資安院：提防供應鏈攻擊

　去年台製呼叫器出現在黎巴嫩爆炸事件，讓外界對產品設計與供應鏈資安風險產生疑慮。資安院副院長龔化中表示，產品資安不僅影響品牌信任與營運穩定，也可能波及國際市場與地緣風險，是政府、產業都必須正視的關鍵議題。

　據資安院近3年資安事件通報統計，資通訊（ICT）設備資安漏洞數量逐年上升，2024年已占整體通報事件14％。龔化中指出，電子產品設計不夠安全，就容易被駭客利用，進行「供應鏈攻擊」。

　他分析，這類產品多半具有出貨量大、使用年限長、韌體更新頻率低等特性，只要某款設備被成功入侵，就可能擴及成千上萬台同類裝置。相較攻擊單一網站或伺服器，入侵熱門產品投資報酬率更高，特別受國家級駭客與組織性攻擊者偏好。有些惡意程式甚至設計成一旦觸發，就能讓成千上萬台裝置瞬間「變成磚塊」，企業必須逐台重設、恢復，造成營運與資安的雙重衝擊。

　常見的產品漏洞，在開發階段就能預防，像是緩衝區溢位（buffer overflow）與跨站腳本攻擊（cross-site scripting,XSS），長年居國際上軟體通用缺陷列表（CWE Top 25）清單前幾名，即使技術上不難解，但只要設計疏漏就容易反覆出現。建議廠商可優先針對該清單中排名前五的弱點進行改善，「只要把前面五個常見錯誤修正好，整個軟體不良就會少很多。」

　不過，產品資安風險來源不只來自自身開發，龔化中指出，企業內部程式撰寫，可能因使用開源元件而承擔「外部漏洞」風險，應從設計源頭落實安全開發原則，並掌握產品採用的第三方元件組成與來源。

　面對新型態供應鏈攻擊，台灣已有業者積極建立資安治理流程，如台達電集團內統一的安全開發制度，威強電旗下威聯通（QNAP）、群暉（Synology）透過挖掘漏洞獎勵機制（Bounty Program）鼓勵白帽駭客協助找風險，甚至如松下（Panasonic）在台成立資安實驗室，主動模擬攻擊情境，驗證產品防護能力。