ビジネス 2026.03.26

OSSサプライチェーン攻撃、被害額9兆円なのに「誰も責任を取らない」問題|経営者が知るべきリスクと法規制

約11分で読めます

LiteLLM・Trivy事件で浮き彫りになった「誰も法的責任を取らない」構造。年間被害額9兆円のサプライチェーン攻撃について、OSSの免責条項、EU Cyber Resilience Actの最新動向、経営者が今すぐ取るべき対策を解説します。

2026年3月、AIライブラリ「LiteLLM」やセキュリティスキャナー「Trivy」が相次いでサプライチェーン攻撃を受けました。SSHキーやAPIキーが盗まれ、2万以上のリポジトリに影響が及ぶ深刻な事態です。

しかし攻撃者は逮捕されず、OSS開発者は免責、被害企業は自己責任。この「誰も責任を取らない」構造は、あなたの会社にとって何を意味するのでしょうか。

この記事では、サプライチェーン攻撃の法的責任の所在、最新の規制動向、そして経営者が今すぐ知るべきリスクとコストについて解説します。

サプライチェーン攻撃の被害規模:数字で見る現実

$0
2025年の世界被害額
0万€
1件あたり平均被害額
0%
全データ漏洩に占める割合

サプライチェーン攻撃の被害額は年間600億ドル(約9兆円)に達し、2031年には1,380億ドルに拡大すると予測されています。1件あたりの平均被害額は433万ユーロ(約7億円)。しかもこの種の攻撃は直接攻撃と比べて修復コストが17倍高くなります。

サプライチェーン経由の侵害は、発見から封じ込めまで平均254日かかります。約8ヶ月間、気づかないまま情報が流出し続ける可能性があるということです。

事件の振り返り:誰が何をしたか

2026年3月のTeamPCPによる連鎖攻撃を、責任の観点から整理します。

2月下旬
Trivyの設定ミスを攻撃者が発見
GitHub Actions環境の認証情報が露出
3月1日
Aqua Securityが認証情報をローテーション
しかし一部の認証情報が残存(不完全)
3月19日
残存した認証情報でTrivyタグを改ざん
75個のバージョンタグが悪意あるコミットに書き換え
3月23日
Checkmarxのツールも連鎖的に侵害
Trivyから盗んだ認証情報を悪用
3月24日
LiteLLMにマルウェア版が公開
PyPIで約3時間配布され、認証情報が窃取される

補助金ガイド

IT導入補助金の活用方法を解説

詳しく見る

法的責任は誰にあるのか

登場人物と責任の関係

関係者行為法的責任現実
TeamPCP(攻撃者)不正アクセス・マルウェア配布刑事責任あり未逮捕・身元不明
Aqua Security(Trivy)不完全な認証情報ローテーションOSS免責条項で保護商用製品は影響なしと主張
LiteLLMバージョン未固定・トークン管理不備OSS免責条項で保護被害者でもあり管理者でもある
被害企業サードパーティ依存の管理不足自社セキュリティの責任保険でカバーできる可能性

OSSの「免責の壁」

ほぼすべてのOSSはMITライセンスやApacheライセンスで配布されており、以下のような免責条項が含まれています。

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,
EXPRESS OR IMPLIED...
IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE
FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY...

つまり**「現状のまま提供します。何が起きても責任は取りません」**ということです。

OSSの免責は「共有責任モデルは存在しない」ことを意味します。OSSを使う組織は、そのリスクも含めて自分で管理する必要があります。便利だから使う、でも責任は誰も取らない — これがOSSの現実です。

実際に訴訟は起きるのか?

現時点では、OSSのサプライチェーン攻撃に対する大規模な訴訟事例はほとんどありません。理由は以下の通りです。

  • 攻撃者が特定できない(TeamPCPも未逮捕)
  • OSS開発者は免責条項で保護されている
  • 被害企業も自社のセキュリティ管理責任を問われる立場にある
  • 因果関係の立証が困難(どの時点で何が漏洩したか特定しづらい)

結果として**「誰も法的責任を取らない」**という構造が生まれています。

変わりつつある規制:EU Cyber Resilience Act

この「誰も責任を取らない」問題に対し、EUが先手を打っています。

EU Cyber Resilience Act(CRA)とは

2024年12月11日に発効したEUの新規制で、デジタル製品のセキュリティ義務を製造者に課すものです。

2024/12/11
CRA発効
EU域内でデジタル製品を販売する企業に適用
2026/09/11
脆弱性報告義務の開始
悪用された脆弱性を24時間以内にENISAに報告義務
2027/12/11
全義務の適用開始
セキュリティ・バイ・デザイン、SBOM生成、適合性評価が必須に

製造者が全責任を負う

CRAの核心:最終製品の製造者が、OSSコンポーネントを含むすべてのセキュリティに100%責任を負います。 OSSライブラリに脆弱性が見つかった場合、パッチを提供する責任はボランティアの開発者ではなく、そのライブラリを使って製品を販売している企業にあります。

OSS開発者はどうなる?

CRAはOSS開発者に配慮した設計になっています。

条件CRAの適用
無償で公開、商業活動なし対象外(従来通り免責)
無償だが有償テクニカルサポートあり対象(製造者としての義務)
個人データ処理を条件にアクセス提供対象
寄付を受け取る(コスト補填レベル)対象外

2026年3月3日にはEU委員会がガイダンスのドラフトを公開し、「責任はプロジェクトを公開・管理する者に紐づく」「単なる技術的な権限だけでは責任は生じない」と明確化しています。

日本企業への影響

EU域内で製品・サービスを提供している日本企業にもCRAは適用されます。 直接販売していなくても、EU企業にソフトウェアを提供している場合はサプライチェーンの一部として義務が及ぶ可能性があります。

経営者が知るべき5つのリスク

気づかないうちに侵害されている
サプライチェーン攻撃の発見には平均254日かかります。四半期レビューでは間に合いません。自動監視の仕組みが必要です。
修復コストが直接攻撃の17倍
サプライチェーン経由の侵害は、直接攻撃と比べて修復コストが17倍高くなります。影響範囲の特定、認証情報の全ローテーション、顧客への通知など、対応が広範囲に及ぶためです。
取引先からの信頼喪失
LiteLLM事件では、LiteLLMを使っていた企業のAPIキーやクラウド認証情報が流出した可能性があります。自社の問題でなくても、サプライチェーンの一部として被害が波及します。
規制対応のコスト増大
EU CRAの脆弱性報告義務は2026年9月から開始。SBOM(ソフトウェア部品表)の生成・管理、24時間以内の脆弱性報告体制の構築が求められます。
保険でカバーできない可能性
サイバー保険はサプライチェーン攻撃を免責事項にしているケースがあります。契約内容を事前に確認しておく必要があります。

経営者として今すぐやるべきこと

自社の状況を把握する

投資対効果の考え方

対策コスト目安防げるリスク
SBOM管理ツール導入月数万円〜使用コンポーネントの可視化、脆弱性の早期発見
CI/CDセキュリティ強化エンジニア工数(数日)認証情報の窃取、不正コードの実行
認証情報の定期ローテーション運用コスト(月数時間)漏洩した認証情報の悪用期間を最小化
サイバー保険の見直し年間数十万円〜インシデント発生時の財務リスク軽減
セキュリティ監査(年1回)数十万〜数百万円設定ミスや脆弱性の網羅的な発見

1件あたり平均被害額が7億円であることを考えると、年間数百万円の予防投資は十分に合理的です。

よくある質問

A
現実的ではありません。現代のソフトウェアの70〜90%はOSSコンポーネントで構成されています。OSSを避けるのではなく、適切に管理することが重要です。
A
はい。サプライチェーン攻撃は企業規模に関係なく影響します。むしろ中小企業はセキュリティ体制が手薄なため、攻撃者にとって魅力的な「踏み台」になりやすいです。
A
EU域内で製品・サービスを提供している場合は適用されます。直接販売していなくても、EU企業のサプライチェーンに含まれる場合は間接的に影響を受ける可能性があります。
A
日本の個人情報保護法では、個人データの漏洩時に本人と個人情報保護委員会への通知が義務付けられています。EU CRAでは悪用された脆弱性を24時間以内にENISAに報告する義務があります。
A
最終的な責任は発注元の企業にあります。ただし契約内容によっては、外注先にも一定の責任が及ぶ場合があります。SLA(サービスレベル合意)でセキュリティ要件を明確にしておくことが重要です。

補助金ガイド

IT導入補助金の活用方法を解説

詳しく見る

業務のデジタル化・Web化をお手伝いします

ITコンサルティング

ツール選定からWeb制作・システム構築まで、ビジネスのIT化をトータルで支援します

200件以上の制作実績 顧客満足度97% 初回相談無料

※ 通常1営業日以内にご返信します

まとめ

サプライチェーン攻撃は、もはや「技術者だけの問題」ではありません。

現状の課題:

  • 攻撃者は逮捕されず、OSS開発者は免責、被害企業は自己責任
  • 「誰も責任を取らない」構造がサプライチェーン攻撃を増加させている
  • 年間被害額は600億ドル(約9兆円)に達し、増加の一途

変化の兆し:

  • EU Cyber Resilience Actが製造者責任を明確化
  • 2026年9月から脆弱性報告義務が開始
  • OSSの利用に対する企業の管理責任が法的に問われる時代へ

経営者への提言: 「うちはIT企業じゃないから関係ない」は通用しません。ホームページ、業務システム、クラウドサービス — あらゆるところにOSSが使われています。サプライチェーンのセキュリティは経営課題として取り組むべき時代に入っています。

まずはSBOM(ソフトウェア部品表)の作成から始めてみてはいかがでしょうか。自社が何に依存しているかを「見える化」するだけでも、リスクへの備えは大きく変わります。

この記事をシェア

業務のデジタル化、一緒に進めませんか?

Webサイト制作からシステム構築まで、御社のIT化をトータルでサポートします。 初回相談は無料です。

※ 1営業日以内にご返信いたします

この技術でお困りなら

無料でプロに相談できます

相談する
AIに無料相談