
By Ziv Chang
本年9月上旬、Jaguar Land Rover(以下、JLR)は、サイバー攻撃の被害を受け、工場の操業停止を余儀なくされたことを公式に発表しました。現在(2025年9月末時点)もなお、同社の生産ネットワーク全体において操業に支障が続いています。
このインシデントは、現代の自動車サプライチェーンがいかに脆弱であるかを痛烈に思い知らせるものです。現代の自動車メーカー(OEM)は、ソフトウェア主導の業務と世界中に分散したサプライヤーに大きく依存しています。これは、ITシステム、サプライヤー、サードパーティ製ツールの何処かにひとつでも脆弱点があれば、インシデントが瞬く間に波及する可能性があることを意味します。その結果として、工場の操業停止、財務的損失、生産の長期遅延が生じます。
本ブログでは、本件に関して現時点で分かっている経緯を概説し、IT業界および自動車業界における他の顕著なサプライチェーン攻撃事例と比較するとともに、自動車メーカーがサプライヤーネットワーク全体のサイバーリスクを軽減するために講じ得る実践的な対策を提案します。
JLRサイバーインシデントの経緯
本ブログ執筆時点で、これまでの経緯は以下の通りです:
- 2025年8月31日 – JLRはサイバーインシデントを検知し、複数の工場で生産を停止
- 2025年9月2日 – 同社はサイバー攻撃を確認し、グローバルITシステムを停止。製造業務と販売業務の両方に支障をきたしました。奇しくもこのタイミングは、英国における新車登録の重要な日付である「ニュープレートデー」と重なっています
- 2025年9月10日 – 生産停止が継続。一部のデータが影響を受けた可能性を公式に認める
- 2025年9月15日~20日 – 報道によりサプライチェーンの混乱が拡大していることが浮き彫りとなる。操業停止が続くなか、英国当局は介入の可能性を検討
- 2025年9月23日~25日 – JLRは少なくとも10月1日まで操業停止を継続すると発表。保険金の支払いは確認されていないものの、同社はサプライヤーの経営維持を支援するため3億ポンドを支払ったと報じられる
- 2025年9月25日 – 同社は段階的な操業再開を発表
アナリストは、Tata Consultancy Services(TCS)主導のSAPシステムのアップグレードが、単一障害点(SPOF)を生じさせたことが問題の根源である可能性を示唆しています。その他に、スピアフィッシングや認証情報の窃取といった、ありふれた攻撃経路がJLRの「スマートファクトリー」システムを通じて拡散したのではないかと疑う声もあります。身代金要求が確認されていないことから、多くの関係者が動機は恐喝ではなくデータ窃取であると考えています。
過去のサプライチェーンサイバー攻撃から得られる教訓
JLRの事案に関する調査は継続中ですが、このような攻撃が特異な事例ではなく、自動車業界に限定されたものでもないことは明らかです。サプライチェーンを標的としたサイバー攻撃は長年好まれる戦術であり、攻撃者は信頼されたベンダーやソフトウェアプロバイダーを踏み台として、より大規模な組織への侵入を図るケースが少なくありません。特に著名な事例としては以下が挙げられます。
- Target(2013年) – 攻撃者が空調設備ベンダーから認証情報を盗み、Target社のネットワークに侵入。マルウェアを仕掛け、4,000万件のクレジットカード番号を盗み出しました。
攻撃経路:ベンダーへのフィッシング → ネットワークピボット → マルウェア展開 - SolarWinds(2020年) – 攻撃者はSolarWinds社の内部ネットワークに侵入し、同社が提供するITインフラ監視・管理ソフトウェア「Orion」プラットフォームのソースコードにマルウェアを埋め込みました。結果、改ざんされた更新プログラムが、米国政府機関を含む18,000以上の顧客組織に配布され、長期にわたって影響が及ぶこととなりました。
攻撃経路:ベンダー侵害 → 改ざんされた更新プログラム → 広範な侵入 - Kaseya(2021年) – サイバー犯罪グループ、Revil(リービル)がKaseya社のITツールのゼロデイ脆弱性を悪用し、このITツールを利用していたマネージドサービスプロバイダー(MSP)を経由して、数千のエンドユーザー顧客にランサムウェアを拡散させました。
攻撃経路:ゼロデイ攻撃 → 悪意のある更新プログラム → 大規模なランサムウェア拡散 - MOVEit(2023年) – サイバー犯罪グループ、Clop(Cl0p)がProgress Software社が提供するマネージドファイル転送(MFT)ソリューション、MOVEit Transferソフトウェアのゼロデイ脆弱性を悪用し、MOVEitサーバーから機密データを窃取し脅迫しました。620以上の組織がデータ窃取と身代金要求の被害に遭いました。
攻撃経路:サードパーティの脆弱性 → 直接的な悪用 → データ流出
自動車業界も例外ではない
自動車業界も近年、サプライチェーン関連の注目すべきサイバー攻撃を複数受けています。
年 | 企業種別 | 発生内容 |
---|---|---|
2021年 (2月) | 自動車メーカー | ランサムウェアと思しき攻撃により、社内システムと顧客システムがダウンした |
2022年 (2月~3月) | 自動車メーカー向け 内外装部品サプライヤー | ベンダーサプライヤーへのサイバー攻撃により、自動車メーカーは部品調達上、日本の複数の工場で1日間、操業停止を余儀なくされた |
2022年 (6月) | 自動車メーカー向け 繊維サプライヤー | LockBitランサムウェアグループが被害を受けた企業から盗んだファイルを流出させたと主張している |
2024年 (6月) | 自動車ディーラー向け ソフトウェア提供会社 | ランサムウェアにより数千ディーラーのシステムが停止した |
2025年 (9月) | 自動車メーカー | サードパーティプラットフォーム経由のデータ侵害により、顧客の連絡先情報が 流出した |
表1. 自動車業界における最近のサプライチェーン関連のサイバー攻撃
これらの事例は、サプライチェーンにおけるたったひとつの脆弱な箇所ーセキュリティホールが、世界最大の自動車メーカーやサプライヤーにさえも甚大な被害を及ぼす標的となり得ることを如実に物語っています。
自動車サプライチェーンのセキュリティ確保
サプライチェーン攻撃は、現代の製造およびソフトウェアエコシステムの相互接続性を逆手に悪用します。自動車メーカーは様々なサードパーティ製ツール、オープンソースライブラリ、クラウドサービスに依存しており、それぞれが攻撃者の侵入経路となり得ます。
こうしたリスクから防御するためには、自動車メーカーとそのサプライヤーには、技術的な安全対策と組織的な準備態勢の両方が必要です。サプライチェーン全体に及ぶ、自動車サイバーセキュリティに対する包括的なアプローチが求められます。
カテゴリー | 対策 | 具体的な実践内容 |
---|---|---|
中核的な技術的/プロセス上の統制 | ビルドパイプラインの セキュリティ確保(SLSA) | 出所の検証、最小権限の原則、分離環境の徹底 |
依存関係および パッケージ管理 | バージョンの固定、チェックサムの使用、サードパーティ製コードの監査を実施する | |
アーティファクト署名とSBOM | コード署名を必須とし、SBOM の維持・共有を行う | |
認証情報とクラウド アクセス保護 | シークレットマネージャーの使用、短寿命トークンの採用と高権限アカウントの監視を徹底する | |
監視、検知、ガバナンス | サードパーティリスクの管理 | サプライヤーの評価、セキュリティ条項の追加、監査の実施 |
自動スキャンとSCA | CI/CD への統合、悪意のあるコードの検出 | |
脅威の追跡と検知 | SIEM/EDRルールの拡張、MITRE ATT&CKとの整合性を図る | |
開発と運用 | 最小権限と セグメンテーション | 権限の制限と環境の分離 |
インシデント対応と サプライヤーとの調整 | ワークフローについて事前に合意し、緊急時のロールバックとパッチ適用方法についても計画しておく | |
AIモデルと データセットの検証 | 完全性を検証し、使用前にサンドボックス環境でテストを実施する | |
ポリシーの徹底と意識向上 | 経営陣によるガバナンス | サプライチェーンリスクを企業のリスク対策管理に組み込む |
SBOMの透明性 | SBOMを最新の状態に保ち、信頼できるパートナーと共有する |
表2. 自動車サプライチェーンのセキュリティ確保に向けた推奨される対策
自動車サプライチェーンへの警鐘
JLRのサイバーインシデントは、現代の相互接続されたサプライチェーンで発生した単一の障害によって、最大手の自動車メーカーさえも機能停止に追い込まれる可能性があることを示しています。発端はシステムアップグレードの失敗によるものであれ、古典的なフィッシング攻撃によるものであれ、この事象は「スマートファクトリー」やグローバルなサプライヤーネットワークがいかに脆弱であるかを思い知らせるものです。
教訓は明らかです:サプライチェーンのセキュリティは、単なるIT上の懸念ではなく、コアとなるビジネス課題のひとつとして扱わなければなりません。自動車メーカーもサプライヤーも同様に、多層防御アプローチを採用すべきです。これには、安全なビルドパイプライン、強力な依存関係と認証情報の管理、継続的な監視、そしてパートナーとの明確なインシデント対応についての事前調整が含まれます。経営陣レベルのガバナンスも極めて重要です。また、AIがサプライチェーンに深く組み込まれるにつれ、その完全性を検証することも同様に重要になります。
自動車業界にとって、JLRのサイバーインシデントは単発の出来事ではなく、そうした時代を知らせる警鐘です。サプライチェーンのレジリエンスが将来の競争力を決定づけるものであり、今こそ行動を起こす時ではないでしょうか。