ドイツ 連邦情報セキュリティ局 ハードウェア・トロイの木馬: BSI 分散製造プロセスにおけるハードウェア操作の可能性に関する調査結果 (2024.06.04)

 こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik；BSI) が、分散製造プロセスにおけるハードウェア操作の可能性に関する調査結果を発表していますね...　（PDFにして101ページ...でも、英語です...)

製造過程でチップ基盤上に勝手に追加チップを埋め込まれてしまうような話で、現在のX線技術でもほとんど認識できない？という話のようです...

製造過程でチップを埋め込むのは簡単な割に発見は困難...

プロジェクト名はPanda...

 

● Bundesamt für Sicherheit in der Informationstechnik；BSI

・2024.06.04 BSI veröffentlicht Studie zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen

追加チップが隠された回路基板上の部品のX線画像（右拡大）。この追加チップは、現代のX線技術でもほとんど認識できない。ということのようです...(Quelle: BSI)

 

BSI veröffentlicht Studie zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen	BSI、分散製造プロセスにおけるハードウェアの操作可能性に関する調査結果を発表
Die IHP GmbH hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Studie „Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen (PANDA)“ erstellt. Diese Studie betrachtet die Einflussmöglichkeiten von Angreifern innerhalb der Fertigungskette von komplexen IT-Systemen. Die Veröffentlichung beschreibt die einzelnen Schritte von der initialen Idee bis zum fertigen Produkt. Darauf aufbauend werden mögliche Schwachstellen in der Kette aufgezeigt sowie ausgewählte Angriffsszenarien skizziert. Eine Bewertung von Präventions- und Detektionsmöglichkeiten erfolgt nicht nur auf Basis einer Literaturrecherche, sondern auch anhand eigens durchgeführter Experimente. Die Studienergebnisse zeigen, dass solche Manipulationen in jeder Phase der Fertigung mit teilweise relativ geringem Aufwand möglich sind. Die Detektion hingegen kann sehr anspruchsvoll sein.	ドイツ連邦情報セキュリティー局（BSI）の委託を受け、IHP社は「分散製造プロセスにおけるハードウェアの操作可能性の調査（PANDA）」を作成した。この研究は、攻撃者が複雑なITシステムの生産チェーンの中で影響力を行使する可能性を分析するものである。本書では、最初のアイデアから完成品に至るまでの個々のステップを説明している。これに基づき、連鎖の弱点が特定され、選択された攻撃シナリオが概説されている。予防と検知のオプションは、文献調査だけでなく、社内で実施した実験に基づいて評価されている。研究の結果、このような操作は生産のあらゆる段階で、時には比較的少ない労力で可能であることが示された。一方、検出は非常に困難である。
Das Ziel der Studie ist, der IT-Fachcommunity bzw. IT-Herstellern und -Dienstleistern eine Einschätzung der Bedrohungslage durch sogenannte "Hardware-Trojaner" zu geben, welche z.B. nach Presseberichten von Bloomberg mutmaßlich in Server-Mainboards implantiert wurden.	ブルームバーグの報道によれば、この研究の目的は、IT専門家コミュニティやITメーカー、サービス・プロバイダーに、例えばサーバーのメインボードに仕込まれたとされる、いわゆる「ハードウェア・トロイの木馬」がもたらす脅威の評価を提供することである。
Die Entwicklung und Fertigung komplexer IT-Systeme wird heutzutage oft nicht mehr von einem einzelnen Hersteller durchgeführt, der alle Design- und Produktionsschritte selbst umsetzt und kontrolliert. Diese Arbeitsteilung hat eindeutige Vorteile, wie etwa eine kürzere Zeit bis zur Markteinführung der Produkte, geringere Kosten sowie die Bündelung von Kompetenzen und Werkzeugen in speziellen Aufgabenbereichen. Allerdings birgt diese Aufteilung auch das Risiko von unerwünschten Änderungen an dem ursprünglichen Design, was bei sicherheitsrelevanten Produkten z. B. zum Verlust von vertraulichen Daten führen kann.	今日、複雑なITシステムの開発・製造は、もはや1つのメーカーで行われることは少なくなり、設計・製造の全工程を自社で実現・管理するようになっている。このような分業には、製品の市場投入までの時間の短縮、コストの削減、特定の作業分野におけるスキルやツールのプール化など、明確な利点がある。しかし、このような分業には、元の設計に望ましくない変更を加えるリスクも潜んでいる。例えば、セキュリティに関連する製品の場合、機密データの喪失につながりかねない。
Solche Manipulationen, auch als „Hardware-Trojaner“ bezeichnet, können in fast allen Entwicklungs- und Produktionsschritten implementiert werden. Die Studie analysiert das Risikopotential hierfür nicht nur mittels einer Literaturbetrachtung, sondern auch aufgrund praktischer Erfahrungen in der Chipherstellung.	このような操作は、「ハードウェア・トロイの木馬」とも呼ばれ、ほとんどすべての開発・生産工程で実装される可能性がある。この研究では、文献調査だけでなく、チップ製造における実務経験に基づいて、このようなリスクの可能性を分析している。

 

・Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen

Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen	分散型製造工程におけるハードウェアの操作可能性の検討
Die IHP GmbH hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Studie erstellt, welche die Einflussmöglichkeiten von Angreifern innerhalb der Fertigungskette komplexer IT-Systeme beschreibt, z.B. das Einbringen von Hardware-Trojanern.	ドイツ連邦情報セキュリティー局（BSI）の委託を受け、IHP社は、複雑なITシステムの製造チェーンにおいて、攻撃者がハードウェア・トロイの木馬を持ち込むなどして影響力を行使する可能性についての研究を行った。
Die Veröffentlichung stellt die einzelnen Schritte vom initialen Design bis zum fertigen Produkt vor. Darauf aufbauend werden mögliche Schwachstellen aufgezeigt sowie ausgewählte Angriffsszenarien skizziert. Präventions- und Detektionsmöglichkeiten werden nicht nur auf Basis einer Literaturrecherche, sondern auch anhand eigens durchgeführter Experimente bewertet.	この出版物では、初期設計から完成品までの個々のステップを紹介している。これに基づいて、考えられる脆弱性が特定され、選択された攻撃シナリオが概説されている。予防と検知のオプションは、文献調査だけでなく、特別に実施された実験に基づいて評価されている。
Die Entwicklung und Fertigung komplexer IT-Systeme wird heutzutage oft nicht mehr von einem einzelnen Hersteller durchgeführt, der alle Design- und Produktionsschritte selbst umsetzt und kontrolliert. Diese Arbeitsteilung hat zwar eindeutige Vorteile, allerdings birgt sie auch das Risiko von unerwünschten Änderungen an dem ursprünglichen Design, was bei sicherheitsrelevanten Produkten z. B. zum Verlust von vertraulichen Daten führen kann. Solche Manipulationen, auch als „Hardware-Trojaner“ bezeichnet, können in fast allen Entwicklung- und Herstellungsschritten implementiert werden.	今日、複雑なITシステムの開発・製造は、設計・製造の全工程を自社で行い、管理する単一の製造業者によって行われることは少なくなっている。このような分業制には明確な利点があるが、一方で、元の設計に望ましくない変更を加えるリスクもはらんでいる。例えば、セキュリティに関連する製品の場合、機密データの紛失につながりかねない。このような操作は、「ハードウェア・トロイの木馬」とも呼ばれ、ほとんどすべての開発・製造工程で実装される可能性がある。

 

・[PDF] Prüfung von Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen

 

目次...

1  Introduction	1 序文
2  WP2: Design and Manufacturing steps from the initial idea to the final product	2 WP2： 最初のアイデアから最終製品までの設計と製造のステップ
2.1  Selecting IP blocks	2.1 IPブロックの選択
2.1.1  Selection criteria	2.1.1 選択基準
2.1.2  Actors and responsibilities	2.1.2 アクターと責任
2.1.3  Tools	2.1.3 ツール
2.2  ASIC Design	2.2 ASIC設計
2.2.1  Actors and responsibilities	2.2.1 アクターと責任
2.2.2  Tools	2.2.2 ツール
2.3  Mask Production	2.3 マスク製造
2.3.1  Actors and responsibilities	2.3.1 アクターと責任
2.3.2  Tools	2.3.2 ツール
2.4  Manufacturing	2.4 製造事業者
2.4.1  Actors and responsibilities	2.4.1 役者と責任
2.4.2  Tools	2.4.2 ツール
2.4.3  Available Information	2.4.3 利用可能な情報
2.5  Test	2.5 試験
2.5.1  Actors and responsibilities	2.5.1 アクターと責任
2.5.2  Tools	2.5.2 ツール
2.5.3  Available Information	2.5.3 利用可能な情報
2.6  PCB Design	2.6 PCB設計
2.6.1  Actors and responsibilities	2.6.1 アクターと責任
2.6.2  Tools	2.6.2 ツール
2.6.3  Available Information	2.6.3 利用可能な情報
2.7  Production and assembly of PCBs	2.7 PCBの製造と組み立て
2.7.1  Actors and responsibilities	2.7.1 アクターと責任
2.7.2  Tools	2.7.2 ツール
2.7.3  Available Information	2.7.3 利用可能な情報
2.8  Software/firmware development or use of existing ones	2.8 ソフトウェア／ファームウェアの開発または既存のものの使用
2.8.1  Actors and responsibilities	2.8.1 アクターと責任
2.8.2  Tools	2.8.2 ツール
2.8.3  Available Information	2.8.3 利用可能な情報
2.9  Summary	2.9 まとめ
3  WP3: Identification of potential vulnerabilities and attack scenarios including a detailed elaboration of selected attack scenarios	3 WP3: 選択された攻撃シナリオの詳細な説明を含む、潜在的脆弱性と攻撃シナリオの特定
3.1 Introduction	3.1 序文
3.1.1  Motivating Example	3.1.1 動機となる例
3.1.2  Structure of this chapter	3.1.2 本章の構成
3.2  Supply Chain Attack Literature Review	3.2 サプライチェーン攻撃に関する文献レビュー
3.2.1  Attack scenarios selected from the MITRE report	3.2.1 MITRE レポートから選択した攻撃シナリオ
3.3  Evaluation of Attack Scenarios	3.3 攻撃シナリオの評価
3.3.1  Determining the Attack Probability	3.3.1 攻撃確率の決定
3.4  Attack costs	3.4 攻撃コスト
4 WP4: Prevention and detection options, risk assessment and recommendations	4 WP4: 防止と検知のオプション、リスクアセスメントと提言
4.1 Hardware Trojan Detection	4.1 ハードウェア・トロイの木馬検知
4.1.1 Trojan detection power analysis	4.1.1 トロイの木馬検知能力の分析
4.1.2 Timing-based analysis	4.1.2 タイミングベースの分析
4.1.3 Trojan activation	4.1.3 トロイの木馬の起動
4.1.4 Runtime monitoring	4.1.4 ランタイムの監視
4.2 Prevention	4.2 予防
4.2.1 Split manufacturing	4.2.1 分割製造
4.3 Hardware Trojan Defense: A resume	4.3 ハードウェア・トロイの木馬防御： レジュメ
4.4 Implanting a Hardware Trojan into a cryptographic design	4.4 暗号設計へのハードウェア・トロイの木馬の埋め込み
4.4.1 Trojan implementation: Performed Controller modifications	4.4.1 トロイの木馬の実装： コントローラ改造の実施
4.4.2 Designs ported to FPGA Spartan-7 .	4.4.2 FPGA Spartan-7 に移植したデザイン
4.4.3 Investigation of the influence of the implanted Trojan on the design resistance to SCA	4.4.3 SCAに対するトロイの木馬の影響調査
4.5 PCB-Experiments	4.5 PCB 実験
4.5.1 Experiments with Coil 1: Hiding chips in the compound .	4.5.1 コイル 1 の実験：コンパウンドにチップを隠す .
4.5.2 Experiments with Coil 2: Hiding chips under the housing .	4.5.2 コイル2の実験：筐体の下にチップを隠す .
4.5.3 Cost Issues	4.5.3 コスト問題
5 Conclusion .	5 結論
Bibliography	参考文献
List of abbreviations	略語リスト
Appendix 1: Examples of selecting IP Cores (IHP experience)	附属書1：IPコアの選定例（IHPの経験）
Appendix 2: Examples of pins and pads .	附属書2：ピンとパッドの例 .
Appendix 3: Overview of MITRE hardware attack scenarios .	附属書3：MITREのハードウェア攻撃シナリオの概要 .
Appendix 4: Interview with IHP designers .	附属書4：IHP設計者へのインタビュー .
Appendix 5: Interview with IHP PCB experts .	附属書5：IHP PCBエキスパートへのインタビュー .
Appendix 6: Attack scenario evaluations .	附属書6：攻撃シナリオの評価 .
Appendix 7: Implemented Trojan code	附属書7：実装されたトロイの木馬コード.
Appendix 8: PCB experiment Additional details	附属書8：PCB 実験 追加詳細.

 

序文...

1 Introduction	1 序文
Today, the development and implementation of complex IT systems is very often no longer carried out by a single manufacturer, who performs and controls all development and production steps completely himself. This division of labour has clear advantages such as shorter “time-to-market” and reduced costs. It also has the advantage that the necessary competences and tools/machines are focused on core areas. However, the clear disadvantage is that there are risks associated with the division of labour in terms of product quality (reliability/safety). This also holds true for all aspects of security, leading to the loss of confidentiality, privacy etc. Changes in the product can be made at almost all stages of development and production. The aim of this study is to analyse the potential risk in all the development steps from the initial design down to the final product.	今日、複雑なITシステムの開発・実装は、もはや製造事業者1社で行われることは少なくなりつつある。このようなディビジョンには、「市場投入までの時間」の短縮やコストの削減といった明確な利点がある。また、必要なコンピテンシーやツール／マシンをコア領域に集中させることができるという利点もある。しかし、明確なデメリットは、製品の品質（信頼性／安全性）の面で、分業に伴うリスクが存在することである。これはセキュリティのあらゆる面にも当てはまり、機密性やプライバシーなどの喪失につながる。製品の変更は、開発・生産のほぼすべての段階で行われる可能性がある。この研究の目的は、初期設計から最終製品に至るまでのすべての開発段階における潜在的リスクを分析することである。
In 2018 Bloomberg published an article that discussed potential manipulations of Supermicro motherboards that were “extended” by an additional Integrated Circuit (IC) during manufacturing [1]. Supermicro customers are amongst others companies like Amazon and Apple who use the mainboards e.g. in their cloud servers. According to Bloomberg the alleged manipulations were discovered during routine reviews during an acquisition of Elemental by Amazon (AWS) as well as by Apple in their data centres. The involved companies denied the reports. Bloomberg on the other hand insisted on the factual correctness of their reporting. They state that “investigators determined that the chips allowed the attackers to create a stealth doorway into any network that included the altered machines” and cite several independent anonymous sources from within the allegedly involved companies as well as from the U.S. government [1]. In addition, Bloomberg published another article in 2021, where a manipulation of software i.e. of the Basic Input/Output System (BIOS) of Supermicro motherboards was mentioned [2].	2018年、ブルームバーグは、製造中に追加集積回路（IC）によって「拡張」されたSupermicroマザーボードの潜在的な操作について論じた記事を掲載した[1]。Supermicroの顧客には、クラウドサーバーなどでメインボードを使用しているアマゾンやアップルなどの企業が名を連ねている。Bloombergによると、この不正操作の疑惑は、アマゾン（AWS）によるエレメンタルの買収時、およびアップルによるデータセンターでの定期的なレビュー時に発見されたという。関係各社はこの報道を否定している。一方、ブルームバーグは報道の事実の正しさを主張した。彼らは、「ガバナンスは、攻撃者が変更されたマシンを含む任意のネットワークへのステルス入り口を作成することができたチップを決定した」と述べ、米国政府だけでなく、関与したとされる企業内の複数の独立した匿名の情報源を引用している[1]。さらにBloombergは2021年に別の記事を発表しており、そこではSupermicroのマザーボードのBIOS（Basic Input/Output System：基本入出力システム）のソフトウェア操作が言及されている[2]。
Whether the reported attacks really happened or not is still an open discussion. Supermicro claims that such attacks did not happen and that they were not informed by any governmental agency. On the other hand, Bloomberg insists on the reports.	報告された攻撃が本当に起こったかどうかは、まだ未解決の議論である。Supermicro社は、そのような攻撃は起きておらず、政府機関からも知らされていないと主張している。一方、Bloombergは報道を主張している。
Even though it is not clear whether this attack really happened as described by Bloomberg, their reports clearly indicates that Information technology (IT) products compiled by many companies scattered all over the world are to a certain extent vulnerable to malicious manipulations run by one of these different suppliers.	この攻撃が本当にブルームバーグの言うとおりに起こったかどうかは定かでないにせよ、彼らの報道は、世界中に散らばる多くの企業がまとめた情報技術（IT）製品は、これらの異なるサプライヤーのいずれかによって実行される悪意ある操作に対してある程度脆弱であることを明確に示している。
Since there is little to no information available about the functionality of the aforementioned additional ICs and the changes in the BIOS, there is also no information about the goals of the attack and the attacker. In principle an attacker can pursue the following goals with hardware-related attacks:	前述の追加ICの機能やBIOSの変更に関する情報はほとんどないため、攻撃の目的や攻撃者に関する情報もない。原則として、攻撃者はハードウェア関連の攻撃で以下の目標を追求することができる：
•      Damage to the reputation of a supplier by deliberately manufacturing low-quality Application-Specific Integrated Circuits (ASICs), this attack then targets a specific victim.	・低品質の特定用途向け集積回路（ASIC）を意図的に製造することで、製造事業者の評判を落とす。
•      Espionage to obtain know-how, company secrets and/or secret information such as cryptographic keys. This can be achieved, among other things, through the use of backdoors. Such attacks can target both the manufacturer and its customers, and can have a “broad” effect.	・ノウハウ、企業秘密、暗号鍵などの秘密情報を入手するためのスパイ行為。これは、特にバックドアの使用によって達成される。このような攻撃は、製造事業者とその顧客の両方を標的にすることができ、「広範な」影響を及ぼす可能性がある。
•      “Kill switch”: Here, the attacker tries to manipulate the system in such a way that he can switch off its functionality. This attack also targets many rather than one specific victim, at least in preparation. If the “kill switch” is activated, this may be done very selectively.	・キルスイッチ」: この攻撃では、攻撃者はシステムの機能を停止させるようにシステムを操作しようとする。この攻撃も、少なくとも準備段階では、特定の被害者一人ではなく、多数の被害者をターゲットにする。もし「キル・スイッチ」が作動すれば、これは非常に選択的に行われる可能性がある。
We focus on these attack scenarios, since they are widely discussed in the literature[1],[2]. Of course each scenario comes with certain risks for the attacker as well, e.g. damaging the reputation of a supplier by deliberately manufacturing low-quality ASICs[3] must be carried out respectively concealed in such a way that the reputation damage does not spread to the attacker, or that such reputation damage is willingly taken into account.	これらの攻撃シナリオは文献[1]、[2]で広く議論されているため、ここではこれらの攻撃シナリオに焦点を当てる。例えば、意図的に低品質の ASIC[3]を製造することでサプライヤの評判を落とすような場合、その評判へのダメージが攻撃者に波及しないように、あるいはそのような評判へのダメージが進んで考慮されるように、それぞれを隠蔽して実行しなければならない。
The type of attack and its complexity depend greatly on the target of the attacker. The possible points of attack in the value chain are discussed in this report. The analyses in this report are based on the assumption that the “system developer” i.e. the company that aims at implementing a certain functionality and that starts the development process has no malicious insiders. This is due to the fact that in the core of the design process all essential information are available. We are aware of the fact that also a team member of the “system development entity” might be malicious. But since the focus of this study is on the threats that arise from a global supply chain, we assume in this document that the “system development entity” is benign. A reflection of malicious insiders in the “system development entity” will be given in the conclusion to ensure that this threat is not overlooked.	攻撃の種類とその複雑さは、攻撃者のターゲットに大きく依存する。本レポートでは、バリュー・チェーンにおける攻撃の可能性について論じる。本レポートの分析は、「システム開発者」、すなわちある機能の実装を目的とし、開発プロセスを開始する企業には、悪意のある内部関係者がいないという前提に基づいている。これは、設計プロセスの中核において、すべての重要な情報が利用可能であるという事実によるものである。我々は、「システム開発事業体」のチームメンバーも悪意を持っている可能性があるという事実を認識している。しかし、この研究の焦点はグローバルなサプライチェーンから生じる脅威であるため、この文書では「システム開発事業体」は良性であると仮定する。システム開発事業体」における悪意のある内部者についての考察は、この脅威が見落とされないように、結論において行う。
The focus of the work packages is on development steps not executed by “system development entity”. So, mainly the “interfaces” between the manufacturing steps are considered potentially dangerous as information exchanged is the basis for a potential attacker to mount his attack. The external subcontractors are considered no trustworthy i.e. there may be malicious insiders or the whole company may be malicious.	作業パッケージの焦点は、「システム開発主体」が実行しない開発ステップにある。そのため、主に製造事業者間の「インターフェイス」は、潜在的な攻撃者が攻撃を仕掛けるための基礎となる情報交換が行われるため、潜在的に危険であると考えられる。外部の下請け業者は信用できないと考えられる。つまり、悪意のある内部関係者がいるかもしれないし、会社全体が悪意を持っているかもしれない。
This report is structured corresponding to the work packages (WP) of the project PANDA, i.e. each chapter of this reports represents the results of one of the following work packages:	本報告書は、PANDAプロジェクトの作業パッケージ（WP）に対応した構成となっている。つまり、本報告書の各章は、以下の作業パッケージの1つの結果を表している：
•      WP2: Design and Manufacturing steps from the initial idea to the final product	・WP2：最初のアイデアから最終製品までの設計・製造ステップ
•      WP3: Identification of potential vulnerabilities and attack scenarios including a detailed elaboration of selected attack scenarios	・WP3：潜在的脆弱性と攻撃シナリオの特定（選択した攻撃シナリオの詳細な推敲を含む
•      WP4: Prevention and detection options, risk assessment and recommendations	・WP4 : 防止と検知のオプション、リスクアセスメントと提言
We present conclusions and recommendations in Chapter 5.	第5章では、結論と提言を示す。
This document includes in addition 8 appendixes which present details e.g. on the experiments and expert interviews etc.	本書には、実験や専門家へのインタビューなどの詳細を示す 8 つの附属書が追加されている。

[1] Cf. e.g. https://www.tandfonline.com/doi/full/10.1080/15228053.2020.1824878  

[2] Cf. e.g. https://www.amida.com/enabling-hardware-trojan-detection-and-prevention-through-emulation/   

[3] Cf. e.g. https://doi.org/10.1007/978-3-319-68511-3_3

----

[1] Robertson, Jordan. Riley, Michael. 2018. The Big Hack: How China Used a Tiny Chip to Infiltrate U.S.

Companies. In Bloomberg Businessweek, Feature. https://www.bloomberg.com/news/features/2018-1004/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies#xj4y7vzkg

[2] Robertson, Jordan. Riley, Michael. 2021. Supermicro Hack: How China Exploited a U.S. Tech Supplier Over Years. Bloomberg, https://www.bloomberg.com/features/2021supermicro/?leadSource=uverify%20wall.

 

 

結論...

5 Conclusion	5 結論
In this project we analysed the different steps in the development of a complex IT system covering all steps from the initial idea via design and manufacturing of an ASIC to the design and production of the PCB with respect to the probability of a successful attack. This probability depends on the knowledge and capabilities of a certain attacker and the effort such an attacker has. In order to determine this information, we gathered data from a thorough literature review, expert interviews and own experiments.	このプロジェクトでは、複雑な IT システムの開発における様々なステップを分析した。最初の アイデアから、ASIC の設計と製造、PCB の設計と製造に至るすべてのステップを、攻撃が 成功する確率に関して分析した。この確率は、ある攻撃者の知識と能力、そしてそのような攻撃者が持つ努力に依存する。この情報を決定するために、徹底的な文献調査、専門家へのインタビュー、独自の実験からデータを収集した。
The result is that in each of the development stages successful attacks are possible. In which of the stages an attacker targets the design under development highly depends on the intentions of the attacker. The more targeted the attack shall be the higher is the probability that a later stage will be attacked. In these stages a potential victim can be defined more exactly. If an attacker is willing to spend some effort in order to “reach” many victims without a clear picture who they are, earlier development stages are more likely to be attacked.	その結果、各開発段階において成功する攻撃が可能であることがわかった。攻撃者がどの段階で開発中の設計を狙うかは、攻撃者の意図に大きく依存する。攻撃対象が多ければ多いほど、後の段階が攻撃される確率は高くなる。これらの段階では、潜在的な犠牲者をより正確に定義することができる。攻撃者が、被害者が誰なのかはっきりしないまま、多くの被害者に「接触」するために労力を費やすことを厭わないのであれば、より早い発展段階が攻撃される可能性が高くなる。
The analysis of the literature as well as the expert interviews clearly showed that:	専門家へのインタビューだけでなく、文献の分析からも、以下のことが明らかになった：
•      Means to detect hardware Trojans are not easy to apply, as they require normally a “golden” device or at least a “golden” simulation which usually are not available except in scientific settings. The fact that it is normally unclear how to activate the Trojan makes its detection even harder. So, relying on hardware Trojan detection alone seems not to be sufficient. Nevertheless, for selected cases with a limited scope (e.g. trust anchor chips), Trojan detection methods can give at least a hint about potential manipulations. Therefore, it is important to invest in and have advanced chip analysis and detection capabilities available.	・ハードウェアのトロイの木馬を検知する手段は、通常「ゴールデン」デバイスまたは少なくとも「ゴールデン」シミュレーションを必要とするため、適用するのは容易ではない。トロイの木馬を起動させる方法が不明確であることが、トロイの木馬の検知をさらに難しくしている。そのため、ハードウェアのトロイの木馬検知に頼るだけでは十分ではないようだ。とはいえ、限定された範囲（例えばトラスト・アンカー・チップ）の場合、トロイの木馬検出方法は、少なくとも潜在的な操作についてのヒントを与えることができる。したがって、高度なチップ分析・検知能力に投資し、利用できるようにすることが重要である。
•      Means to prevent hardware Trojans are limited. On the one hand such means are not easy to apply and will lead to significant overhead in terms of area and power consumption. On the other hand they cannot be applied to the whole design so an attack may still be capable to integrate a hardware Trojan in the non-protected parts.	・ハードウェアのトロイの木馬を防ぐ手段は限られている。一方では、そのような手段を適用するのは容易ではなく、面積や消費電力の面で大きなオーバーヘッドをもたらす。一方では、設計全体に適用することができないため、保護されていない部分にハードウェア・トロイの木馬を組み込む攻撃も可能である。
•      The most promising approach is split manufacturing as it limits the information available to a manufacturer about a certain design significantly. But the process of organising an appropriate manufacturing process including finding compatible manufacturers that are willing to support such a process is very complex.	・最も有望なアプローチは、製造事業者が特定の設計について入手できる情報を大幅に制限できる分割製造である。しかし、そのようなプロセスをサポートしてくれる互換性のある製造事業者を見つけることを含め、適切な製造プロセスを組織するプロセスは非常に複雑である。
Our experiments showed that a hardware Trojan can be integrated with rather limited effort and confirmed that such a Trojan can hardly be detected. The additional area and energy consumption are negligible. Also the integration of an additional IC in a complex motherboard was researched. The effort to accomplish this is rather negligible. Also in this case, the experiments showed that detecting the implemented chip is extremely difficult. Even x-raying the PCB does not guarantee to detect such a manipulation.	我々の実験は、ハードウェアのトロイの木馬が、むしろ限られた労力で統合できることを示し、そのようなトロイの木馬はほとんど検知できないことを確認した。追加の面積とエネルギー消費はごくわずかである。また、複雑なマザーボードに追加ICを組み込むことも研究された。このための労力はごくわずかである。この場合も、実装されたチップを検出するのは極めて困難であることが実験で示された。PCBをX線検査しても、このような操作を検出できる保証はない。
So, the main take home messages are:	つまり、主な留意点は以下の通りである：
•      Attacks such as the manipulation of a motherboard as described by Bloomberg in 2018 [1] are feasible and most probably will go undetected. However, whether Bloomberg’s claim is correct or not remains open.	・2018年にブルームバーグが説明したようなマザーボードの操作のような攻撃は実現可能であり、おそらく発見されないだろう。ただし、ブルームバーグの主張が正しいかどうかは未解決である。
•      The insertion of hardware Trojans is also feasible and it is very difficult to detect such a manipulation. It is especially difficult if the manipulation is integrated in an open hardware core, or if the design house is malicious. This means that purchasing equipment from a manufacturer that is not considered fully trustworthy always comes with a certain risk, as it will never be 100% assured that there is no malicious manipulation present.	・ハードウェアのトロイの木馬を挿入することも可能であり、そのような操作を検知するのは非常に困難である。オープンなハードウェア・コアに組み込まれている場合や、設計会社が悪意を持っている場合は特に難しい。つまり、完全に信頼できるとは言えない製造事業者から機器を購入することは、常に一定のリスクを伴うということである。
•      To limit scope and make this analysis feasible in terms of effort, we excluded insider attacks in our analysis. Yet, they need to be considered carefully. Bribing or blackmailing employees of a design house is a cost efficient way to get the expertise, knowledge and access to a certain design to mount a stealth attack.	・分析範囲を限定し、労力的に実現可能な分析にするため、インサイダー攻撃は分析から除外した。しかし、これらは慎重に検討する必要がある。デザイン・ハウスの従業員に賄賂を贈ったり、脅迫したりすることは、ステルス攻撃を仕掛けるための専門知識、知識、特定のデザインへのアクセス権を得るためのコスト効率の良い方法である。
Based on the results of this project our main recommendations from a business administration point of view are:	このプロジェクトの結果に基づき、経営管理の観点から私たちが推奨する主な方法は以下の通りである：
•      Trustworthy personnel: Invest in personnel to set-up a trust relationship and avoid that employees are turned into malicious agents of an opponent.	・信頼できる人材を確保する: 信頼関係を構築し、従業員が敵の悪意あるエージェントと化すことを避けるために、人材に投資する。
•      Trustworthy IT infrastructure: In case a corporate network gets hacked, an external attacker has the same means to manipulate designs. State of the art IDS, appropriate site-audits etc. are a must, and must in particular take this attack vector into consideration.	・信頼できるITインフラ: 企業ネットワークがハッキングされた場合、外部の攻撃者は同じ手段で設計を操作することができる。最新のIDS、適切なサイト監査などが必須であり、特にこの攻撃ベクトルを考慮しなければならない。
•      Trustworthy suppliers: Trusted relationships with suppliers, ideally along the complete supply chain, are the best means to avoid stealthy manipulations.	・信頼できるサプライヤー: サプライヤーとの信頼関係、理想的には完全なサプライチェーンに沿った信頼関係が、ステルス的な操作を回避する最善の手段である。
•      Use Reliable suppliers - even if it means higher cost - instead of subcontracting new partners every now and then.	・時々新しいパートナーと下請け契約を結ぶのではなく、たとえコストが高くなったとしても、信頼できるサプライヤーを利用すること。
But the results of this project are also of importance from a national economical point of view. The fact that attacks may be successful in different development steps means that:	しかし、このプロジェクトの結果は、国家経済の観点からも重要である。さまざまな開発ステップで攻撃が成功する可能性があるということは、次のようなことを意味する：
•      Own Production Facilities: Providing own production facilities does not necessarily prevent manipulation of products; nevertheless it reduces certain risks and political dependencies while increasing availability in case of a global supply shortage. Ensuring design capabilities along the complete supply chain is essential to detect and prevent manipulations, despite this is not sufficient.	・独自の生産設備: 自社生産施設:自社生産施設をプロバイダとして提供することは、必ずしも製品の不正操作を防ぐことにはならない。しかし、それにもかかわらず、一定のリスクと政治的依存を軽減し、同時に世界的な供給不足の場合の可用性を高めることになる。しかし、それだけでは十分ではなく、サプライチェーン全体における設計能力を確保することが、不正操作の検知と防止には不可欠である。
•      Advanced Detection Capabilities: Detection of manipulations can only be done on an individual case-by-case scenario for high-value circuits, e.g. trust anchors. Invest in advanced detection capabilities in order to handle such cases, to deter attackers in the first place, and in order to increase the cost and effort required for an attacker as trivial manipulations do not go undetected.	・高度な検知能力: 操作の検知は、トラスト・アンカーなど高価値の回路については、個別のケース・バイ・ケースでしか行えない。このようなケースに対応し、攻撃者を抑止するため、また、些細な操作では検知されないため、攻撃者に必要なコストと労力を増加させるために、高度な検知能力に投資する。
•      R&D in the field of detecting manipulations. Several approaches seem to be promising and may increase the abilities of a user to detect manipulations significantly.	・操作の検知分野における研究開発。いくつかのアプローチは有望であり、ユーザーの検知能力を大幅に向上させる可能性がある。
In any case the complete supply chain needs a thorough and individual assessment for all sensitive developments or products.	いずれにせよ、サプライチェーン全体において、すべての機密性の高い開発品や製品について、徹底的かつ個別的なアセスメントが必要である。