1.サプライチェーン攻撃とは

 現在、米国および同盟国において中国のファーウェイとZTEを電気通信インフラ市場から排除する動きが広まっているが、それは、中国共産党の管理下にある中国企業によるサプライチェーン攻撃の恐れがあるからである。

 日本も米国と同様に安全保障上の懸念からファーウェイなどの電気通信装置を市場から排除している。決して、米国の5G覇権に協力しているわけではない。

 さて、「サプライチェーン攻撃」とは、米国立標準技術研究所(NIST)によれば次のように定義されている。

「ライフサイクルの間のいかなる時点かでコンピューティング・システムのハードウエア、ソフトウエア、またはサービスに不正工作することである」

「一般的には商業的な結びつきを通してアクセス権を有する個人または組織によって実行または促進される。そして、重要データや技術の窃盗、システム/インフラの破損に至り、任務遂行に不可欠な運用を不能にする」

 ICTサプライチェーンへの攻撃機会には、上流、すなわち製造過程と、下流、すなわち流通過程の2通りが想定される。

 上流への攻撃とは、ネットワーク・ルータおよびその構成要素である半導体集積回路(IC)の製造プロセスで、不正チップを組み込むことである。

 例えば、攻撃者は、プログラム可能なチップのソフトウエアを改竄することによって、チップが他の製品への統合のために出荷される前に、メーカーに対して攻撃を仕かけることができる。

 下流への攻撃とは、標的とする組織に製品を供給している下流の流通経路で、偽物のハードウエアを埋め込むことである。

 上流の半導体製造サプライチェーンそのものに侵入しようとする複雑さに比べれば、あまり複雑でない。

 例えば、攻撃者は、アセンブリ(組み立て)の時にファームウエアまたはソフトウエアの中に読み込まれた「トロイの木馬」を含んだ偽物のハードウエアを埋め込むことができる。

 あるいは、非常に関心のある標的を顧客としている再販業者と卸売業者を目的地とするブランド機器の積荷の中に完成した偽のハードウエアを混入することができる。