AIサプライチェーン攻撃が50日間で4件発生｜OpenAI・Anthropic・Metaが標的に—日本企業がAI調達先のセキュリティを今すぐ見直すべき理由

2026年5月から6月にかけての約50日間で、OpenAI・Anthropic・MetaのAIリリースパイプラインを標的としたサプライチェーン攻撃が4件確認されました（出典：VentureBeat）。生成AIモデルを業務利用する企業が世界で急増する中、AIベンダーの開発・リリース基盤そのものが攻撃者の標的になる事態が現実のものとなっています。

何が起きたのか

「AIサプライチェーン」とは何か、なぜ攻撃されるのか

「AIサプライチェーン」とは、AIモデルの学習データ・開発ツール・ライブラリ・リリース配布基盤など、モデルが利用者に届くまでの一連のパイプラインを指します（出典：VentureBeat）。従来のソフトウェア供給網攻撃（SolarWinds事件など）と同様に、広く利用されるAIシステムの開発・配布基盤への侵害は、そのモデルを利用するすべての企業・個人に影響が波及するリスクを持ちます。VentureBeatが報じた今回の4件は、OpenAI・Anthropic・Metaという生成AI市場を代表する3社がいずれも対象となっており、特定のベンダーに限らず業界全体のリリース基盤が狙われていることを示しています。

なぜ今、AIリリースパイプラインが狙われるのか

背景には2つの要因があります。第一に、AIモデルの活用が世界中の企業で急拡大し、主要ベンダーのモデルが重要業務に組み込まれるケースが増えたことです。モデルや推論APIに悪意のある変更が加えられた場合、その影響は下流のすべての利用企業に及ぶため、攻撃者にとって費用対効果の高い標的となりつつあります。第二に、LLMのリリースサイクルが急速に短縮されており（週次・月次リリースが常態化）、セキュリティレビューの速度がリリース速度に追いつきにくい状況が生まれていると見られます。

ベンダーセキュリティ評価マトリクスの活用を推奨

VentureBeatはこれらの事件を受け、AIベンダーを評価する際の「ベンダーセキュリティ評価マトリクス（Vendor Questionnaire Matrix）」の活用を推奨しています（出典：VentureBeat）。評価軸として以下のような項目が挙げられています。

• モデルの学習データの出所・完全性の検証体制
• リリースパイプラインへのアクセス権限管理（最小権限の原則の適用状況）
• サードパーティ依存ライブラリのセキュリティレビュー体制
• インシデント発生時の情報開示ポリシーと通知タイムライン
• SOC 2 Type II・ISO 27001等のサードパーティ認証の取得状況

AIモデルを直接開発するベンダーだけでなく、APIやSaaSとして外部AIを利用するすべての企業が、調達先ベンダーのセキュリティ体制を問い合わせ・評価する姿勢を持つことが求められ始めています。

日本への影響・ビジネス活用ヒント

• 複数のAIベンダーを利用している企業は「AI利用ベンダーリスト」を棚卸しする：ChatGPT API・Claude API・Gemini APIなど複数のAIサービスを利用している場合、それぞれのベンダーのリリースパイプラインセキュリティを横断的に把握することが難しくなっています。まず利用中のAIベンダー一覧を整理し、各社のセキュリティ開示資料（CAIQ・SOC 2報告書・ペネトレーションテスト結果の提供可否）を確認することを第一歩として推奨します。
• 社内AI利用ガイドラインにサプライチェーンリスクの視点を追加する：多くの日本企業はすでに「社内AI利用ガイドライン」を策定していますが、AIベンダーのリリースパイプラインリスクに言及した文書は少ない段階と見られます。情報セキュリティ部門と連携し、新規AIツール採用審査にサプライチェーンリスク評価項目を追加することを検討してください。
• 重要業務へのAI活用では冗長性設計を取り入れる：特定のAIベンダーへの依存度が高い業務プロセスは、そのベンダーがサプライチェーン攻撃を受けた場合の影響が大きくなります。複数ベンダーへの分散活用、またはオンプレミス型モデルの併用といった冗長性設計を、システム設計段階から組み込むことが有効と見られます。