なぜ日本企業も無関係ではないのか ― サプライチェーン攻撃の現実
サイバーレジリエンスサイバーレジリエンス株式会社
※本号はAIで執筆した文章を筆者が監修しています。
- 第1回 イラン攻撃の裏側 ― 実は始まっているサイバー戦争 ✓ 公開済
- 第2回 なぜ日本企業も無関係ではないのか ― サプライチェーン攻撃の現実 ← 今回
- 第3回 国家レベルのサイバー攻撃 ― APT攻撃という見えない脅威
- 第4回 サイバー戦争時代に企業が取るべきセキュリティ対策
なぜ日本企業も無関係ではないのか ―
サプライチェーン攻撃の現実
今回は、
「国家レベルのサイバー攻撃は、なぜ一般企業にも飛び火するのか」
という、日本企業が今すぐ知るべき構造的なリスクについてお伝えします。
先週の第1回では、2026年2月末のイラン攻撃においてサイバー軍が最初に動き、
イランのインターネットがほぼ完全に遮断された事実をお伝えしました。
今回はその「余波」が、どのように日本企業にまで届くのかを解説します。
■ 今まさに起きている「民間企業への波及」
イランへの軍事攻撃が始まってから2週間。
すでに民間企業への攻撃が現実のものとなっています。
⚠️ 2026年3月11日:米医療機器大手への「破壊的サイバー攻撃」
イランと関係するハッカー集団「Handala(ハンダラ)」が、
米医療機器・医療サービス大手のStryker(ストライカー)社に対して「破壊的なサイバー攻撃」を実施。
同社はSEC(米証券取引委員会)への提出書類で、システムの一部へのアクセスに混乱・制限が生じ、完全復旧の見通しが立っていないと認めました。
出典:ロイター「イラン系ハッカー集団、米医療機器企業に破壊的サイバー攻撃」(2026年3月11日)
パロアルトネットワークスの調査(2026年3月2日時点)によると、
イラン政府と連携していると見られるハクティビストグループが60以上確認されており、
攻撃対象は軍事・政府機関にとどまらず、金融・医療・エネルギー・製造業にまで広がっています。
📌 英国NCSCの警告(日本企業への示唆)
英国のサイバーセキュリティ機関NCSCは、イラン攻撃を受けて企業向け注意喚起を発表。
「今回の助言は英国向けですが、読み替えると日本企業でも同様のリスク管理が必要です。
特に、中東に拠点がある企業、現地ベンダー・物流・エネルギー・決済との取引がある企業は要注意」
と専門家は指摘しています。
■ 数字で見る「サプライチェーン攻撃」の現実
そもそも、なぜ取引先経由の攻撃がこれほど増えているのか。
最新のデータが、その深刻さを物語っています。
関与した割合
Verizon DBIR 2025
10大脅威ランクイン
情報セキュリティ10大脅威 2026
「踏み台」1位は取引先
日経・KPMG調査 2025年
💡 サプライチェーン攻撃とはどういう仕組みか
攻撃者は、セキュリティ対策の充実した大企業を直接狙うのではなく、
その企業と取引のある「セキュリティが手薄な中小企業・委託先・ソフトウェアベンダー」を突破口にします。
取引先のネットワーク → 本命ターゲットのネットワーク
という「迂回侵入」が、現代の標準的な攻撃手口です。
■ 日本企業の実際の被害事例
「うちは関係ない」と思っていませんか?
すでに日本では、業種・規模を問わず被害が発生しています。
その結果、トヨタ国内全14工場・28ラインが1日稼働停止となり、約1万3千台の生産に影響が出た。
患者の命に直結する医療インフラが標的となった。
日本の輸出入の約10%に影響が及んだ。
動画配信サービス「ニコニコ動画」が長期間停止し、情報漏洩も発生。特別損失は約36億円に達した。
特別損失は約52億円に及び、サプライチェーン攻撃による国内最大級の直接損失の一つとなった。
ビールが店頭から消える事態となり、個人情報約191万件が漏洩または漏洩の可能性(確定漏洩:従業員+取引先 計約11.5万件)。物流の完全正常化まで約5ヶ月を要した。
■ 国家が関与した世界最大のサプライチェーン攻撃
日本国内だけでなく、国家レベルの関与が疑われる海外事例も見ておきましょう。
📋 SolarWinds事件(2020年12月発覚)
ネットワーク管理ソフト「Orion」のアップデートファイルに悪意あるコードを仕込み、
そのソフトを使う米政府機関を含む18,000以上の組織に侵入した事件。
ロシアの国家機関(SVR)による攻撃と米当局は断定しています。
- 手口の巧妙さ:「信頼済みのソフトウェアのアップデート」という誰もが疑わない経路を悪用
- 被害の広がり:ソフトウェアを使う全組織が攻撃対象に。直接攻撃を1件仕掛けるだけで18,000組織に到達
- 気づくまでの期間:数ヶ月以上にわたって侵入が検知されなかった
出典:Palo Alto Networks Unit42「SolarStorm攻撃のタイムライン」/Google Cloud「SolarWinds事件から2年」
⚠️ 「自分が被害者」だけでなく「加害の入口」になるリスク
サプライチェーン攻撃で最も恐ろしいのは、
自社が被害を受けていることに気づかないまま、取引先への侵入の踏み台にされることです。
「うちは中小だから狙われない」ではなく、
「うちは大企業の取引先だから、むしろ狙われやすい」
という認識が今の時代には必要です。
■ なぜ「今」「日本企業」が危ないのか
| リスク要因 | 内容 | 日本企業への具体的影響 |
|---|---|---|
| イラン情勢の激化 | 2026年2月末〜現在も継続中の軍事・サイバー衝突 | イラン系ハクティビスト60以上のグループが欧米企業を標的化。日本の米国系企業・提携先も対象になり得る |
| サードパーティ侵害の急増 | Verizon DBIR 2025で前年比2倍の30%に | 自社のセキュリティが強固でも、取引先経由で侵入されるリスクが高まっている |
| 中小企業の対策遅れ | 大企業の取引先には中小企業が多く、セキュリティ投資が追いつかない | トヨタ事件のように、6万社のうち1社の穴が全体に影響する構造 |
| クラウド・SaaSの普及 | 多くの企業が同一のクラウドサービスやSaaSを共有 | 1つのサービスが侵害されると、そのサービスを使う全企業に波及する |
| 委託先管理の形骸化 | セキュリティ要件を契約書に記載しても実態確認が不十分 | アスクル事件のように「例外の1アカウント」が致命傷になる |
■ 今すぐ確認すべきチェックリスト
【取引先・委託先の管理】
- □ 主要な取引先・委託先のセキュリティ対策状況を把握しているか
- □ 委託先の管理者アカウントに多要素認証(MFA)が適用されているか
- □ 委託先が使用するVPN・リモートアクセス機器の脆弱性管理をしているか
- □ 委託先に提供しているアクセス権限は「最小限」になっているか
【自社ネットワークの管理】
- □ 取引先からのアクセスと社内システムが適切に分離されているか
- □ 自社のVPN・リモートアクセス機器のファームウェアは最新状態か
- □ 不審な通信を検知・遮断する仕組みがあるか
- □ 重要データのバックアップがネットワークから切り離された状態で保管されているか
【インシデント対応の準備】
- □ 取引先がサイバー被害を受けた際の連絡体制・対応手順が決まっているか
- □ 自社がランサムウェア被害を受けた場合の事業継続計画(BCP)があるか
- □ 社員・経営層が「サプライチェーン攻撃」のリスクを理解しているか
■ まとめ:「取引先のセキュリティ」は自社の問題
⚠️ 今号のポイント
- ✔ イラン系グループが今まさに民間企業を攻撃中(Stryker社など)
→ 軍事衝突の余波が、民間企業のシステムに直撃している - ✔ 侵害にサードパーティが関与した割合が前年比2倍の30%(Verizon 2025)
→ 自社が強固でも、取引先経由で突破されるリスクが急増 - ✔ 日本国内でもトヨタ・名古屋港・KADOKAWA・アスクルなど大型被害が続く
→ 業種・規模を問わず、「取引先の穴」が自社の損失になる - ✔ アスクル事件:たった1つの委託先の「例外アカウント」が約52億円の損失に
→ 「ほぼ対策している」では不十分。例外をなくすことが重要
💡 経営者・管理職の方へ
サプライチェーン攻撃の怖さは、
自社が何もしていないのに被害を受けることではありません。
自社がどれだけ対策しても、取引先の穴から侵入されることです。
「自社のセキュリティ」と「取引先のセキュリティ」をセットで考える時代になっています。
次回(第3回)は、
「国家レベルのサイバー攻撃 ― APT攻撃という見えない脅威」
として、具体的な攻撃の手口・潜伏手法・検知の難しさを解説します。
気になる点があれば、
個別に状況を伺いながらのご相談も可能です。
お気軽にご連絡ください。
本日も、どうぞ安全な一日をお過ごしください。
■ 参考情報
- ロイター「イラン系ハッカー集団、米医療機器企業に破壊的サイバー攻撃」(2026年3月11日)
- Palo Alto Networks Unit42「2026年3月 イランに関連するサイバーリスクの拡大」
- Verizon「2025年度データ漏洩/侵害調査報告書(DBIR)」
- IPA「情報セキュリティ10大脅威 2026」
- Guardian「サプライチェーン攻撃の国内事例|トヨタ・小島プレス・病院の詳細分析」
- SQAT「情報セキュリティ10大脅威 2026 ― アスクル事件の詳細」
- Google Cloud「SolarWindsのサプライチェーン攻撃から2年」
※2026年3月時点の情報です。
最新情報は各公式サイトで確認してください。
最後までお読みいただき、ありがとうございました。
弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。
目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。
****************************
サイバーレジリエンス株式会社
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
****************************
投稿者プロフィール
最新の投稿
情報2026年3月18日国家レベルのサイバー攻撃 ― APT攻撃という見えない脅威- 情報2026年3月13日なぜ日本企業も無関係ではないのか ― サプライチェーン攻撃の現実
ビジネスコラム2026年3月9日『自動車産業におけるSCS★3・4取得 ~自工会/部工会・サイバーセキュリティガイドライン準拠をSCS評価取得につなげるには~』- 情報2026年3月6日イラン攻撃から読み解くサイバー戦争
