国際刑事警察機構(インターポール)が主導した大規模サイバー犯罪摘発作戦は、半導体など基幹産業の供給網を狙う脅威の深刻さを浮き彫りにした。アフリカ16カ国が参加した同作戦では、4500万ドル(約68億円)超の被害が確認され651人が逮捕された。これは氷山の一角に過ぎない。サイバー攻撃の主戦場は、個人の金銭詐取から、国家の経済安全保障を揺るがす半導体供給網の設計情報や製造工程データの窃取へと質的な転換を遂げている。台湾積体電路製造(TSMC)やオランダASMLといった中核企業だけでなく、その周辺を固める日本の製造装置・素材メーカー群も、今や国家支援を受ける高度な攻撃集団の標的となっている。本稿では、最新の摘発事例と業界データを基に、半導体供給網に迫るサイバー脅威の全貌を解明する。

攻撃対象は金融から製造工程へ

サイバー攻撃の標的が、従来の金融機関や一般消費者から、半導体のような基幹産業の心臓部へと明確に移行している。インターポールが2026年1月30日に発表した「Red Card 2.0」作戦の成果は、その変化を象徴する。同作戦は主としてアフリカ地域における電信詐欺を対象としたが、摘発された手口には、企業の従業員情報を盗み内部基盤へ侵入するといった、より高度なものが含まれていた。これは、産業スパイ活動の前段階で行われる情報収集と酷似する。実際、世界の半導体産業では、設計から製造に至るまでサプライチェーン全体を狙った攻撃が頻発している。2023年には、半導体設計に不可欠なEDA(電子設計自動化)ソフトウェア市場で合計7割以上の占有率を持つ米シノプシスとケイデンス・デザイン・システムズの顧客情報が、国家支援型攻撃グループによって狙われたとの報告が米サイバーセキュリティ企業から出ている。また、半導体製造装置で世界首位の米アプライドマテリアルズは、2024年2月の四半期決算報告で、主要取引先の一つがランサムウェア攻撃を受けた影響で、自社の売上高が2億5000万ドル押し下げられるとの見通しを公表した。これは、一社の被害が供給網全体に連鎖的な影響を及ぼす現実を示している。

なぜ半導体供給網が狙われるのか?

地政学的な競争が激化する現代において、半導体技術が軍事力と経済覇権を直接左右する戦略的資産となったためである。米半導体工業会(SIA)の2024年5月の報告によれば、世界の半導体市場規模は2030年に1兆ドルに達すると予測されており、この巨大市場の支配権を巡る国家間の競争が、サイバー空間における諜報活動を激化させている。特に、米国の輸出規制によって先端半導体技術への接続を制限された国家が、サイバー攻撃による設計情報や製造ノウハウの窃取を代替手段として重視している、と複数の情報機関が分析する。攻撃者にとって、半導体供給網は理想的な標的といえる。なぜなら、設計(米国)、製造装置(日・米・蘭)、特殊材料(日本)、前工程(台湾・韓国)、後工程(東南アジア)というように、工程が国際的に極度に分散し、脆弱な接続点が多く存在するからだ。例えば、回路線幅3ナノメートル以下の先端半導体製造に不可欠なEUV(極端紫外線)露光装置はオランダのASMLが市場を独占するが、その内部には日本のギガフォトン製レーザー光源やウシオ電機製の特殊ランプなど、代替困難な日本製部品が多数組み込まれている。これらの部品メーカーや、EUV用フォトレジストで世界市場の9割以上を占めるJSRや信越化学工業といった素材企業が攻撃を受ければ、ASMLの生産は停止し、TSMCやサムスン電子の先端半導体製造ラインも連鎖的に停止する危険性をはらむ。

巧妙化する「供給網攻撃」の手口

半導体産業を狙う攻撃手法は、単なるウイルス感染やウェブサイト改竄の域をはるかに超え、検知が極めて困難な「サプライチェーン攻撃」が主流となりつつある。この攻撃は、標的企業そのものではなく、その取引先である比較的警備が手薄な中小のソフトウェア開発会社や部品供給元をまず侵害し、正規のソフトウェア更新や製品納入の過程で悪意のあるプログラムを混入させる。2020年に発覚した米ソーラーウィンズ社の事例がその典型だ。同社のネットワーク管理ソフトウェアの更新ファイルにバックドアが仕込まれ、米政府機関を含む最大1万8000社の顧客に拡散した。半導体業界では、製造装置を制御するOT(Operational Technology)系のソフトウェアや、設計に用いるEDAツールの更新過程が同様の危険に晒されている。米調査会社ガートナーは、2025年までに世界の組織の45%が、自社のソフトウェアサプライチェーンへの攻撃を経験するだろうと予測している。さらに、攻撃者はAI(人工知能)を活用して、標的企業の従業員に合わせた極めて自然な文面のフィッシングメールを自動生成したり、盗んだ音声データから本物そっくりの合成音声を作成して電話で機密情報を聞き出したりする「ソーシャルエンジニアリング」も高度化させている。IBMが2023年に公開した「Cost of a Data Breach Report」によると、データ侵害の原因としてソーシャルエンジニアリングが占める割合は15%に上り、その平均被害額は476万ドルと高額である。

国際連携と「ゼロトラスト」による防衛

脅威の高度化と国際化に対し、防衛側も国際的な連携と新たな技術思想で対抗を急いでいる。インターポールの作戦は、法執行機関の国際協力が成果を上げることを示した好例だ。米国では、CISA(サイバーセキュリティ・社会基盤安全保障庁)が中心となり、半導体を含む重要インフラ事業者に対して脅威情報をリアルタイムで共有する枠組みを強化している。日本でも、内閣サイバーセキュリティセンター(NISC)や経済産業省が主導し、官民連携による情報共有の促進や、重要インフラ事業者に対する防護基準の厳格化を進めている。しかし、国家間の利害対立が、脅威情報の全面的な共有を妨げる壁となっているのも事実だ。こうした状況下で、企業が自衛策として導入を急いでいるのが「ゼロトラスト」と呼ばれる設計思想である。これは「社内ネットワークは安全である」という従来の前提を捨て、「すべての通信を信用せず、アクセスのたびに正当性を検証する」という考え方だ。具体的には、多要素認証の徹底、アクセス権限の最小化、ネットワークの微細な分割(マイクロセグメンテーション)などを組み合わせて実行する。米調査会社IDCの2024年1月の調査では、アジア太平洋地域の企業の62%が、今後12〜24ヶ月以内にゼロトラスト関連の投資を増やすと回答しており、これが新たな標準となりつつあることを示している。

日本企業が直面する選択

半導体供給網における日本の立ち位置は、独特の強みと脆弱性を併せ持つ。シリコンウエハー(信越化学工業、SUMCOで世界シェア約6割)、フォトレジスト(JSR、東京応化工業などでEUV用シェア9割超)、高純度フッ化水素といった先端材料や、洗浄・塗布・検査などの特定工程で不可欠な製造装置において、日本企業は代替困難な技術的優位を確立している。この「チョークポイント(供給網の隘路)」を握っていることが、日本の経済安全保障上の切り札であると同時に、サイバー攻撃の格好の標的となる構造的危険性を生んでいる。攻撃者から見れば、TSMCやインテルといった巨大企業を直接狙うよりも、警備が比較的手薄で、かつ代替不能な技術を持つ日本のサプライヤーを侵害する方が効率的かつ効果的である可能性がある。日本企業が直面しているのは、単なる情報システム部門の問題ではなく、事業継続そのものを左右する経営課題としてのサイバーセキュリティである。求められるのは、ゼロトラスト・アーキテクチャの導入といった技術的対策にとどまらない。製造ラインを制御するOTシステムのセキュリティ強化、全従業員を対象とした実践的な防衛訓練、そして攻撃を受けた際に被害を最小限に抑え、迅速に復旧するための事業継続計画(BCP)の策定と検証が不可欠だ。政府との連携を密にし、業界横断で脅威情報を共有する枠組みへ積極的に参加することも、一社だけでは防ぎきれない国家規模の攻撃に対する有効な防衛策となる。日本の技術的優位を守り抜けるか否かは、こうした地道かつ包括的な取り組みを、経営層がどれだけ主体的に推進できるかにかかっている。