PSI CyberSecurity Insight

トップ> Insight Post一覧> 第202号:サプライチェーン攻撃で機密文書が狙われる理由と第三者リスクの備え

2026年7月06日

株式会社ピーエスアイ

サプライチェーン攻撃で機密文書が狙われる理由と第三者リスクの備え

強固な本体防御を迂回する「取引先経由」の攻撃が増えている

近年、最終製品メーカーではなく、取引先や委託先が侵害される事案が目立ちます。攻撃者は守りの厚い中核企業を避け、周辺の接点から情報へ到達します

企業間連携は、メールやファイル共有、業務ポータル、VPN、APIなど多岐に広がりました。利便性の裏側で接続点が増え、攻撃面(アタックサーフェス)も拡大しています

自社の対策を強化していても、外部に預けたデータや権限が弱点になり得ます。経営層にとっても、第三者リスクを前提にした統制が重要な論点です。

海外の大手サプライヤーで疑われた機密文書流出の構図

報道では、海外の大手製造サプライヤーがサイバー攻撃を受け、顧客企業に関する機密文書が流出した可能性が示されました。標的が取引の中間地点だった点が特徴です

攻撃者は、複数企業の情報を扱う組織を踏み台にしやすい傾向があります。防御投資や監査対応の成熟度に差があり、侵入後に横展開できる旨味も大きいためです。

流出が疑われるのは、取引関連文書や技術・業務情報などとされています。文書はそのまま攻撃材料となり、なりすましや追加侵害の起点になりやすい点に注意が必要です。

文書流出がもたらす影響と、発注側・受託側で効く現実的対策

機密文書の流出は、個人情報に限らず、設計・品質・工程などの知的財産に波及します。さらに、価格条件や調達計画が露出すると、交渉力や供給網の安定性にも影響します

また、実在文書を悪用したフィッシングやBEC(ビジネスメール詐欺)が成立しやすくなります。復旧できても「暴露」をちらつかせる二重恐喝では、被害が長期化しがちです

対策の要点は、重要データの最小共有と分類、第三者アクセスの強制要件化、監査可能な契約と運用です。加えて、ランサムウェアを前提にバックアップと復旧訓練を整備します。

まとめ

ネットワークベンダーとして、PSIでは、サプライチェーンを前提にした多層防御の考え方を推奨します。中核企業の防御だけでなく、接続点とデータ流通を設計から見直します。

ゼロトラストの観点で、第三者アクセスを最小権限と継続的な検証に置き換えることが重要です。ID、端末、ネットワーク、ログを分断せず、全体として統制できる状態を目指します。

さらに、セグメンテーションで侵害時の横展開を抑え、復旧計画と危機対応を事前に整備します。強い本体ほど周辺が狙われる前提で、取引構造全体のリスク低減が求められます。

会社概要

社名:株式会社ピーエスアイ(PSI)
所在地:〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立:1994年
TEL:03-3357-9980
FAX:03-5360-4488
URL:https://www.psi.co.jp
事業内容:サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当:内藤
電話番号:(03)3357-9980
Eメールアドレス:psi-press@psi.co.jp