LiteLLM・Trivy事件で浮き彫りになった「誰も法的責任を取らない」構造。年間被害額9兆円のサプライチェーン攻撃について、OSSの免責条項、EU Cyber Resilience Actの最新動向、経営者が今すぐ取るべき対策を解説します。
2026年3月、AIライブラリ「LiteLLM」やセキュリティスキャナー「Trivy」が相次いでサプライチェーン攻撃を受けました。SSHキーやAPIキーが盗まれ、2万以上のリポジトリに影響が及ぶ深刻な事態です。
しかし攻撃者は逮捕されず、OSS開発者は免責、被害企業は自己責任。この「誰も責任を取らない」構造は、あなたの会社にとって何を意味するのでしょうか。
この記事では、サプライチェーン攻撃の法的責任の所在、最新の規制動向、そして経営者が今すぐ知るべきリスクとコストについて解説します。
サプライチェーン攻撃の被害規模:数字で見る現実
サプライチェーン攻撃の被害額は年間600億ドル(約9兆円)に達し、2031年には1,380億ドルに拡大すると予測されています。1件あたりの平均被害額は433万ユーロ(約7億円)。しかもこの種の攻撃は直接攻撃と比べて修復コストが17倍高くなります。
サプライチェーン経由の侵害は、発見から封じ込めまで平均254日かかります。約8ヶ月間、気づかないまま情報が流出し続ける可能性があるということです。
事件の振り返り:誰が何をしたか
2026年3月のTeamPCPによる連鎖攻撃を、責任の観点から整理します。
法的責任は誰にあるのか
登場人物と責任の関係
| 関係者 | 行為 | 法的責任 | 現実 |
|---|---|---|---|
| TeamPCP(攻撃者) | 不正アクセス・マルウェア配布 | 刑事責任あり | 未逮捕・身元不明 |
| Aqua Security(Trivy) | 不完全な認証情報ローテーション | OSS免責条項で保護 | 商用製品は影響なしと主張 |
| LiteLLM | バージョン未固定・トークン管理不備 | OSS免責条項で保護 | 被害者でもあり管理者でもある |
| 被害企業 | サードパーティ依存の管理不足 | 自社セキュリティの責任 | 保険でカバーできる可能性 |
OSSの「免責の壁」
ほぼすべてのOSSはMITライセンスやApacheライセンスで配布されており、以下のような免責条項が含まれています。
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND,
EXPRESS OR IMPLIED...
IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE
FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY...
つまり**「現状のまま提供します。何が起きても責任は取りません」**ということです。
OSSの免責は「共有責任モデルは存在しない」ことを意味します。OSSを使う組織は、そのリスクも含めて自分で管理する必要があります。便利だから使う、でも責任は誰も取らない — これがOSSの現実です。
実際に訴訟は起きるのか?
現時点では、OSSのサプライチェーン攻撃に対する大規模な訴訟事例はほとんどありません。理由は以下の通りです。
- 攻撃者が特定できない(TeamPCPも未逮捕)
- OSS開発者は免責条項で保護されている
- 被害企業も自社のセキュリティ管理責任を問われる立場にある
- 因果関係の立証が困難(どの時点で何が漏洩したか特定しづらい)
結果として**「誰も法的責任を取らない」**という構造が生まれています。
変わりつつある規制:EU Cyber Resilience Act
この「誰も責任を取らない」問題に対し、EUが先手を打っています。
EU Cyber Resilience Act(CRA)とは
2024年12月11日に発効したEUの新規制で、デジタル製品のセキュリティ義務を製造者に課すものです。
製造者が全責任を負う
CRAの核心:最終製品の製造者が、OSSコンポーネントを含むすべてのセキュリティに100%責任を負います。 OSSライブラリに脆弱性が見つかった場合、パッチを提供する責任はボランティアの開発者ではなく、そのライブラリを使って製品を販売している企業にあります。
OSS開発者はどうなる?
CRAはOSS開発者に配慮した設計になっています。
| 条件 | CRAの適用 |
|---|---|
| 無償で公開、商業活動なし | 対象外(従来通り免責) |
| 無償だが有償テクニカルサポートあり | 対象(製造者としての義務) |
| 個人データ処理を条件にアクセス提供 | 対象 |
| 寄付を受け取る(コスト補填レベル) | 対象外 |
2026年3月3日にはEU委員会がガイダンスのドラフトを公開し、「責任はプロジェクトを公開・管理する者に紐づく」「単なる技術的な権限だけでは責任は生じない」と明確化しています。
日本企業への影響
EU域内で製品・サービスを提供している日本企業にもCRAは適用されます。 直接販売していなくても、EU企業にソフトウェアを提供している場合はサプライチェーンの一部として義務が及ぶ可能性があります。
経営者が知るべき5つのリスク
経営者として今すぐやるべきこと
自社の状況を把握する
投資対効果の考え方
| 対策 | コスト目安 | 防げるリスク |
|---|---|---|
| SBOM管理ツール導入 | 月数万円〜 | 使用コンポーネントの可視化、脆弱性の早期発見 |
| CI/CDセキュリティ強化 | エンジニア工数(数日) | 認証情報の窃取、不正コードの実行 |
| 認証情報の定期ローテーション | 運用コスト(月数時間) | 漏洩した認証情報の悪用期間を最小化 |
| サイバー保険の見直し | 年間数十万円〜 | インシデント発生時の財務リスク軽減 |
| セキュリティ監査(年1回) | 数十万〜数百万円 | 設定ミスや脆弱性の網羅的な発見 |
1件あたり平均被害額が7億円であることを考えると、年間数百万円の予防投資は十分に合理的です。
よくある質問
業務のデジタル化・Web化をお手伝いします
ITコンサルティング
ツール選定からWeb制作・システム構築まで、ビジネスのIT化をトータルで支援します
※ 通常1営業日以内にご返信します
まとめ
サプライチェーン攻撃は、もはや「技術者だけの問題」ではありません。
現状の課題:
- 攻撃者は逮捕されず、OSS開発者は免責、被害企業は自己責任
- 「誰も責任を取らない」構造がサプライチェーン攻撃を増加させている
- 年間被害額は600億ドル(約9兆円)に達し、増加の一途
変化の兆し:
- EU Cyber Resilience Actが製造者責任を明確化
- 2026年9月から脆弱性報告義務が開始
- OSSの利用に対する企業の管理責任が法的に問われる時代へ
経営者への提言: 「うちはIT企業じゃないから関係ない」は通用しません。ホームページ、業務システム、クラウドサービス — あらゆるところにOSSが使われています。サプライチェーンのセキュリティは経営課題として取り組むべき時代に入っています。
まずはSBOM(ソフトウェア部品表)の作成から始めてみてはいかがでしょうか。自社が何に依存しているかを「見える化」するだけでも、リスクへの備えは大きく変わります。