製造業のサプライチェーンを狙うサイバー攻撃、取引先経由の侵入が新たなリスクに

背景

日本の基幹産業である製造業において、サプライチェーン全体を標的としたサイバー攻撃が深刻化しています。大手企業はセキュリティ対策が比較的強固ですが、攻撃者はセキュリティが手薄な中小のサプライヤー（部品メーカー、金型業者、物流業者など）を経由して大手企業のネットワークに侵入する「サプライチェーン攻撃」を展開しています。特に、設計図面、製造仕様書、品質データ、納期情報などの機密情報が取引先間で頻繁にやり取りされる製造業では、一社の侵害が連鎖的に広がりやすい構造的リスクを抱えています。経済産業省も「サイバーセキュリティ経営ガイドライン」でサプライチェーン全体のセキュリティ確保を求めていますが、中小企業における対策の遅れが課題となっています。

実態

製造業サプライチェーンへの攻撃は、主に以下のパターンで実行されます。第一に、「取引先なりすましメール」です。攻撃者は中小サプライヤーのメールアカウントを乗っ取り、そこから大手メーカーの調達部門や設計部門に対して「仕様変更のお知らせ」「見積書の修正版」などと称してマルウェア付き添付ファイルや不正リンクを送信します。信頼関係のある取引先からのメールであるため、受信者は疑わずに開封してしまいます。第二に、「VPN・リモートアクセス経由の侵入」です。大手メーカーと中小サプライヤー間では、生産管理システムや在庫システムへのリモートアクセスが許可されているケースがあり、サプライヤー側のVPN認証情報が漏えいすると、攻撃者はそこから大手企業のネットワークへ侵入できます。第三に、「ソフトウェア・ファームウェアへの不正コード混入」です。製造装置の制御ソフトウェアや組み込みファームウェアの開発を委託している場合、開発環境が侵害されると、納品されるソフトウェアにバックドアが仕込まれる可能性があります。実際に、自動車部品メーカーや半導体製造装置メーカーが攻撃を受け、生産ラインが数週間停止した事例や、設計図面が窃取されて競合他社に流出した疑いのある事例も報告されています。

影響と対策

サプライチェーン攻撃による影響は、生産停止による納期遅延、設計情報の流出による競争力低下、顧客からの信頼失墜、損害賠償責任の発生など、企業の存続を脅かすレベルに達します。対策としては、まず取引先を含めたセキュリティ基準の統一が重要です。大手企業は、取引先に対してセキュリティ要件（多要素認証の導入、パッチ適用体制、インシデント報告義務など）を契約に盛り込み、定期的な監査を実施する必要があります。技術的には、FortiGateやCheck Pointのネットワークセグメンテーション機能を活用し、取引先からのアクセスは必要最小限のシステムのみに制限し、横展開を防ぐ設計が不可欠です。また、EDRによるエンドポイント監視、メールセキュリティによるなりすましメール検知、ゼロトラストアーキテクチャによる継続的な認証・認可の実装も有効です。さらに、取引先との間で「サイバーセキュリティパートナーシップ」を構築し、情報共有、共同訓練、インシデント時の連携体制を整備することが推奨されます。中小サプライヤー側も、自社が「大手企業への侵入経路」として狙われているという認識を持ち、基本的なセキュリティ対策（ファイアウォール、アンチウイルス、バックアップ、教育）を確実に実施することが求められます。

まとめ

製造業のサプライチェーンは、効率性と競争力の源泉である一方、サイバーセキュリティの観点では「最も弱い環」が全体のリスクを決定します。一社だけの対策では不十分であり、サプライチェーン全体でのセキュリティレベル底上げが不可欠です。大手企業の責任として、中小サプライヤーの支援も視野に入れた取り組みが求められます。PSIでは、ネットワーク製品を活用したサプライチェーン間の安全な接続設計、取引先を含めたセキュリティ基準策定支援、中小企業向けの実践的セキュリティ対策提案を通じて、製造業全体のサイバーレジリエンス向上に貢献いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp