客データはどのように保護されていますか?
  • 役割(ロール)ベースのアクセス制御を提供していますか?
  • 監査ログやアクティビティレポートの取得は可能ですか?
  • 関連するセキュリティ認証を保有しているか、または認識されているセキュリティ標準に準拠していますか?
  • インシデントについて、顧客にどのように通知しますか?
  • 社内における従業員のアクセス権はどのように管理していますか?
  • 最小権限アクセスをサポートしていますか?

リスク露出を減らすためにお客様のビジネスができること

サプライチェーンリスクの軽減は、管理することから始まります。実際には、ベンダーの審査方法、アクセスできる対象、活動の監視方法、およびサードパーティが侵害された場合の対応について、お客様のビジネスにおいて明確なルールが必要であることを意味します。

サードパーティベンダーのセキュリティ対策を審査する

ベンダーにビジネスシステムや機密データへのアクセス権を付与する前に、そのセキュリティ対策がリスクに見合っているかを確認します。顧客記録、財務データ、または管理者アクセス権を取り扱うベンダーは、基本的な生産性向上アプリよりも高い基準を満たす必要があります。

2要素認証のサポート、役割(ロール)ベースの権限、監査ログ、インシデント通知の確約、データ保持の管理、および明確なオフボーディング(解約・終了)プロセスを確認してください。

サードパーティのアクセスに最小権限を適用する

最小権限の原則は、ベンダーのアカウントが侵害された場合の影響範囲を最小限に抑えます。つまり、読み取り専用アクセスで十分な場合に管理者権限を付与しないことや、特定のフォルダーだけで済む場合に広範な共有フォルダーへのアクセス権を付与しないことを意味します。

ベンダーに対してゼロトラスト原則を適用する

ゼロトラストとは、すべてのベンダーを疑うという意味ではありません。信頼できる関係だからといって、無制限のアクセス権が付与されるべきではない、という考え方です。

ベンダーのアクセスに関して言えば、これはユーザー情報の確認、権限の制限、定期的なアクセスの見直し、2要素認証の義務付け、アクティビティの監視、およびすべての接続をガバナンスが必要なものとして扱うことを意味します。

異常なアクセスパターンの監視

ベンダーに接続されたアカウントは、通常の利用にそぐわない動作がないか監視する必要があります。異常なログイン位置(場所)、予期しないダウンロード、新しい管理者ユーザー、権限の変更、時間外の活動、新しい連携、またはベンダーの役割(ロール)以外のデータへのアクセスに注意してください。

これらのシグナルは必ずしも侵害を証明するものではありませんが、小さな問題がより広範な侵害へと発展する前にお客様のチームが対応するのに役立ちます。

サードパーティの侵害に備える

お客様のインシデント対応プランには、ベンダーに関するインシデントを含める必要があります。サプライヤーが侵害を報告した場合、お客様の組織は次に何をすべきかを把握しておく必要があります。弊社では、サードパーティの侵害に対するお客様の組織の対応体制を構築するのに役立つ、企業向けのデータ侵害保護について紹介しています。

誰がベンダーに連絡するか、誰がアクセスをレビューするか、誰がログを確認するか、誰が認証情報のローテーションを行うべきかを決定するか、そして必要に応じて誰がクライアントや規制当局と連絡を取るかを定義します。

すべてのベンダーおよびサードパーティ製ツールに固有の認証情報を使用する

固有の認証情報は、サプライチェーンの被害範囲を最小限に抑える最も簡単な方法の1つです。ベンダーのポータルが侵害され、従業員がそのパスワードを別の場所で使い回していた場合、攻撃者は同じ認証情報を使ってメール、SaaSプラットフォーム、財務ツール、あるいは管理者システムへのアクセスを試みる可能性があります。

ベンダーごとに固有のパスワードを使用することで、このような直接的な使い回しを防ぐことができます。また、インシデント対応もより明確になります。ベンダーが侵害された際、同じパスワードがどこで使われたかを推測する代わりに、どの認証情報に対処すべきかがすぐに分かります。

Proton Passは、すべてのベンダーやサードパーティ製サービスに対して、チームが強力で固有のパスワードを生成し、それらを暗号化済みの保管庫に保存し、自動入力を利用し、安全にアクセスを共有するのに役立つビジネス向けパスワードマネージャーです。これにより、現代のビジネスが依存している多くの外部サービスにわたって、認証情報の衛生管理を維持することが容易になります。

サプライチェーン攻撃における認証情報の接続

サプライチェーン攻撃は多くの場合ベンダーから始まりますが、その影響がどこまで広がるかは認証情報によって決まります。

委託先のアカウントが侵害されても、アクセス権限が制限されていれば、被害を抑えられる可能性があります。しかし、同じアカウントに広範な権限、共有された認証情報、使い回されたパスワード、あるいは機密システムへのアクセス権がある場合、攻撃者の行動範囲はさらに広がってしまいます。

そのため、パスワードとアクセスの管理はサプライチェーンのリスク管理に不可欠です。すべてのベンダーやサードパーティ製ツールについて、お客様の組織は以下の点を把握しておく必要があります。

  • どの認証情報が存在するか。
  • 誰がそれらにアクセスできるか。
  • パスワードが固有のものであるか。
  • MFAが有効になっているか。
  • そのアクセスが現在も必要であるか。
  • アカウントが共有されているか、それとも個人用であるか。
  • 社内で誰がそのアカウントを所有しているか。

Proton Passのようなビジネス向けパスワードマネージャーを使用すると、これらの質問に簡単に答えられるようになります。スプレッドシートやブラウザのプロファイル、チャットメッセージ、あるいは個人のメモに認証情報を残しておく代わりに、ベンダーのパスワードを安全な共有と明確な所有権を備えた管理システムに保管することができます。

これにより、ベンダーの審査やアクティビティの監視が不要になるわけではありません。しかし、サードパーティの侵害が、自社内でのパスワード使い回しの問題へと発展しないようにするという、最も効果の高い管理策の1つを強化することができます。

日常業務にサードパーティのセキュリティを組み込む

サプライチェーン攻撃は、信頼を侵入経路に変えてしまいます。普段ビジネスをサポートしているベンダー、ソフトウェアの更新、SaaSアカウント、委託先、あるいは連携システムが、攻撃者がデータやシステムに到達するための経路になってしまう可能性があります。

小規模企業であっても、サードパーティを避けることはできませんし、その必要もありません。SaaSツール、ITプロバイダー、委託先、そしてベンダーは、現代のビジネスにおいて不可欠な存在です。重要なのは、1つの侵害が広範囲にわたる侵害に発展しないよう、十分な管理体制でこれらの関係性を管理することです。

まずは基本から始めましょう。ベンダーのリストアップ、アクセスの評価、セキュリティに関する質問、最小権限の適用、ゼロトラストの原則の採用、不審なアクティビティの監視、およびサードパーティの侵害に対するプランの策定を行います。その上で、すべてのベンダーとサードパーティ製サービスに固有のパスワードを個別に割り当てることで、認証情報のリスクを軽減します。

Proton Passは、企業が日常業務においてこの管理を実践するのを支援します。すべてのベンダーのログインにそれぞれ固有の認証情報が設定され、共有アクセスが暗号化済みの保管庫内に留まり、関係が終了した瞬間にチームがアクセス権を失効できるようになれば、単一のパスワードが侵害されたとしても、それがお客様のビジネスアカウント全体での連鎖反応を引き起こす可能性は極めて低くなります。