依據板規說明，本篇新聞有提到PTT，所以轉貼，雖然是一個月前(201808)的新聞 > 所有包含批踢踢的其他媒體新聞、討論節目的文章、錄音、影音備份， 它可以是以批踢踢為主體的新聞，或其中某段文字、說明等提到批踢踢。 新聞連結: https://www.ithome.com.tw/news/125098 新聞內容: 深度剖析台積產線中毒大當機始末（上） 安裝人員一個小疏忽，竟然造成台積電全臺產線大當機，營收損失高達52億元，創下臺灣 有史以來損失金額最高的資安事件 文/王宏仁 | 2018-08-10發表 這是一個尋常的周五傍晚，台積電新竹一座晶圓廠內，設備安裝人員正趕著要在下班前完 成一臺新機臺的安裝。儘管晶圓廠幾乎全年天天24小時日夜趕工，但周末上線新系統是慣 例，可以盡量降低對周間營運的影響風險，也比較不會直接衝擊股市。這不是台積工程團 隊第一次安裝新機臺，早就制訂了一套標準的安裝作業SOP，甚至在各地廠區已經按SOP安 裝過數萬臺新機臺。 台積電是全球半導體代工龍頭，今年光是上半年營收就高達4,813億多元，單季平均2,400 多億元，原本預估第三季營收還會再持續提高，達到2,600億元之高。尤其7奈米先進製程 晶圓廠正快馬加鞭趕工中，為的就是生產蘋果今年主力產品新款iPhone的核心零件A12處 理器。 但是，沒人想得到，8月3日傍晚這一次新機臺的安裝卻出狀況，安裝人員一個小動作的疏 忽，竟然造成了台積電全臺產線大當機，營收損失預估更是高達52億元天價，創下臺灣有 史以來損失金額最高的資安事件，遠遠超過去年遭駭盜轉18億元的遠銀事件，全球媒體和 分析師們，更擔心大當機延遲了新款iPhone的出貨時程而高度關注。 一篇BBS文章，披露台積產線大當機事件 台積電大當機事件最早曝光是在8月4日凌晨，臺灣最大BBS社群PTT的八卦版上一篇「有沒 有台積電大當機的八卦」的貼文引起了眾人關注，不少台積網友留言，回報各地廠區產線 當機情況，也有網友反應，3日晚上台積還突然關閉了門禁系統，禁止人員離開晶圓廠， 為得就是要徹底大清查。 這篇貼文討論越演越烈，甚至蔓延到其他更多討論區，如Tech_Job版也開始揭露更多晶圓 廠中毒當機消息，也有人留言台積電緊急召回數百人回廠搶修。 台積電中毒事故很快引起媒體關注，電視臺更是以跑馬燈新聞披露，引起更多網友紛紛揭 露自己看到的情況，包括台積電位於竹科的晶圓12廠、中科的晶圓15場以及南科的14廠， 都傳出產線當機事件，等於是台積電全臺主要晶圓廠都淪陷，關鍵的7奈米製程產線更是 首當其衝發生事故。 到了早上，不只臺灣媒體紛紛報導台積電產線中毒大當機事件，連國外媒體也開始關注， 外媒尤其擔心，蘋果秋季最重要的新款iPhone出貨時程，會不會因此而受影響，台積電晶 圓廠的事故，不只影響台積電而已，甚至可能衝擊到近來登上全球第一家兆元企業的蘋果 ，年度最重要的新產品布局，也會影響全球iOS生態系市場局勢。 台積電過去向來是資安模範生，層層管制、嚴格把關的種種資安措施更為人津津樂道，甚 至視為業界最高標準之一，不只任何一支USB都不能入廠，就連全球科技大廠執行長來臺 參觀台積電廠房時，都得在門口櫃臺繳出手機，筆電貼上封條，沒有例外。如此嚴密防護 的台積電，竟然也會中毒，甚至是全臺廠房都出事！這個消息震驚了各界。病毒如何進入 感染，也成了各界熱議的話題，USB感染或外部駭客攻擊是外界推測出事的兩種可能原因 。 8月4日凌晨，臺灣最大BBS論壇PTT上的一篇文章，披露了台積電產線大當機的消息，不少 網友也留言回報多起產線當機事件，快速引起媒體高度關注，甚至成了國際新聞。 台積電隔日證實，當機事件源於機臺中毒，而非駭客入侵 8月4日中午，台積電首度出面回應，證實了機臺中毒的消息，但否認是外部駭客入侵。稍 晚，約3點半前後，台積資深副總經理暨財務長何麗梅也具名在公開觀測站網站上正式發 布重大訊息公告，證實8月3日傍晚部分機臺遭受病毒感染，而非外傳的駭客攻擊，也透露 ，台積電已經控制病毒的感染範圍，並且找到了解決中毒問題的方案，開始修復機臺，讓 受影響的機臺恢復生產。在8月4日已有部分工程恢復正常，台積並預告其餘工廠將在一天 內恢復正常。 但是，儘管台積電很快地證實了中毒消息，但沒有進一步說明病毒入侵方式，以及實際受 病毒感染的影響範圍，尤其是否如網友披露的災情遍及北、中、南各地晶圓廠。這個短短 不到120字的公告說明，仍舊引發了各界更多疑慮和討論，尤其新款iPhone處理器出貨的7 奈米製程產線是否受創，這次事件對台積電又會造成多大的影響，依然狀況不明。 事件發生第三天，8月5日，雖然是星期日，但台積產線中毒事件的討論越演越烈。到了下 午3點前後，這是台積電第一次公告所預告的24小時復原期限，台積電還沒出面說明，僅 透露傍晚會以新聞稿說明。直到4點46分，台積財務長再次於公開觀測站上發布第二次公 告，這次公告揭露的就是眾人最好奇的其中一項資訊，病毒感染事件的影響。 台積電在公告中，進一步揭露病毒影響範圍以臺灣廠區為主，各廠影響程度不一，從8月3 日傍晚中毒事件發生後，到8月5日下午2點為止，受影響的機臺已經有80％恢復正常，也 就是在原訂預告的24小時復原承諾期限，只復原了8成，其餘2成，還要等到8月6日才能恢 復正常運作。 初次預估營收衝擊將高達78億元 這次病毒事件也造成台積晶圓出貨延遲，以及相關成本的增加。台積預估會對第三季的營 收影響約3％，對毛利率的影響也有1％。換句話說，以台積先前公布的第三季營收預估約 2,600億元，這次罕見的產線中毒事件，將會造成台積電第三季營收短少約78億元之多， 打破了臺灣歷年資安事件影響金額的紀錄。 產線中斷最大的影響是出貨延遲，台積預估可以延後到第四季時全數補回。但因延遲交貨 也會拖累到顧客產品時程，台積電透露已經向顧客說明，重新協商晶圓交貨時程，並承諾 會在未來幾天向顧客說明細節。 另外對於中毒原因，台積也首度坦承是人為操作疏忽，因為新機臺安裝軟體過程沒有按照 SOP而釀災，再加上新機臺連上公司內部電腦網路而導致病毒擴散。台積在中毒後也同步 清查內部資料的完整性和機密資料，所幸，這部分都沒有受到影響，沒有遺失或損失這些 資料。 一個疏失，造成78億元的鉅額損失和延遲交貨，成了新話題。為何會造成這麼大的損失？ 台積電沒有細講，但也更證實了多數廠房和產線受創停工的消息。另一個引起IT圈討論的 是，為何病毒可以跨地理區擴散？儘管台積還沒證實。但當時已傳出引起事故的病毒是 WannaCry勒索軟體，但就算是勒索軟體，一般企業不同地理區的，多半會各自有獨立的內 部網路，彼此透過防火牆隔離控管。但是台積這次中毒事件，在短短一個晚上，就快速蔓 延到三地，再加上新聞稿提及，病毒透過「內部電腦網路」感染到其他廠區。這個速度和 滲透「內部電腦網路」的威力，更讓人驚訝，也很像是有人操控層層破解多道防護來入侵 的APT手法。第二次公告，儘管讓外界對中毒事件的影響，有了初步瞭解，但因影響金額 的巨大，再加上對於向來以資安嚴密著稱的台積電，內網防護如此容易瓦解，而讓外界依 舊費解。再加上，8月6日是事件發生後的第一個股市交易日，鉅額損失和後續修復情況未 明，這個事件依舊引起更多傳聞和揣測。 依照政府規定，若企業重大事件影響超過3億元或股價20％，除了發布公告外，還得出面 召開說明。證券交易所原本在事件發生第二天也只是要求，台積電要發布公告說明，也引 起部分人推測，損失金額可能沒有達到3億元，因此沒有召開重大訊息說明會的必要。 但在星期天的預估影響金額一曝光，果不其然，星期一股市一開盤，台積電股價就下滑， 儘管最終跌幅不到1％，但證券交易所也要求台積電必須召開公開說明會，公開回應外界 的提問，來消弭各種傳聞後續可能引起的股市動盪。 總裁帶頭親上火線，召開公開說明會釋疑 所以，台積電也在8月6日在臺灣證券交易所召開重大訊息說明記者會，來解釋事件經過和 最新處理狀態，由台積電總裁魏哲家親自上陣說明，連同多位高層主管列席，包括：資深 副總經理暨財務長杜麗梅、企業訊息處資深處長孫又文，資訊技術資深處長陳文耀（IT主 管），以及負責這次資安事件處理的技術系統整合處處長吳俊宏。 魏哲家在說明會一開場說明，所有狀況已經在8月6日下午全部排除，台積電所有產線百分 之百全速上線生產的狀態，並且強調公司主要的電腦系統，包括生產製造資料庫以及客戶 資料，都不受到此次病毒影響。 在這次事件當中，受影響的機臺、自動搬運系統與電腦感染的病毒，是源自於去年5月肆 虐全球的勒索軟體WannaCry的一個變種，因為台積電這些設備所用的作業系統是Windows 7，儘管微軟早已提供了相應的安全修補程式，但是台積電通常得經過審慎評估，才能進 行安裝，目前這些電腦都沒有安裝更新。所以，才讓病毒能夠乘虛而入的機會。文章未完 ，請見【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末（下） 台積電產線中毒大當機推論時程 Day 1　8月3日 8月3日周五傍晚 新機臺準備安裝 台積電產線進行新機臺安裝作業。台積電新竹某晶圓廠進駐一臺產線新機臺，準備安裝後 在周末上線，採取如過去數萬臺新機臺部署一樣的作業流程。 8月3日晚上 新機臺上線 新機臺安裝前需完成一系列人工檢查作業，但安裝人員還沒掃毒前，就將新機臺先連上網 路（原有SOP規定得先掃毒）。 病毒發動攻擊 數分鐘內出現災情，新機臺內藏WannaCry變種病毒，開機後自動感染其他主機。一開機完 成後，WannaCry就自動掃描同一網路內的所有電腦主機，發動EternalBlue漏洞攻擊（鎖 定445埠感染），進行擴散感染。 病毒擴大感染 數小時內，WannaCry擴大感染各地晶圓廠。因台積旗下所有半導體廠都串連到同一個生產 內網上，導致WannaCry變種病毒快速散播感染到北、中、南科等地廠房中，主要中毒機臺 採用的是Windows 7系統。在臺灣廠與海外廠區間則設有防火牆隔離，因而阻止了 WannaCry的境外感染。 啟動緊急應變程序 中毒事件發生後，台積電啟動緊急應變程序，包括召回數百名CIM人員和IT人員，展開全 臺搶修，也進行電腦斷網（拔網路線以阻斷感染）、重灌機臺系統等工作。台積電第一時 間也同步執行資安管制措施，查看系統資料完整性，確認機密性資料是否受到影響。另外 還緊急通知受影響訂單的顧客，並派出各廠工程人員評估生產中晶圓受損、報廢情況。生 管人員也重新調整新的生產排程。 災情擴大 台積電各地晶圓廠陸續傳出更多災情，甚至多廠產線中斷，更多產線機臺或天車系統，因 WannaCry變種病毒而發生當機或重開機情況，其中又以7奈米、12奈米等先進製程產線的 中毒災情較大。 Day 2　8月4日 8月4日凌晨 事件曝光 凌晨，台積電資安事件曝光。PTT BBS八卦版率先披露台積產線大當機事件。後續引起多 家媒體報導，甚至登上國際媒體，成為國際新聞事件。 8月4日下午2點 台積電對外說明 台積電公開證實產線中毒事件，也首次對外說明。台積電坦言，部分機臺感染病毒，但否 認發生駭客攻擊，並指出部分工廠已經恢復。 8月4日下午3點 台積電首度公告 台積電也在公開資訊觀測站網站發布重大訊息公告，說明8月3日電腦病毒感染事件，並預 告1天內可以全面恢復產線運作。 Day 3　8月5日 8月5日下午4點 台積電二度公告 台積電進一步說明中毒災情，並透露恐損失78億元。台積電再次揭露中毒事件細節，首度 坦言因新機臺安裝軟體過程操作失誤釀災，強調資料完整性和機密資訊皆未受影響。也首 度公布損失預估，第三季營收將影響3％，毛利率則有1％的影響，預估損失77～78億元。 因產線中毒造成的出貨延遲則將在第四季補回。 復原進度延後 台積電原訂預告的24小時復原承諾時間（8月4日下午2點）內，80％機臺先恢復生產，但 仍有少數先進製程機臺需進一步檢測，或搬運系統有待復原。台積電宣布延後復原時程， 得等到8月6日才能完全恢復。 Day 4　8月6日 8月6日下午 台積電全線恢復生產 所有受影響機臺和設備全面復原，各廠全線恢復生產，台積電進一步評估實際的災情損失 ，並同步尋找未來對策。 8月6日下午5點 台積電召開公開說明會 因為預估損失金額超過3億元，台積電也在臺灣證券交易所召開重大訊息說明記者會，由 台積電總裁魏哲家親自帶頭，連同代理發言人、財務主管、IT主管、資安主管，公開解釋 機臺中毒事件的始末，以及未來因應措施。進一步盤點後，台積電預估損失約58億元，比 原先預估的78億元損失再降低。 事件後短期措施 優先解決延遲交貨問題，預計第四季全數補回，並對顧客說明事件處 理細節。另外，台積電將開發新機臺安裝自動檢測機制，搭配人工檢查並行，並建立連網 防呆機制，只有完成雙重檢查的設備，才由系統授權連上生產內部網路，以排除人為疏失 。 事件後長期措施 台積電承諾將持續與資安單位合作，強化相關資安系統。另外也會安 排合適時機，進行所有機臺Windows 7系統的更新和修補工作。 資料來源：iThome整理，2018年8月 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.115.180.16 ※ 文章網址: https://www.ptt.cc/bbs/PttHistory/M.1537198392.A.725.html ※ 編輯: name2name2 (59.115.180.16), 09/17/2018 23:34:48