プレイヤー別で考える半導体産業のサイバー脅威と防御戦略（前編）

1. はじめに――プレイヤーごとに脅威は異なる

半導体はAI、軍事、通信、暗号など幅広い分野に応用され、その供給を巡る競争は地政学上の重要課題です。このような背景のもと、近年のサイバー空間では、国家支援型グループや金銭目的のサイバー犯罪グループが半導体サプライチェーン全体を標的にしています。しかし、「半導体産業」全体をひとまとめにした議論は、実効性のある防御対策を打ち出すには不十分です。その理由として、半導体産業は図表1が示すように複数のプレイヤーから構成される産業構造を持つ点が挙げられます。

図表1：複数のプレイヤーから構成される半導体産業

上述した各プレイヤーが同じ半導体サプライチェーンに含まれていたとしても、攻撃者の観点から見た場合、各々の戦略的価値は大きく異なってきます。すなわち、「自社がどのプレイヤーに該当するか」によって、想定すべき脅威や守るべき情報資産にもある程度の違いが生じることが想定されます。このような問題意識から、本稿では、半導体サプライチェーンで大きな役割を担うファブレス、ファウンドリー、製造装置メーカー、部素材メーカーという4つのプレイヤーに焦点を当てながら、各プレイヤーに起こり得るサイバーリスクと有効な防御策について整理します。

2. ファブレス：国家競争力に直結する設計情報を狙う脅威

半導体産業の中で、ファブレス企業は製造設備を持たない一方で、製品競争力の源泉となる設計資産を保有するプレイヤーです。具体的には、回路設計データ、RTL、IPコア、検証環境、EDAツール上の設計フロー、顧客向け仕様情報、試作評価結果などが企業価値の中核を成します。攻撃者の観点から見れば、ファブレスは量産設備を止めるよりも、設計情報を窃取することで大きな利益を得やすい標的です。とりわけ、AI、HPC、通信、車載、軍民両用分野に関わる高性能半導体を手がける企業では、設計情報そのものが国家競争力や軍事技術優位に直結します。

また、ファブレスは外部のファウンドリー、OSAT、IPベンダー、EDAベンダー、設計受託先などと広く接続して業務を行うため、サプライチェーン経由の侵害や認証情報の窃取にも晒されやすいという特徴があります。つまり、ファブレスに対する脅威の本質は、機密性の高い設計資産が集中していることと、多数の外部連携を前提とする業務構造が攻撃面を広げていることにあります。

2-1. 攻撃者がファブレスを狙う動機

国家支援型グループにとってファブレスを標的にする理由は、先端半導体の競争力の源泉である設計資産を効率的に獲得できるからです。

• 回路設計データ（RTL、ネットリスト、レイアウト）
• AI・通信・暗号・防衛用途に関する仕様情報
• 自社開発IPや他社ライセンスIPの統合情報
• 検証環境、シミュレーション結果、不具合解析情報
• EDAフローや設計者アカウントなど開発基盤へのアクセス情報

こうした情報が窃取されれば、攻撃者は完成品をそのまま模倣できなくとも、設計能力の底上げ、開発期間の短縮、競合分析、軍民両用技術の把握に利用できます。

金銭目的のグループにとっても、ファブレスは知財・顧客情報・契約情報を多く抱え、かつ製品投入時期の遅延が業績に直結しやすいため、恐喝による高いリターンが期待できる標的です。特に設計データや未発表製品情報の公開を示唆する二重恐喝は、ブランド毀損と市場影響を同時に与えられる点で、ファブレスに対して大きな圧力となります。

2-2. ファブレスに対する攻撃事例

近年、ファブレス企業に対しては、サイバー犯罪グループによる不正アクセスや情報窃取の事例が複数確認されています。攻撃者が認証情報を悪用して開発環境や社内ネットワークへ侵入し、ソースコードを含む機密情報の一部を取得したうえでその一部を外部に公開した事例や、攻撃者が半導体設計企業のファームウェア、ソースコード、各種技術文書、顧客・従業員関連情報、事業計画に関わる情報などを含む内部データを入手したと主張するといった事例が報告されています。

このように、ファブレスに対する攻撃では、設計IP、ソースコード、認証情報といった資産が、換金、恐喝、再侵入、競争優位の獲得といった複数の目的に直結しやすい傾向があります。そのため、単純なシステム停止を目的とするよりも、まず情報を窃取し、その公開や流通を梃子として標的に圧力をかける攻撃が成立しやすいという特徴が見られます。

3. ファウンドリー：半導体量産体制の中心的存在を狙う脅威

半導体産業の中で、国家安全保障との結びつきが最も強いと考えられるのがファウンドリーです。ファウンドリーは設計情報を受け取り、実際に半導体を量産する製造拠点であり、先端ノードの供給体制を支える存在です。攻撃者から見れば「先端デバイスを現実の兵器・システムに実装できるかどうか」を左右する重要なプレイヤーです。

3-1. 攻撃者がファウンドリーを狙う動機

攻撃者にとってファウンドリーが魅力的な標的になり得る理由は、ファウンドリーが半導体量産体制の中心的役割を担っており、そのためのノウハウが蓄積されているからです。

• 歩留まり改善のノウハウ
• レシピ、プロセスウィンドウ
• 製造装置との統合制御情報（EAP、APC、MES連携情報）
• R&D関連資料（次世代ノード向けプロセス技術）
• 生産計画・需給情報（どの顧客向けにどのラインが動いているか）

こうした情報は、国家支援型グループにとっても、自国の製造能力を短期間で向上させるうえで極めて価値が高いものです。

あるいは、ファウンドリーそのものを稼働停止に追い込むことで、相手国の経済活動や防衛能力に影響を与えることも可能です。例えば、先端ロジック半導体は、AI演算、暗号技術、精密誘導兵器、衛星通信などに不可欠であり、軍民両用技術としての性格も強く持ちます。そのため、製造能力を有するファウンドリーは、攻撃者から単なる民間企業ではなく国家戦略上の資産として認識されている可能性を考慮する必要があります。

3-2. ファウンドリーに対する攻撃事例

ファウンドリーに関しては、ランサムウェアやマルウェア感染によって製造環境に影響が及んだ事例に加え、半導体製造企業やその関連組織を対象としたスパイ活動も報告されています。例えば、製造拠点に新規導入された機器や保守経路を起点としてマルウェアが工場内ネットワークに拡散し、複数の製造システムや装置に影響が生じた結果、一定期間の操業停止に至った事例があります。この種の事例では、標的型攻撃でなくても、工場ネットワークにおける接続管理や導入時の検査不備が大きな操業停止リスクにつながり得ることが示されています。

また、半導体製造機能を有する企業に対してランサムウェア攻撃が行われ、製造施設の一部に混乱が生じるとともに、窃取データの公開を伴う恐喝が行われた事例も確認されています。さらに、国家支援型グループが、半導体製造企業や関連組織になりすましたり、関連企業を踏み台にしたりすることで、知的財産や製造関連情報の窃取を試みたケースも報告されています。

4. 製造装置メーカー：半導体生産能力を左右する技術を狙う脅威

ファウンドリーが量産能力そのものであるとすれば、製造装置（SME：Semiconductor Manufacturing Equipment）メーカーは、その能力の上限を規定するプレイヤーと言えます。露光装置、エッチング装置、成膜装置などの製造装置は、どの世代の半導体を製造できるかを決定づける重要な要素です。

4-1. 攻撃者が製造装置メーカーを狙う動機

とりわけ先端露光装置のように、世界的に供給が極端に限定された分野では、装置そのものが戦略的なボトルネックです。米国商務省の産業安全保障局（BIS）による対中輸出規制強化（先端ロジックや製造装置の対中規制、Entity Listの拡大など）は、「特定世代以上の装置を渡さないことで、相手国が製造できるノードの上限を制御する」という発想に基づいています*。これは、「制裁や輸出管理により正規ルートでの調達が制約された国」の国家支援型グループから見た場合、装置メーカーを標的にする1つの動機になる可能性があります。すなわち、競合国の半導体生産能力を支える装置に関する技術情報を窃取することで、自国の生産能力の向上につなげるという動機が働くということです。

製造装置メーカーは国家戦略上の標的であると同時に、システム停止による影響が大きく長期稼働を前提とした製造・制御システムを抱えるため、金銭目的のグループによる攻撃の標的にもなります。装置の供給停止が半導体の生産にも直結するため、支払いインセンティブが高いという意味で、中堅から大手の装置メーカーは狙われやすいと考えられます。

4-2. 製造装置メーカーに対する攻撃事例

製造装置メーカーもファウンドリーと同様に、国家支援型アクターなどによる技術情報の窃取と、サイバー犯罪グループによる操業妨害という2つのサイバーリスクを抱えています。例えば、政府機関が半導体製造装置関連企業に対する継続的な侵入事例を公表している国もあり、その中では、設計管理系のサーバーやセキュリティ関連サーバーが侵害され、製品設計図、製造設備に関する情報、現場写真などの機密情報が窃取されたとされています。これは、装置メーカーが保有する情報が、装置そのものの再現、模倣、性能把握、あるいは保守・運用面の理解に資するため、国家支援型アクターにとって高い価値を持つことを示しています。

一方で、装置メーカーがランサムウェア被害を受け、一部の業務システムや生産関連システムに影響が及んだことから、封じ込めのために一部拠点の操業を一時停止したという事例も報告されています。この種のインシデントは、装置メーカー単体の問題にとどまらず、顧客である半導体メーカーや関連サプライヤーの納期・保守・増設計画にも影響します。

5. 部素材メーカー：複数産業にまたがる材料技術を狙う脅威

部素材メーカーは、高純度シリコンウェハ、フォトレジスト、特殊ガス、スラリー、薬液などを提供し、半導体製造を支える不可欠な存在です。したがって、部素材メーカーが半導体産業に関心のある攻撃者によって標的にされるケースがあります。

5-1. 攻撃者が部素材メーカーを狙う動機

部素材メーカーは、半導体だけでなく他の産業を狙うアクターの対象にもなり得ます。その理由として、部素材メーカーの中には半導体のみならず、

• 電池・エネルギー
• 軍需・航空宇宙
• 一般化学・医療
• ディスプレイ・光学機器

といった複数産業にまたがって利用される技術を有していることも多い点が挙げられます。つまり、同じ企業内に「半導体向け材料」と「半導体以外の用途を想定した材料」が併存しているケースが一般的です。そのため、サイバー攻撃は必ずしも「半導体そのもの」を目的とするとは限りません。言い換えれば、複数産業に利用されるために、半導体以外の分野を標的とする攻撃グループも自社の脅威となり得るという点を認識する必要があります。その結果、自社が向き合う脅威アクターの種類が増え、守り方の設計が難しくなります。国家支援型グループだけでなく、医療分野を狙うランサムウェアや、化学プラントを標的とする産業制御系マルウェアなど、異なる動機や目的を持つ攻撃が重なり合う可能性を前提にした防御設計が必要になります。

他方で、部素材の製造工程で用いられる電子機器も、薬品、ガス、ウェハ、研磨材といった素材そのものとは異なるリスクを有する点にも留意が必要です。ここでいう電子機器には、温度制御装置、モーター制御機器、精密測定装置、粒径測定装置、攪拌制御装置、品質検査装置、各種検査装置などが含まれ、フォトマスクのような一部の部素材の製造では電子線描画装置も用いられます。これらは内部にソフトウェアやファームウェアを実装し、ネットワーク接続、ログ取得、外部ベンダーによるリモート保守、設定変更、ソフトウェアやファームウェアのアップデート適用などを伴う場合が少なくありません。そのため、配合情報や製造条件に関する情報の保護だけでなく、脆弱性管理、認証管理、リモートアクセス管理、改ざん防止、停止時の復旧を含む、機器・システム起点のサイバーリスク管理も求められます。

5-2. 部素材メーカーに対する攻撃事例

部素材メーカーについても、情報窃取型のランサムウェア攻撃や、不正アクセスに起因する生産・出荷停止の事例が確認されています。先端材料を扱う企業に対するランサムウェア攻撃において、攻撃者が財務、人事、採用、契約、研究開発、技術文書、顧客関連情報など多岐にわたるデータを大量に窃取したと主張した事例があります。これは、部素材メーカーが製造条件や配合情報だけでなく、契約・人事・研究開発といった周辺情報も含めて広範な恐喝対象となり得ることを示しています。

また、半導体向け材料を扱う企業が不正アクセスを受け、社内システムの停止や一部製品の生産・出荷見合わせを余儀なくされたケースもあります。さらに、主力事業は半導体以外にあるものの、半導体製造向け材料も手がける企業がサイバー攻撃を受け、複数拠点でシステム障害が発生した例もあります。これらの事例について、攻撃者が半導体製造への関与を理由に標的化したのか、それとも主力事業への関心から標的に選定したのかは明らかではありません。いずれにしても、他のプレイヤーと比べると、部素材メーカーは想定すべき攻撃者像の幅が必然的に広がりやすい点に留意が必要です。

6. 日本企業への示唆

本稿では、ファブレス、ファウンドリー、製造装置、部素材という4つのプレイヤーごとに、攻撃者の動機や標的となる資産、被害の現れ方が異なることを示しました（図表2）。他方で、攻撃事例を踏まえると、半導体関連企業が想定すべきサイバー攻撃の直接的な影響は、大きく「機密情報・知的資産の窃取」と「生産・出荷・保守を含む事業体制の一時停止・混乱」の2つに整理できます。さらに、これらに伴って、顧客への影響、レピュテーションの低下、財務損失、サプライチェーン全体への波及といった二次的被害が発生し得る点にも留意が必要です。

そのうえで、日本企業に求められるのは、自社が半導体サプライチェーンのどのプレイヤーに位置し、国家の半導体量産体制や供給継続にどの程度関与しているのかを正確に把握したうえで、「何が盗まれ、どこが止まると事業継続に最も影響するのか」を明確にし、それに応じた防御戦略を設計することです（図表3）。

図表3：半導体産業を構成する各プレイヤーに推奨される防御戦略

半導体産業においては、「守るべきもの」は単に情報資産だけではなく、量産能力、供給継続能力、顧客との信頼関係、さらには国家戦略上の優位性そのものに及びます。日本企業は、自社の業態に応じて、情報窃取対策と操業・供給停止対策のどちらに重心を置くべきかを見極めつつ、両者を切り分けずに統合的なサイバー防御戦略として設計していくことが肝要です。

後編では、前編で整理したプレイヤー別の脅威像をさらに具体化するため、近年観測された半導体産業を標的とした攻撃キャンペーンの事例を解説します。そのうえで、これらの事例から合理的に想定される初期侵入から目的遂行までの一連の攻撃シナリオを導出することで、国内半導体業界向けの示唆を提示します。

* Bureau of Industry and Security. “Commerce Strengthens Export Controls to Restrict China’s Capability to Produce Advanced Semiconductors for Military Applications” (December 2, 2024)