技術記録帖

調べて、整えて、残す

2026年4月4日

技術記録帖
技術記録帖 技術情報を、読み返しやすい形に整えて残す技術サイト
用語集 最終更新 2026.04.04

サプライチェーン攻撃

サプライチェーン攻撃 は、最終的な標的の手前にある開発元や配布経路、委託先などを狙って侵入や改ざんを行う攻撃です。
直接攻撃するのではなく、信頼されている流れを悪用するのが特徴です。

まず押さえたいポイント

  • 本命そのものではなく周辺の流れを狙う
  • ベンダー、更新経路、依存関係、委託先が狙われうる
  • 被害が広く波及しやすい

どんな場面で使うか

  • ベンダーから配られる更新プログラム
  • OSS ライブラリやパッケージ
  • CI/CD やビルド基盤
  • 委託先や保守先の侵害

どんなふうに理解するとよいか

初心者向けには、標的が信頼している入口を使って入り込む攻撃 と考えると分かりやすいです。
正規の更新や正規サービスに見える形で入ってくるので、気づきにくいことがあります。

押さえておきたい注意点

本体サーバーを守るだけでは足りません。
依存関係、配布経路、委託先、署名鍵、ビルド環境まで守備範囲に入ります。

実務で見るポイント

  • 影響調査のために依存関係を把握しておく
  • 配布や更新の権限を絞る
  • ベンダー通知や脆弱性情報を追う

この用語を読むときのコツ

サプライチェーン攻撃 は単語だけ暗記するより、「どんな場面で出てくるか」「何と一緒に語られるか」をセットで押さえた方が理解しやすいです。記事や設定画面で見かけたら、何を決めるための用語なのかまで見ると意味がつながりやすくなります。

最初のうちは、このページだけで完結させようとしなくて大丈夫です。 下の関連用語や関連記事も一緒にたどると、サプライチェーン攻撃 がどの文脈で使われる言葉なのかがかなり見えやすくなります。

あわせて見たい用語

CI/CD

CI/CD は、テストやビルド、デプロイを継続的に回して開発を進めやすくする考え方です。

 サプライチェーン

サプライチェーンは、調達から製造、提供、保守までの一連のつながり全体を指す言葉です。

 インフラ

インフラは、サービスやシステムを動かす土台になるサーバー、ネットワーク、ストレージなどの基盤です。