中国関連のハッカーが台湾の半導体企業を標的に協調的なスパイ活動を展開

中国の国家支援ハッカーが台湾の半導体産業に対して高度なスパイ活動を開始し、断続的な攻撃から持続的かつ協調的な作戦へと劇的にエスカレートしています。

2025年3月から6月にかけて、3つの異なる脅威グループが、半導体メーカー、サプライチェーン企業、金融アナリストを標的に、重要な知的財産や市場インテリジェンスを盗むための協調的なスパイ活動を行っていたことが、研究者の報告で明らかになりました。

サイバーセキュリティ企業Proofpointの調査によると、これらの作戦は前例のない協調性と高度な手法を示しています。「標的となった企業は中規模企業から世界的な大企業まで多岐にわたります」とProofpointの脅威リサーチャー、マーク・ケリー氏は述べています。

ケリー氏はさらに、「標的は従来の半導体企業だけでなく、台湾半導体投資分析を専門とする大手国際投資会社の個人にも及んでいます」と付け加えました。

この攻勢は、米国による半導体輸出規制が中国の先端半導体製造技術へのアクセスを制限し、中国への圧力が高まる中で発生しています。台湾は世界で最も先進的な半導体製造能力を有しており、中国が技術的自立を目指す中で主要な標的となっています。

高度な脅威アクターの協調

セキュリティ専門家は、これらの作戦が中国のサイバー活動の顕著な進化を示していると指摘します。「このエスカレーションは、以前の作戦と比べて高度化と集中度の大幅な上昇を示しています」とCloudSEKのリサーチャー、イブラヒム・サイフィ氏は述べています。「過去の作戦がより広範囲だったのに対し、現在の侵入はより精密で隠密、かつ中国の国家的な半導体開発方針と一致しています。」

TechInsightsの半導体アナリスト、マニッシュ・ラワット氏は、攻撃の協調性を強調しました。「複数の中国国家系脅威アクターが並行して活動しており、戦略的な協調推進を示唆しています」と同氏は述べています。「この変化は、一般的な知的財産の窃取から、より精密で人を標的とした侵入への移行を示しています。」

ある作戦では、ハッカーが台湾の大学の就職活動中の大学院生になりすましていました。研究者はこのグループをUNK_FistBumpと名付け、雇用関連の誘いを使って半導体組織を標的にしました。「就職活動中の大学院生になりすまし、攻撃者は侵害された台湾の大学のメールアドレスを使って、リクルートや人事担当者にフィッシングメールを送信しました」と研究者は報告書で述べています。

攻撃は繁体字中国語の件名を特徴とし、UNK_FistBumpの作戦では、1つのアーカイブに2つの感染チェーン（Cobalt Strikeの展開とカスタムVoldemortバックドアの配布）が含まれる二重ペイロード方式が用いられました。

投資銀行も標的に

2つ目のグループ、UNK_DropPitchは、台湾の半導体産業を取り巻く金融エコシステムを標的にしました。このグループは投資銀行に対してフィッシング作戦を行い、台湾半導体分析を専門とする個人に焦点を当てました。フィッシングメールは、架空の金融会社からの協業提案を装っていました。

3つ目のグループ、UNK_SparkyCarpは、カスタムの中間者攻撃フレームワークを用いた高度なフィッシングキットによる認証情報の窃取に注力し、台湾の半導体企業を標的にアカウントログインのセキュリティ警告を装ったメールを送信していました。

標的のパターンは、中国が情報収集に包括的なアプローチを取っていることを示しています。ラワット氏は、スパイ活動の焦点が従来の半導体メーカーだけでなく「テスト会社、サプライチェーン企業、さらには金融アナリストにまで及び、バリューチェーン全体を把握し市場動向を予測しようとする広範な試みを示している」と指摘しました。

これはサイフィ氏が「サイバー作戦が力の増幅装置となり、研究開発サイクルを短縮し、先進的な製造プロセスを模倣し、競合他社を弱体化させるために使われている」と表現した状況を示しています。

地政学的な技術競争

標的の強化は、米中間の技術競争の激化を反映しています。

「米中間では半導体へのアクセスを禁止する輸出規制の強化とともに、技術的な“冷戦”が進行しています」とCounterpoint Researchのリサーチ担当副社長、ニール・シャー氏は述べています。「両国とも自給自足を目指しており、半導体は新たな原油、AIは新たな石油となっています。」

バイデン政権は中国の先端半導体や製造装置へのアクセスを制限する大規模な輸出規制を課し、中国に対し国内での代替開発や他の手段による海外技術の獲得を強く迫っています。

ケリー氏は「この活動は中国の長期的な半導体自給自足目標と一致しており、国際的な輸出規制によってさらに拍車がかかっている可能性があります」と指摘しました。攻撃は特定の地域に集中せず、台湾全域に及んでいました。

企業向けセキュリティ推奨事項

セキュリティ専門家は、半導体企業がサイバーセキュリティのアプローチを根本的に見直す必要があると強調しています。「半導体業界の企業は、今や地政学的なサイバー戦争の最前線にいることを認識しなければなりません」とサイフィ氏は述べています。

ラワット氏は、企業が「従来のコンプライアンス重視のサイバーセキュリティから、積極的かつインテリジェンス主導の防御へと進化する」ことを推奨しました。特に、雇用をテーマにしたフィッシング作戦で悪用されている内部脅威や人事プラットフォームの監視強化を強調しています。

主な防御策としては、ITと運用技術のセキュリティのギャップを埋めること、ソフトウェアサプライチェーンのセキュリティ強化、政府機関や業界仲間とのインテリジェンス共有ネットワークへの積極的な参加が挙げられます。

これらの作戦は高度でしたが、早期発見によって被害は限定的でした。「Proofpointは標的となったすべての組織にこの活動を通知しており、これらの作戦による侵害は確認されていません」とケリー氏は述べています。

しかし、脅威は依然として継続・進化しています。ケリー氏はProofpointが「現時点でも脅威は継続中と見ている」と述べました。

半導体業界は今や、より広範なデジタル戦場の中心に置かれています。シャー氏の言葉を借りれば「台湾は残念ながらこの戦いの真っただ中にいる」のです。輸出規制や技術競争が激化する中、サイバーセキュリティの専門家は、これらの高度なスパイ活動が今後も範囲・巧妙さともに進化し続けると予想しています。