サプライチェーンを標的にした国家支援によるサイバー攻撃

ますますグローバル化する経済において、サプライチェーンにおけるサイバーセキュリティの重要性は、いくら強調してもし過ぎるということはありません。国家支援の悪意のあるアクターは、深刻な混乱やデータ漏洩を引き起こす機会を数多く持っています。エレクトロニクスのサプライチェーン、特に半導体に携わる人々は、こうした脅威に対して警戒を怠らないようにしなければなりません。

増加するサイバー犯罪

商取引のバーチャル化が進むにつれ、サイバー攻撃は増加の一途をたどっています。サプライチェーンのサイバー攻撃を監視および追跡するResilincのEventWatchでは、2024年の最初の11か月間で738件もの攻撃を記録しました。2024年前半では、2023年の前半と比較して攻撃が21%増加しました。2019年初頭から2024年初頭までの5年間で、サイバー攻撃の警告件数は1,375%増加しました^[1]。攻撃の増加は、IT人材不足とオンライン活動の増加によるギャップに起因しています。

サイバー攻撃の一部は、政治的、経済的、軍事的利益を追求するために、政府によって開始または支援されています。これらの攻撃は、他国政府、重要なインフラ、大企業、または主要産業を標的にすることが多いです。Crowdstrike社によると、テクノロジー業界がトップ10で最も標的にされやすく、地理的には北米が圧倒的に標的にされやすいことがわかっています（図1）。

図1：テクノロジー業界がトップ10で最も標的にされやすい業界であり、地理的には北米が最も標的にされやすい地域です。（画像提供：Crowdstrike）

国家主体とは、政府または国家の代理として、またはその支援を受けて行動する個人やグループを指し、金銭的な利益を目的とせずにこの戦場に足を踏み入れます。その代わり、これらの攻撃者は機密情報の収集、重要なインフラの破壊、世論誘導などを目的としています。グローバルなサプライチェーンにおいては、これは商品生産および流通を行う組織を標的とした悪意ある行為につながります。ほぼすべての国が、国家が支援するサイバーセキュリティ攻撃に関与する可能性があります。

ソフトウェアおよびハードウェア

国家主体によるサイバー攻撃には、テクノロジーのサプライチェーンに対する2つの異なる攻撃ベクトルがあります。まず、上流のサードパーティベンダーやサービスプロバイダを悪用することで、攻撃者は、ユーザーがさまざまな潜在的なターゲットに対してソフトウェアをインストールする際に、システムに侵入することができます（図2）。次に、ソフトウェア開発者は、効率性や革新性を追求し、市場に迅速に投入するために、オープンソースコードを頻繁に利用しています。これらの共有リソースに侵入することで、悪意のあるアクターは足がかりを得て、広範囲にわたる混乱を引き起こすことができます。

図2：脅威アクターは、上流に移動してサードパーティのソフトウェアアプリケーションに侵入することで、攻撃ベクトルを増やしています。（画像提供：Darktrace）

国家主体は、このようなアプローチを採用するケースが増えています。Gartnerによると、独自および商用コードを含むソフトウェアサプライチェーン攻撃は、組織に重大なセキュリティ、規制、および運用上のリスクをもたらします³。この調査会社は、これらの攻撃に関連するコストは、2023年の460億ドルから2031年には1380億ドルに増加すると予測しています。

ハードウェアは、国家主体の脅威アクターにとって、別の攻撃ベクトルとなります。悪意のあるアクターは、デバイスのハードウェアやファームウェアを改ざんすることで、エンドユーザーのデータを標的にすることができ、サプライチェーンはマルウェアを侵入させる潜在的な弱点となります。HPの最近の調査によると、ほぼ5社に1社（19%）が、PC、ラップトップ、プリンタのサプライチェーンを標的とする国家主体の脅威アクターによる影響を受けています⁴。米国では、この数字は29％とかなり高くなっています。

どうすればよいか

サプライチェーンにおけるサイバーセキュリティは、OEMにとって明らかに最優先事項であるべきです。攻撃の複雑性と巧妙性が高まるにつれ、業界全体で協力して、脅威に対処する必要があります。OEMは個別に、データの暗号化、強力なアクセス制御の実施、定期的なソフトウェア更新、従業員研修、継続的な監視など、さまざまなツールを使用して、高まる脅威レベルを緩和する必要があります。

業界レベルでは、今年初めにSEMIサイバーセキュリティコンソーシアムが発足しました。その使命は、サイバーセキュリティを改善し、実用的なソリューションの導入を加速させるために、標準に基づく業界全体のアプローチを開発し、推進することです。このコンソーシアムは、今後1年間に次の3つの主要な行動に重点的に取り組むことを約束しています⁵。

• 最近の移行から得られた教訓を取り入れ、オープンなコラボレーションを推進する、サイバーセキュリティのための強固なフレームワークを開発します。
• サプライチェーン全体のサイバーセキュリティの強さを評価し、エコシステムネットワークをより良く保護する対策を実施するための、半導体業界に特化したフレームワークを作成します。
• セキュリティプロトコルを最新化し、SEMIを通じた協力的な情報共有を促進するために、自動車や医療などの業界のベストプラクティスを取り入れます。

国家による脅威が高まり、エレクトロニクスのサプライチェーンにおける攻撃ベクトルがますます多様化しています。一方、サイバー攻撃者はますます巧妙になっています。優れたサイバーセキュリティの実践と業界の協力体制の強化の組み合わせが、その影響を軽減するのに役立ちます。

参考

1：https://www.resilinc.com/learning-center/white-papers-reports/resilinc-special-report-supply-chain-strategies-for-addressing-global-cybersecurity-threats/

2：https://go.crowdstrike.com/global-threat-report-2024.html

3：https://www.gartner.com/en/documents/5524495

4：https://www.hp.com/us-en/newsroom/press-releases/2024/hp-wolf-security-study-supply-chains.html

5：https://www.semi.org/en/blogs/technology-and-trends/new-semi-cybersecurity-consortium-sets-out-to-strengthen-semiconductor-manufacturing-supply-chain-network-protections