半導体業界に対する潜在的なサイバー脅威には、知的財産の窃盗や、サプライチェーン攻撃、ランサムウェア攻撃などがあります。
これらの脅威は、業界の機密情報や半導体製造現場の生産能力に深刻な影響を与える可能性があります。
そこで本記事では、半導体メーカーが直面する潜在的な脅威とは何か、またその脅威を軽減する方法について解説します。
半導体業界の背景
世界の電子市場(PC、マルチメディア、ネットワーク、通信デバイス)の需要の急増により、世界の半導体市場の収益は新たなピークに達しています。
半導体業界のサプライチェーンは、業界固有のニーズをサポートするために高度に専門化されています。この専門化を業界のバリューチェーンに落とし込むと「上流」「中流」「下流」に分けられます。
上流:集積回路(IC)の設計やレイアウト
中流:IC製造(ウエハー製造および処理とも呼ばれ、最も資本と技術が集中する)
下流:集積回路(IC)のパッケージングと性能テスト
最終的に製品を完成させるには、PCBモジュールや基板アセンブリなどの周辺産業が必要です。
半導体産業の専門化により、企業は顧客の製品要件に従ってさまざまな市場に焦点を当てています。
たとえば、Qualcomm、Broadcom、MediaTekなどのIC設計会社は、さまざまな製品開発ニーズに応じて、適切な知的財産(IP)ツールや電子設計自動化(EDA)ツールを選択します。
ウエハー製造および組立ベンダーは、プロセス制御を改善するために、適切な半導体材料および装置のサプライヤーを選択します。代表的な企業としては、TSMC、Samsung、GlobalFoundries、ASE、Amkorなどが挙げられます。
図 1. 半導体産業のエコシステムの概要
サイバー攻撃や、テロリズム、伝染病などによる、重要な製造業の可用性や完全性への影響を軽減するため、バイデン米国大統領は2021年に米国の半導体サプライチェーンを見直すよう求めました[1]。そのため、半導体業界は、エコシステム内のサプライヤー、装置メーカー、パートナー経由の脅威を十分に理解し、将来のリスクに確実に備える必要があります。
半導体メーカーが直面する脅威
半導体業界の各生産活動では、プロセス、計測、マテリアルハンドリング機器などの多くの重要な資産を購入するために巨額の資本を投資する必要があります。機器に必要なサーバーやコントローラーも含まれます。
たとえば、300mmウエハーの製造には少なくとも20億米ドルの資本支出と7億米ドルの営業支出が必要です。
フォトリソグラフィーステッパー1台の製造には1億米ドル以上かかります。この装置製造プロセスは完了までに少なくとも15か月かかりますが、これは半導体製造プロセスに必要な多数ある装置の1つにすぎません[2][3]。
同時に、半導体製造には産業の専門化が必要であるため、ある企業が別の企業に簡単に取って代わられることはありません。
ある企業がランサムウェア攻撃に遭遇すると、特定の生産ラインが中断され、さらには電子業界全体に影響を与える可能性があります。
半導体業界の上流組織と下流組織は緊密に連携しているため、自社の工場を保護するだけでサイバーセキュリティを確保することは困難であり、サプライチェーン攻撃のリスクにも対応する必要があります。
TXOne Networksは、議論の範囲に焦点を当てるために、半導体業界の中核であるウエハー製造、その上流および下流の製品設計および後工程の段階にある企業の現状とサプライチェーンを分析し、次の潜在的な脅威を発見しました。
1. 未承認または不明のEDAツールのインストールによる脆弱攻撃
IC設計段階では、EDAソフトウェアの価格が高いため、中小企業は各IC設計者向けの開発ソフトウェアパッケージのセットを購入する余裕がありません。したがって、中小企業では、IC設計者がリモート接続と併用できるように、サーバーにEDAソフトウェアを1セットだけインストールすることがよくあります。
ただし、サーバーへのアクセス権を持たないインターンやエンジニアの中には、設計スキルを学ぶために学校の教育制度を利用することや、正体不明のEDAソフトウェアを自分のパソコンにインストールしようとする場合があります。この場合、信頼できる業務担当者が正当な整合性を保つデバイスを持たずに、自分のコンピュータをITまたはOTネットワークに持ち込むことで、企業はサイバーセキュリティのリスクに直面することになります。
2020年以降、在宅勤務の需要が高まったため、IC設計会社は現場で作業する要員を必要とせず、エンジニアはVPN接続メカニズムを使用できるため、攻撃者はより多くの攻撃ベクトルを得ることができるようになりました。たとえば、IC、システムオンチップ(SoC)、プリント基板を設計するためのEDAソフトウェアの製造を専門とするケイデンスは、2021年にLog4j脆弱性の影響を受けます[4]。そのため、完全に隔離できないネットワーク環境では、適切な脆弱性管理が必要となります。完全に分離できないネットワーク環境では、エンタープライズソフトウェアサーバーが適切な脆弱性管理を行う必要があることを示すには十分です。
さらに、重要な各資産の価格が高いことから、中小規模のIC設計会社は開発、処理、テストに必要な機器を購入できない可能性があるため、事業の一部を他のメーカーに委託することになります。たとえば、資本が限られているIC設計会社は、パッケージングとテスト作業を半導体組立てテスト(OSAT)工場に委託して利益を最大化し、製品が顧客のニーズを満たしていることを確認するために自社のウエハーで最終テストを実行します。
この場合、半導体パッケージングおよびテスト工場の担当者がテスト環境をセットアップし、遠隔操作のための機器へのリモート接続サービスを直接提供します。一部の半導体テスト装置はレガシー機器と呼ばれる10年以上前のものです。これにより、攻撃者はレガシー機器の高リスクの脆弱性を悪用する機会が増えます。
さらに深刻なことに、半導体パッケージングおよびテスト工場の効率を向上させるために、多くの機器が相互に接続され、テストソフトウェアを共有するようになるでしょう。したがって、1つの資産が攻撃を受けると、接続されているすべての生産ライン機器に影響が及ぶ可能性があります。
2. 製造装置のメンテナンスのための危険なリモート接続を狙った攻撃
使用される重要な資産のほとんどは、半導体のフロントエンドプロセス、またバックエンドプロセスの段階に関係なく、正確に設計されており、所有者がプログラムを使用して変更を加えることはできません。これにより、情報セキュリティ保護の観点から、機器に資産を直接展開することができなくなります。また、セキュリティソフトウェアにより、一般的なIT情報セキュリティソリューションをOT環境に適用することが困難になります。
機器の修理やトラブルシューティングが必要な場合は、機器メーカーの支援が必要です。機器メーカーが問題を迅速に把握できるようにするために、一部のメーカーは資産を管理用に公開するリモートサービス方式を使用します。この段階で攻撃者が接続に必要なトークンを入手できた場合、OT環境全体に影響を及ぼします。
世界最大の半導体装置メーカーであるASMLも、攻撃未遂やデータ盗難などの事件を報告しています[5][6]。さらに、デバイスメーカーは洗練されたハイテク製品を保有し、世界の先進的なチップ製造プロセスの重要なノウハウを保持しているため、国家支援のハッキンググループのターゲットになりやすくなっています。
3. 内部関係者の脅威によって引き起こされるAPT攻撃
半導体産業は1980年代にグローバル化が始まり、製品と事業における半導体産業の役割は、世界経済のあらゆる業界のリーダーにとって極めて重要です。例えば、チップの組み立てと最終テスト工程はどちらも多大な労力を必要とするため、多くの欧米企業は低コストの製造拠点の確保や地方自治体の支援を得るため、早くから東南アジアや東ヨーロッパに工場を設立しました[3]。一般に、企業が大規模になればなるほど、従業員の機密情報の管理は難しくなります。Advanced Persistent Threat(APT)攻撃は、スパイ行為を行う従業員が、サイバーインシデントをさらに進めるために機器を操作した場合に発生することがあります。
4. リモートアクセスにおける弱いセキュリティ制御とガバナンス
ほとんどのICファウンドリは、アウトソーシングしたファウンドリパートナーにリモートアクセスサーバーを提供し、両者がプロセスの進捗状況を即座に把握できるようにしています。
このシナリオでは、工場間のネットワークでは、相互接続された生産施設が単一の仮想プラントとして動作する必要があります。企業が適切なサイバーセキュリティ技術管理とガバナンスを怠った場合、ファウンドリがリスクにさらされ、さらにはサプライチェーンの安定性に影響を与える可能性があります。
5. 脆弱性管理プラットフォーム不足を狙ったマルウェア攻撃
300mmウエハーの製造には、8,000~15,000のエンドポイントデバイスを含む約250~300の重要な資産があります。[2]このような大規模でパッチが適用されていない環境は、簡単にマルウェアの温床になる可能性があります。エンジニアは、初期段階でそれを検出し、多数のデバイスを管理するための一元化された視覚的な管理プラットフォームを必要としています。
さらに、多くの重要な資産は高度すぎるため、エンジニアは資産の実際のソフトウェア構成を理解できません。したがって、ネットワークおよびシステムログイベントの記録を除き、資産所有者が新たに発見された脆弱性に迅速に対応し、それに応じて組織の軽減計画を実行できるように、資産のソフトウェア部品表(SBOM)[7]も理解する必要があります。
半導体業界に対する潜在的な脅威を軽減する方法
上で述べたように、半導体産業チェーン内の企業は高度に連携しており、サプライチェーンのセキュリティはすでに半導体業界が十分に理解し、対応しなければならない問題となっています。
米国国立標準技術研究所(NIST)は、文書SP800-161r1の新バージョンをリリースしました[8]。2022年5月にサイバーセキュリティのサプライチェーンリスク管理について発表され、あらゆる関係者がサプライチェーンのリスクを理解し、企業が効果的にリスクを管理できるよう支援しています。
同ガイドでは、サプライチェーンのセキュリティリスクは、
- システムインテグレーターの内部関係者による機密情報の盗難
- 特定の国で働くエージェントによるサプライヤーが提供する製品へのマルウェアの混入
- 脆弱なコードの再利用によって発生する可能性
と指摘し、サプライチェーンのサイバーセキュリティリスクを効果的に管理するための18のドメインを提案しています。
NISTサイバーセキュリティフレームワーク2.0の主な更新点について解説
NISTサイバーセキュリティフレームワーク2.0は2024年2月26日に改訂されました。主な変更点と、ITとOTの統合によって影響するポイントについて解説します。
半導体業界のサプライチェーンのセキュリティを向上させるために、SEMIは2022年1月に次のステップに進み、ファブ機器規格のサイバーセキュリティに関する新しいSEMI E187規格を発表しました。
この規格は、サプライチェーン攻撃、内部関係者の脅威、その他のサイバー攻撃の潜在的な引火点を無力化するように設計されています。
SEMI E187を通じて、世界の半導体装置メーカーの設計によるセキュリティに関するガイドラインを初期段階で提供することが可能になります。
第2に、企業は、新しい資産がセキュリティリスクになることを避けるために、機器を購入する際にサイバーセキュリティ要件を明確にすることもできます。
TXOne NetworksのCEOであり、SEMI台湾半導体サイバーセキュリティ委員会のリーダーでもあるテレンス・リュウは次のように述べています。
「TXOneのスペシャリストは業界リーダーと協力して、資産ライフサイクルへのOTゼロトラストの適用に基づいた管理への新しいアプローチを作成しました。サイバーセキュリティ専門家は、ゼロトラストをベースに、脅威への潜在的な侵入点となる可能性のあるすべての段階で検証ポリシーを導入することで、SEMI E187への準拠を合理化し、OTサイバーセキュリティの課題に対処し、サイバー脅威から工場機器を保護することができます」
1.インバウンドデバイスのゼロトラスト
このサイバーセキュリティポリシーは、デバイスが敷地内に到着した瞬間から有効になります。オンボーディングの準備をしている新しく到着した資産も、サプライチェーン攻撃のリスクを軽減するために事前スキャンする必要があります(Portable Inspector)。
過去には、サイバー攻撃者が出荷前にデバイスを侵害してサイバーインシデントを引き起こした実例も存在します。
2.アプライアンスのゼロトラスト
従来のウイルス対策ソフトウェアは資産に行き詰まり、クラッシュや遅延を引き起こす可能性があります。
運用に適した「OTネイティブ」ロックダウンソフトウェア(Stellar)は、運用に重要なアプリケーションのみを許可する信頼リストを使用してレガシーエンドポイントを保護します。
より多様かつ複雑なタスクを実行する最新のエンドポイントの場合、信頼できるICSアプリケーションとライセンスのライブラリが、どのファイルとアプリケーションをスキップして優先できるかを次世代ウイルス対策機能を備えたStellarに通知し、操作用のリソースを確保します。
3.ネットワークのゼロトラスト
ネットワーク内の不要な「ドア」が、ファイアウォールまたはIPSアプライアンス(EdgeIPSよびEdgeFire)によって設定されたトラフィック用の特定のルールで封鎖されている場合、攻撃者はOTネットワークの攻撃がはるかに困難であると判断します。
トラフィックに関するこれらの特別なルールは、作業を行うためにどの資産が通信する必要があるかに厳密に基づいており、ネットワークは監視とセキュリティが容易なセグメントに分割されます。
レガシー資産やパッチ適用できない資産の場合、仮想パッチ適用により脆弱性が保護され、攻撃者が悪用できなくなります。ネットワークアプライアンスとポリシーは、単一の集中コンソール(EdgeOne)を通じて簡単に監視および保守できます。
おすすめ記事
半導体セキュリティ規格:SEMI E187 / E188とは
SEMI E187およびE188の特徴、補完性、半導体業界に対する重大な影響とは?半導体業界のサイバーセキュリティをどのように向上させるのかについて詳しく説明します。
SEMIの革新的なサイバーセキュリティアーキテクチャとは
世界最大規模の半導体製造装置メーカーであるSEMIの革新的なサイバーセキュリティアーキテクチャがいかに半導体エコシステムをグローバルに保護するかについて解説します。
参考文献
- [1] PRESIDENTIAL ACTIONS, “Executive Order on America’s Supply Chains”, THE WHITE HOUSE, Feb 24 2021, Accessed May 30 2022
- [2] Mark Lapedus.” 200mm Shortages May Persist For Years”, Semiconductor Engineering, Jan 20, 2022, Accessed May 30 2022
- [3] Lars Mönch, Reha Uzsoy, John W. Fowler, “A survey of semiconductor supply chain models
part I: semiconductor supply chains, strategic network design, and supply chain simulation”, International Journal of Production Research, Oct 20 2017, Accessed May 30 2022 - [4] Cadence Security Advisory, “Log4j Vulnerability Security Advisory”, Cadence, Accessed May 30 2022
- [5] ASML PRESS RELEASE, “ASML recently discovered IT systems security incident”, ASML, May 1 2015, Accessed May 30 2022
- [6] Toby Sterling, Anthony Deutsch, “ASML says it suffered intellectual property theft, rejects ‘Chinese’ label”, Reuters, Apr 11 2019, Accessed May 30 2022
- [7] TXOne Networks White Papers, “Supply Chain Security: Are SBOMs Ready?”, TXOne Networks, May 26, 2022, Accessed May 30 2022
- [8] Jon Boyens (NIST), Angela Smith (NIST), Nadya Bartol (Boston Consulting Group), Kris Winkler (Boston Consulting Group), Alex Holbrook (Boston Consulting Group), Matthew Fallon (Boston Consulting Group), “Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations”, NIST, May 5 2022, Accessed May 30 2022
- [9] SEMI, “SEMI E187 – Specification for Cybersecurity of Fab Equipment”, DEC 28 2021, Accessed May 30 2022