包囲下のシリコン：国家主導のハッカーが半導体サプライチェーンを標的に

サイバーセキュリティ企業CloudSEKが水曜日に発表した新たな調査によると、世界の半導体産業を標的としたサイバー攻撃は2022年以降600%以上増加し、2018年以降のランサムウェアによる損失は10億5000万ドルを超えたことが確認された。

この包括的な脅威状況レポートは、半導体関連のサイバーインシデントが孤立した出来事から地政学的緊張を背景とした組織的なキャンペーンへと進化した経緯を記録している。

「半導体競争はもはや単なる技術的な競争ではなく、世界の勢力均衡における戦略的な断層線となっている」と、レポート「包囲下のシリコン：世界の半導体産業を再構築するサイバー戦争」は述べている。

この激化は、個々の企業に前例のない財務リスクをもたらしている。レポートによれば、2023年に台湾積体電路製造（TSMC）が受けた単一の攻撃では、AppleのiPhone製造向け主要部品の生産が停止し、推定2億5600万ドルの損失が発生した。

地政学的競争がサイバー諜報活動を加速

攻撃の急増は、主要国間で激化する技術競争に起因しており、半導体が経済的・軍事的覇権をめぐる新たな戦場となっている。米中の半導体紛争は世界の半導体サプライチェーンを分断し、世界の半導体の60%以上を生産する台湾がその中心に位置している。

中国は西側技術への依存を減らし、半導体の自給自足を達成するために1500億ドル以上を投資しており、これが半導体の知的財産を標的としたサイバー諜報活動を激化させている。一方、米国の520億ドル規模のCHIPS法は、先端製造の国内回帰と中国の最先端半導体技術へのアクセス制限を目指している。

「この競争の激化が、長期的な潜入を目的としたサイバーキャンペーンを促進している」とCloudSEKのレポートは指摘し、APTグループがソフトウェアパイプライン、設計ツール、製造オペレーションに持続的なアクセスを埋め込み、技術的機密を盗み、将来的な妨害に備えている様子を説明している。

台湾の戦略的な立場は特に標的となっている。島国の半導体支配は、アジア太平洋地域における米軍の存在を強化し、中国の潜在的な侵略を抑止する一方で、台湾の半導体企業を自国の技術開発を加速させたい国家支援のハッカーにとって高価値な諜報ターゲットにしているとレポートは述べている。

「半導体は防衛システムやAIプラットフォームからエネルギー網、家電製品に至るまで、あらゆるものを動かしている。その流れが途絶えれば、複数の産業や国家に波及する可能性がある」とCloudSEKのセキュリティアナリスト、イブラヒム・サイフィ氏は述べている。

財務的影響は前例のないレベルに

個々の企業の損失を超えて、より広範な脅威状況はシステム全体の脆弱性を明らかにしている。CloudSEKは、米国内に約200万件の半導体関連産業用制御システム（ICS）資産がインターネット経由で公開されており、その多くがデフォルトまたは弱いセキュリティ設定のままであることを発見した。

サイフィ氏によれば、企業の露出度は3つの要素に依存するという。「依存度の集中――単一のファブ、EDAベンダー、または高リスク地域のTier1/Tier2サプライヤーへの過度な依存はリスクを劇的に増大させる」。他の要素としてはIT-OTの相互接続性や組織の戦略的プロファイルが挙げられる。

「サイバー攻撃者が半導体分野をますます標的にしているのは、ここが世界の技術、経済力、国家安全保障の交差点に位置しているからだ」とサイフィ氏は説明する。

国家主導アクターが攻撃急増を牽引

この戦略的な標的化は、最近の注目度の高いキャンペーンで明らかとなった。レポートによれば、台湾の国家通信・サイバーセキュリティセンターは、中国支援のAPT41が2025年7月に少なくとも6つの半導体関連組織（チップ設計会社、ファウンドリ、装置メーカーを含む）に侵入したことを確認した。

「広く使われている産業用制御アプリケーションの改ざんされたソフトウェアアップデートを通じて侵入し、その後クロスプラットフォームのバックドアを設置、認証情報を収集し、数週間にわたり数百GBの知的財産を通常の暗号化クラウドトラフィックに紛れて流出させた」とサイフィ氏は述べている。

攻撃者は、デュアルOSバックドア、冗長なコマンド＆コントロール基盤、盗まれたドメイン認証情報を使い、ほぼ2か月間にわたり持続的な侵入を維持した。「これは妨害ではなく、知的財産中心の諜報活動だった」とサイフィ氏は説明する。「チップを製造していない企業であっても、ソフトウェアアップデートやサプライヤー経由でリスクを引き継ぐことになる。」

他の国家主導グループも同様の手法を採用している。ロシアのSandwormグループはウクライナ紛争中に高度な運用技術攻撃を実演し、中国のVolt Typhoonグループは米国の半導体製造施設を支える重要インフラに足場を築いた。

IT-OTの融合が新たな攻撃経路を生む

これらの高度なキャンペーンは、現代の半導体製造における根本的な脆弱性――情報技術（IT）と運用技術（OT）システムの融合――を突いている。CloudSEKは、産業用制御システムの侵害の60%以上が、フィッシングやVPNの悪用などITの脆弱性から始まり、その後攻撃者がOT環境へ横展開していることを発見した。

「ITインフラはその急増により、OT環境への主要な侵入経路となっている」とレポートは指摘している。

2023年11月のアリクイッパ水道局の侵害はこの脆弱性を示しており、攻撃者は水処理制御に接続されたインターネット公開システムのデフォルトパスワードを悪用した。「攻撃者はもはや脆弱性を突く必要がない。しばしば、ただログインしているだけだ」とレポートは述べている。

サプライチェーン侵害が業界全体に波及

半導体製造の相互接続性により、単一障害点がエコシステム全体に波及する可能性がある。2023年のMKSインスツルメンツへのランサムウェア攻撃は、Applied Materialsへの重要サプライヤーである同社を通じて、半導体エコシステム全体の製造・出荷ワークフローに混乱をもたらした。「グローバルに分散した業界では、ベンダーこそが攻撃対象面だ」とレポートは述べている。

これらの懸念に加え、CloudSEKの研究者はAIエージェントがチップ設計時にハードウェアトロイの木馬を埋め込む悪意あるコードを生成できることを実証し、シリコンに刻まれた時点で恒久的な脆弱性が生じることを示した。実証実験では「特定の入力が与えられたときのみ悪意あるモジュールが作動し、その時点で秘密鍵をビット単位で漏洩し始めた」という。

推奨される対策戦略

これらの脅威の激化を受け、サイフィ氏はCISOが30～60日以内に実施すべき3つの重要なステップを挙げている。クリーンルーム制御などの運用技術資産を含む半導体依存関係のマッピングと監視、IT-OT経路の分割と保護（接続の監査やリモートベンダーアクセスに多要素認証を強制）、サードパーティアクセスの強化（サプライヤーに公開資産のパッチ適用やソフトウェアアップデートの検証を義務付ける）である。

「公開されたインターフェースやデフォルト認証情報はすべて開かれたドアと見なすべきだ」とサイフィ氏は警告し、ネットワーク化された製造システムが攻撃者の横展開ポイントとなることを強調した。「ICSやOTシステムがグローバルサプライチェーンや国家インフラにますます統合される中、リスクはかつてないほど高まっている。」