セキュリティ専門家によると、サプライチェーン攻撃は2025年もあらゆる規模の組織を苦しめ続け、前年に顕著になった傾向がさらに強まりました。クラウドサービスプロバイダーや広く利用されているソフトウェア開発者など、多数のダウンストリームユーザーを持つ単一のエンティティを侵害するこれらの攻撃により、脅威アクターは数百万のターゲットに感染させる可能性がありました。

2024年12月に発生し、2025年を通して影響を及ぼした注目すべき事件として、ハッカーがSolanaブロックチェーンの脆弱性を悪用した事件がありました。攻撃者は、数千のスマートコントラクトユーザーから約155,000ドルを盗んだと報告されています。セキュリティアナリストは、これらの攻撃の成功を、最新のソフトウェアサプライチェーンの複雑さの増大と、サードパーティコンポーネントへの依存に起因すると分析しました。

デジタルセキュリティ研究所のサイバーセキュリティ研究者であるアニヤ・シャルマ博士は、「システムの相互接続性は、イノベーションと効率を可能にする一方で、攻撃対象領域を拡大します。一つの脆弱なリンクを侵害すると、チェーン全体に連鎖的な影響を及ぼす可能性があります」と述べています。

ソフトウェア開発およびクラウドインフラストラクチャにおける人工知能（AI）の台頭は、状況をさらに複雑にしました。AIはセキュリティタスクを自動化し、異常を検出する可能性を提供する一方で、悪用のための新たな道も示しました。研究者たちは、AI搭載ツールがサプライチェーンの脆弱性を特定したり、開発者を標的とした、より高度なフィッシング攻撃を作成するために使用された事例を発見しました。

CyberDefense Groupのシニア脅威インテリジェンスアナリストであるマーク・オルセン氏は、「攻撃者がAIを活用して能力を強化する傾向が見られます。これには、AIを使用して偵察を自動化し、脆弱なコードを特定し、説得力のあるソーシャルエンジニアリングのルアーを生成することさえ含まれます」と説明しました。

スケーラブルで安全なインフラストラクチャを提供するはずのクラウドも、脆弱性の源であることが判明しました。構成が誤ったクラウド環境と不適切なアクセス制御により、攻撃者は機密データやシステムへの不正アクセスを取得することができました。

課題はあったものの、2025年には注目すべき成功事例が一つありました。いくつかのオープンソースコミュニティとサイバーセキュリティ企業との共同作業により、オープンソースソフトウェアの脆弱性を自動的に検出して修正できる、新しいAI搭載ツールが開発されました。この「Guardian」と呼ばれるツールは、いくつかの潜在的なサプライチェーン攻撃を防ぐのに貢献したと評価されています。

プロジェクトのリード開発者であるサラ・チェン氏は、「Guardianは、脅威に対して積極的に防御するためのAIの可能性を示しています。脆弱性の検出と修正を自動化することで、サプライチェーン攻撃のリスクを大幅に軽減できます」と述べています。

今後、専門家は、サプライチェーン攻撃が今後数年間で主要な脅威であり続けると予測しています。彼らは、組織が堅牢な脆弱性管理、サプライチェーンリスク評価、従業員のセキュリティ意識向上トレーニングなど、多層的なセキュリティアプローチを採用する必要性を強調しました。GuardianのようなAI搭載セキュリティツールの開発と展開も、進化する脅威に先んじるために不可欠であると考えられています。