台积电部分产线机台遭病毒感染，预计1天内恢复正常

全球晶圆代工龙头厂商台积电，这几天传出因病毒感染机台而导致部分产线停摆的情况，引发全国人民的关注。根据自由时报稍早的报导，是因为该公司采用的自动化材料搬运处理系统（Automatic Material Handling System，AMHS）遭到骇客攻击而中毒，导致部分晶圆厂的产线无法运作，影响范围涵盖到南科14厂、中科15厂。

而在苹果日报相关报导当中，则指出事发时间在8月3日傍晚至10点左右，台积电遭到骇客、电脑病毒攻击，受影响的厂区包括竹科的晶圆12厂、中科的晶圆15厂与南科的晶圆14厂。

台积电则在8月4日下午正式提出回应，并且在台湾证券交易所公开资讯观测站发布重大即时讯息，表明在8月3日傍晚，发生部分机台受到病毒感染的事件，非如外传遭受骇客攻击，他们已经控制此病毒感染范围，同时找到解决方案，而且受影响机台正逐步恢复生产。对于感染途径，台积电也表示已经掌握，但不便对外说明。

而关于修复的时间，他们也予以简略说明，表示受病毒感染的程度因工厂而异，部分工厂在短时间内已恢复正常，其余工厂预计在1天内恢复正常。

至于实质损失规模，根据中央社的报导，应低于股本20％或新台币3亿元，因为在媒体揭露这项消息之后，证交所上市部随即联系台积电了解灾情，要求该公司在公开资讯观测站中输入重大讯息，但不需举行重大讯息记者说明会。

而是否举行这类活动的判断，则是依据《台湾证券交易所股份有限公司对有价证券上市公司重大讯息之查证暨公开处理程序》这份法规，而当中的第11条第9项规定：“发生灾难、集体抗议、罢工、环境污染、遭主管机关处分或其他重大情事致造成公司重大损害，且扣除其依保险契约设算获赔金额后之预估损失超过该公司股本百分之二十或新台币三亿元以上者。”

至于为何如此严谨的全球知名企业会受到病毒侵袭？根据诸多业界专家的研判，厂房的生产线机台应该已经采用“实体隔离”的架构，理论上，这些设备所处的网络环境自成一区，与一般办公系统的网络环境无法互通，但终究还是发生了恶意软件的感染，原因可能就在于USB外接装置仍然无法完全禁止使用，系统软件、固件若是在要离线、网络隔离的状态，进行更新，或是需要取出当中的资料，供其他系统进行分析，都须仰赖这样的储存装置。

不过，现今的网络威胁型态多变，即便许多防毒软件都可以扫描USB外接装置，负责的人员也都在这些装置插入机台之前，彻底落实安全扫描作业，但是大多数防毒软件仍然基于传统的特征码比对方式，而无法辨识所有的恶意软件。

再者，当前的电脑病毒与骇客攻击之间的界线，已经日渐模糊，台积电这次所面临的威胁，究竟是属于不分攻击对象、乱枪打鸟式的恶意软件，还是特别针对该公司系统与网络环境所设计的恶意软件，仍有进一步确认的空间，因为必须知道发动者的身份、动机、目的，才能更有效防范同一种来源的攻击。

因此，面临这类威胁的企业，当务之急，除了尽快反应、着重在如何快速减灾，同时，也必须考量是否该寻求其他方法，提升整理防护能力。相信台积电本身的资安人员与合作厂商，应该早有对策，或许接下来该进一步厘清，为何相关灾情仍扩散到几个厂区，以及能否更快发现与反应。