iPhone用チップメーカー、身代金ウィルス感染で工場停止。1年以上パッチ未適用だった

次世代iPhone用のチップを製造していると報道された台湾企業TSMCは、先週末にWannaCryランサムウェアの亜種により複数の工場が停止に追い込まれた件につき、セキュリティパッチを適用していないWindows 7を運用していたことを発表したと伝えられています。

米テック系メディアV3によると、TSMCは記者会見にてパッチを当てていないWindows 7が工場施設の重要プロセスを管理しており、この部分にウィルス被害が及んだと認めたとのこと。

もっとも、生産現場で使うPCとプロセス制御は一般に、個人ユーザーの使用環境とは違う特別な事情もあり（後述）、そのギャップゆえに生じた事故の可能性もあります。WannaCryランサムウェアは、2017年春頃に全世界のWindowsマシンで猛威を奮ったコンピュータウィルスです。この件に関するマイクロソフトの対応は迅速かつ徹底しており、Windows Vista、7、8.1、10に対しては同年3月15日に、Windows XPなどサポート終了済みのOSでも「異例の措置」として5月にセキュリティパッチを配布していました。

アメリカのFedEXや仏自動車大手のルノーなど、世界の大企業を襲った脅威から、すでに1年以上が経過しています。これほどの期間、世界最大の半導体製造ファウンダリであるTSMCが、セキュリティパッチを当てていないシステムを放置していたのは驚くべきとの見方もあります。

もっとも、生産現場で使うPCとプロセス制御ソフトは外部のインターネット接続を想定せず、しかもアップデートパッチ適用後の動作が保証されていないケースも多々あること（日本でも未だにPC-9801シリーズが現役で運用されている例もあり）。

そうした運用ゆえにパッチを怠ったというより当てられず、「現場担当者が物理的なディスクなどで持ち込んだ」想定外のウィルスの侵入を許してしまったかもしれません。

同社は「生産情報や顧客情報は感染被害を受けていません。TSMCはこのセキュリティギャップを埋める行動をすでに起こしており、さらにセキュリティ対策を強化するよう努めます」と述べています。

ウィルス被害が新型iPhoneの生産に及ぼす影響について、複数のアナリストは限定的だと分析しています。その理由は「アップルがTSMCにとって最大の顧客である（ゆえに他のクライアントよりも優先する）」ことや、「上流のサプライチェーンはこうした事態に備えて余分にチップセットを製造している」といったもの。

しかし、TSMCとアップルの今後の関係に与える影響は定かではありません。今のところ事故を起こしていない他のサプライヤーも、セキュリティ体制の大幅な見直しを迫られる可能性がありそうです。