信頼していたベンダーが侵入口になる“要警戒”サプライチェーン攻撃の怖い実態
取引先やベンダーのシステムが侵害され、それを足掛かりに自社のネットワークに侵入される――。こうしたサプライチェーン攻撃の影響が広がっている。セキュリティ企業のレポートから見えてきた、被害の実態とは。
2025年にランサムウェア(身代金要求型マルウェア)攻撃の標的になった主な企業は、消費財・産業製品企業や専門サービス/コンサルティング企業などだった――。これは、セキュリティサービスベンダーのIntel 471が2026年2月10日(現地時間、以下同)に公開したレポート「Intel 471: 2026 Cyber Threat Trends & Outlook」から明らかになった事実だ(注1)。
ダークウェブのフォーラム分析を基にした同レポートによると、Intel 471が2025年に追跡した520件の脆弱(ぜいじゃく)性のうち、40%以上が実際の攻撃で悪用された。2026年にはAIの活用によって、これらの脆弱性を悪用するまでに必要な時間がさらに短くなると同社は予測する。
同レポートによると、ランサムウェア攻撃など恐喝を伴うサイバー侵害の件数は2025年に約63%増加し、6800件超に達した。2024年にはランサムウェアグループ「Qilin」が急速に台頭した一方で、「Scattered Spider」「LAPSUS$」「ShinyHunters」のメンバーで構成される「Sp1d3r Hunters」(別名:Scattered Lapsus$ Hunters)(注2)や、「Cl0p」といったサイバー犯罪グループが、大規模な攻撃活動によって大きな注目を集めたという(注3)。
こうした攻撃では、侵入経路としてサプライチェーンの弱点が狙われる傾向があると、同レポートは注意を促す。Intel 471によると、企業が特に警戒すべきなのは、利用するIT製品/サービスのベンダーを“踏み台”とするサプライチェーン攻撃だ。
“要警戒”のサプライチェーン攻撃 その危険な実態とは
サプライチェーン攻撃の手口には、マネージドサービスやソフトウェアのベンダーのシステムを侵害して(注4)、それらのユーザー企業のシステムにアクセスするものがある。Intel 471の研究者は「既存の信頼関係を悪用して強固な防御を回避することで、攻撃者は少ない労力で大きな影響を与えられる」と指摘する。
2025年には、データ連携ツールベンダーのCleo Communicationsと、営業支援ツールベンダーのSalesloftに対する大規模な侵害が発生し(注5)、各ベンダーのユーザー企業にも影響があった。Intel 471の研究者は、Cleoに対する攻撃にはCl0p、Salesloftに対する攻撃にはSp1d3r Huntersが関与している可能性を指摘する。Qilinは2025年9月に攻撃キャンペーンを開始し(注6)、ベンダーのシステムへの侵入を通じて、少なくとも20社の韓国企業を侵害したと考えられる。
Intel 471がまとめたイニシャルアクセスブローカー(IAB)の手口に関するデータは、企業がどのように自社システムの防御を強化し、従業員に警戒を促すべきかを示す指針となる。IABは、企業のネットワークへの侵入に利用するアクセス権を取得し、他の攻撃者に販売する組織だ。IABは侵入時に、正規の認証情報を悪用する手口をよく用いるという。
「IABは侵入に成功した事実を証明するために、決まったツールを繰り返し使う傾向がある」とIntel 471の研究者は説明する。企業は、こうした攻撃者の行動パターンや利用ツールを理解することで、侵入の兆候を早い段階で察知しやすくなる。
サプライチェーン攻撃は今後も増加するというのが、Intel 471の見方だ。ワームなどの自動拡散の手口の広がりが背景にあるという。
Intel 471はランサムウェア攻撃について、企業が被害時の身代金支払いに消極的になっていることから、身代金の支払額は減少するとの見通しを示す(注7)。攻撃者は被害企業に圧力をかけるために、新たな手口を考えざるを得なくなる可能性がある。
AIについてはサイバー攻撃の要因になるというよりも、攻撃を強化する補助的な役割にとどまるとIntel 471は考える(注8)。「経済的な利益を目的とする攻撃者に、大規模言語モデル(LLM)に依存するマルウェアを採用する動機はほとんどない」と同社は断言する。コストや複雑性が増えやすく、外部インフラへの依存も高まる傾向があるからだ。既存の情報窃取型マルウェアが依然として有効な状況では、AIがこれらをすぐに置き換えることは考えにくいという。
投資対効果が明確に高まる分野では、AIを活用した標的型攻撃の強化が進むとIntel 471は予測する。具体的には、人の顔や声をAIで合成するディープフェイクを利用したなりすましや、重要人物を狙ったAI生成音声による詐欺、世論操作といった影響工作を目的とした合成動画・画像などが挙げられる。
出典:Extortion attacks on the rise as hackers prioritize supply-chain weaknesses(Cybersecurity Dive)
注1:INTEL 471: 2026 CYBER THREAT TRENDS & OUTLOOK(INTEL471)
注2:ShinyHunters escalates tactics in extortion campaign linked to Okta environments(Cybersecurity Dive)
注3:Hackers claiming ties to Clop launch wide extortion campaign targeting corporate executives(Cybersecurity Dive)
注4:Scattered Spider targeting MSPs, IT vendors in social engineering campaigns(Cybersecurity Dive)
注5:Hackers abuse malicious version of Salesforce tool for data theft, extortion(Cybersecurity Dive)
注6:The Korean Leaks - Analyzing the Hybrid Geopolitical Campaign Targeting South Korean Financial Services With Qilin RaaS(Bitdefender)
注7:Ransomware payments fell 35% in 2024(Cybersecurity Dive)
注8:AI is helping hackers automate and customize cyberattacks(Cybersecurity Dive)
© Industry Dive. All rights reserved.