產線驚傳遭病毒感染 台積電：1天內將全數恢復正常

晶圓代工半導體龍頭台積電（2330）今（4）日驚傳遭病毒攻擊，導致晶圓12廠、中科晶圓15廠與南科晶圓14廠發生當機、受損等情況，目前已關機，並暫時停產並緊急搶救中。台積電下午發布新聞稿表示，目前已經控制病毒感染範圍，受影響基台正逐步恢復生產，預計一天內將全數恢復正常。

台積電也證實消息並表示，這起攻擊事件確實是由病毒感染所造成，但不是外傳的駭客所為，內部現已召開緊急會議研擬對策。

據工業局官員指出，目前第一時間已跟台積電保持聯絡，會持續追蹤後續影響，目前尚未了解內部的受損情形。但官員也強調，台積電為國際公司，他們自有一套處理的模式，但若業者有需要，政府這邊也會給予必要的協助。

而問到台積電遭病毒感染，往後會不會加強對科學園區的資訊安全管理與協助？工業局回應，至今尚未了解事件發生的詳細狀況，須等狀況釐清後才能提供協助，但若產業有需要，政府都會盡力幫忙。

網攻嚴重 科學園區內部系統每月最多上百次

台灣高科技產業遭到網路惡意攻擊嚴重，今天又傳出台積電受病毒感染，科學工業園區管理局透露，內部系統每月曾遭受包括來自中國、加拿大等地的網路攻擊，最多達上百次。

台積電今天下午發布新聞稿指出，部分機台3日傍晚遭受病毒感染，但並非如外傳遭駭客攻擊，目前已控制病毒感染範圍，並找到解決方案，預計一天內將全數恢復正常。

台積電在新竹、中部及南部科學工業園區都有設廠，科技部所屬的三大科學工業園區管理局管理局皆表示，目前未收到其他廠商受害通報。

園區資安主管表示，各大科技廠商都有自己的防護軟體系統，並擁有專業資安人員，台積電的資安防護強度非常高，對WIFI、USB管制也很嚴格，但這次卻同時間在不同園區廠房遭受病毒感染，資安專家們都很訝異。

他猜測，有可能是相關設備在採買前，後端就被植入後門軟體，但到底實際情形為何，台積電也還未向管理局說明，目前仍不清楚。

這位資安主管表示，其實不止是廠商，存放園區廠商電子文件、廠商通關系統等資料的各園區管理局內部系統，每月最多會遭受上百次的網路攻擊，有來自中國、加拿大及國內等很多地方；病毒則能透過WIFI、USB等方式感染攻擊，假使外流後果不堪設想。

另外，據科技部統計，科學工業園區的學研專用網路4月被惡意攻擊就多達68億次，因此去年已花費新台幣1500萬元成立資訊分享與分析中心（SP-ISAC），並採匿名化措施，鼓勵廠商通報。

這位資安主管透露，很多科技大廠都要求管理局不能在廠房裡面甚至周邊裝設WIFI熱點，並除了高階主管外，要進入廠房的員工或人員都得交出手機等設備，就連之前科技部長陳良基等人參訪這些大廠，都一樣得比照辦理。

他說，為了提高資安強度，管理局除了聘用受過訓練並擁有證照的資安防護人員外，科技部每半年統一會辦理資安演練，各園區每一季則會自行辦演練，利用各種病毒、網路攻擊型態測驗防護系統強度及人員反應速度。

台積電遭病毒感染原因出爐：新機台安裝軟體時操作不慎

台灣積體電路製造（台積電，TSMC）在上周五（8/3）傳出工廠機台遭到病毒感染，引起媒體爭相報導，台積電除了澄清並非遭到駭客入侵之外，也在周日（8/5）說明是在安裝新機台的軟體時操作錯誤，使得病毒在新機台連至內部網路時展開擴散，估計將影響該公司今年第三季（Q3）的3%營收。

台積電為全球最大的晶圓代工半導體製造廠，該公司並未說明受到病毒感染的範疇，只說感染程度因工廠而異，也已控制病毒感染範圍，並找到解決方案，周日已有8成受影響的機台恢復正常，估計到今日全數機台都能恢復正常。

雖然台積電在不到4天就解決病毒感染問題，但已導致晶圓出貨延遲與成本增加，預期將會影響本季（Q3）營收的3%與1%的毛利率，且延遲的出貨量可望於第四季補回。

台積電原本預期本季營收將落在84.5~85.5億美元之間，意謂著此次病毒感染事件將會造成約2,500萬美元的營收損失。台積電財務長何麗梅則向彭博社透露，過去台積電也曾遭受病毒攻擊，但這是首次影響生產線。

台積電強調，病毒事件並未波及該公司的機密資訊或資料完整性，已採取措施彌補此一安全問題，也將加強資安，並陸續通知受影響的客戶。

台積電感染電腦病毒事件，將衝擊第三季營收損失約77億元

上周五台積電傳出部份晶圓廠生產線的電腦遭到電腦病毒感染，致使產線停機，外界揣測可能遭到駭客攻擊，週六該公司對外澄清並非受到駭客攻擊，而是受到電腦病毒感染，週日再進一步說明，預估中毒事件將衝擊第三季營收3%，可能因此損失77億元。

台積電在上周五傍晚傳出遭到駭客攻擊，台積電旗下部份晶圓廠產線機台受到電腦病毒感染，蘋果日報報導，受影響的包括台積電竹科、中科、南科，涵蓋該公司旗下12廠、15廠及14廠，影響製程包括7到12奈米。

由於最初情況不明，引發了台積電遭到駭客攻擊的傳聞，週六下午台積電在公開資訊觀測站公告，指8月3日傍晚部份機台受到病毒感染，並非外傳受到駭客攻擊，並已控制感染範圍，且已找到解決方法，受影響的機台正逐漸恢復運作。

台積電指出，產線受影響的程度因工廠而異，部份工廠已在短時間內恢復，其他工廠也會在一天內恢復正常。

有媒體報導，台積電生產線上的機台為封閉系統，並沒有對外連接網路，這次產線上的機台遭到電腦病毒感染，除了可能是內鬼搞鬼外，也懷疑不慎使用了不乾淨的USB裝置所致，由於封閉系統軟體更新仰賴USB裝置，若使用已被病毒感染的USB裝置就可能導致封閉系統遭感染。

台積電在周日再發出聲明，此次感染病毒的原因是新機台在安裝軟體的過程中操作失誤，致使病毒在新機台連接到公司內部電腦網路時遭感染。但強調內部的資料完整性和機密資訊皆未受到影響，已採取措施彌補安全問題，並加強資安防護。

而至昨天下午兩點為止，80%的機台已恢復正常，在該公司預期至今天（8/6）以前應能全數恢復正常。這次中毒事件對其第三季營收影響約3%，毛利率營收約1個百分點，台積電有信心在第四季補回損失，全年業績以美元計仍維持原先財測的高個位數成長。

若以台積電先前展望第三季營收在84.5到85.5億美元之間，這次事件預估將影響第三季營收損失約台幣77億至78億元間。

台積電表示，目前已向受影響的客戶通知說明，並溝通晶圓交貨時程，未來幾天將和個別的客戶詳細說明。

一隻病毒干擾台積電78億營收，官方證實起因是新機台SOP不到位

一隻病毒悄悄攻擊週末前夕台積電晶圓廠產線機台，竟然導致台積電本季營收將短少77~78億元，數字遠高於預期。

台積電官方於8月5日第二度發出聲明，文字中透露病毒攻擊成功的原因出自「新機台在安裝軟體的過程中操作失誤」，證實人員操作 SOP 並未落實，這讓外界一向認為對資安防護滴水不漏的台積電高牆內發生什麼事增加疑慮。

「803病毒事件」衝擊晶圓代工龍頭台積電內部資安管理嚴謹度，8月5日台積電二度發出聲明說明復原進度，並公佈受業績影響預估，估粗影響第3季營收高達3%，以財測預估的營收區間84.5～85.5億美元推算，病毒導致停產2日帶來的營收短少將在新台幣77.31～78.23億元，比外界預期20～30億元要多2倍以上。

台積電預估此次病毒感染事件將導致兩大影響，第一是晶圓出貨延遲，第二是成本增加。法人以營收影響數推算，本季短少晶圓數量達數萬片水準。

台積電估第3季營收受影響約為3%，對毛利率的影響約為一個百分點。台積電原財測估第3季毛利率在48~50%之間，要比第2季回升一個百分點，如今被病毒事件影響破功，而少一個百分點的毛利率意味一季少賺24.97～25.29億元營業毛利金額。

晶圓產能損失第4季追回

所幸，台積電表示有信心第三季晶圓出貨延遲數量，將於第四季補回，全年業績（以美元計）將維持7月19日法說會上所說的7~9%年成長率。

台積電8月3日晚間傳出遭病毒攻擊，機台遭感染停擺，財務長何麗梅接受外媒訪問坦言台積電不是第一次面對病毒攻擊，但產線是第一次遭受病毒感染。傳言受攻擊製程包括7奈米跟12奈米。

由於 Apple 將於9月發表新 iPhone，市場關注 A12處理器晶片就是用台積電7奈米製程生產，為此市場也紛紛揣測影響出貨程度，台積電則於5日發佈最新聲明，指出經過36小時以上搶修，台積電已經控制此病毒感染範圍，同時找到解決方案，8月5日下午兩點為止，80%受影響的產線機台已經恢復正常，預計在8月6日也就是週一前，所有受影響機台皆能夠恢復正常。

新機台SOP未落實，因小失大

對於為何遭病毒感染？台積電指出肇因於新機台在安裝軟體的過程中操作失誤，因此病毒在新機台連接到公司內部電腦網路時發生病毒擴散的情況，台積電強調資料的完整性和機密資訊皆未受到影響，也承諾未來會採取措施，彌補安全問題，進一步加強資訊安全措施。

台積電也表示，多數客戶都已收到相關事件的通知，正與客戶緊密合作溝通晶圓交貨時程。台積公司將在未來幾天內與個別客戶溝通細部資訊。

台積電總裁親上火線，對外解釋機台停擺與病毒感染事件始末

針對台積電上週五（8月3日）傍晚發生機台停擺事件，該公司在8月5日下午4:30分發出新聞稿，初步公布電腦病毒感染事件影響，今天下午（8月6日）在臺灣證券交易所召開重大訊息說明記者會，詳細解釋目前處理的狀態，以及此次事件的經過，為了讓所有關切的人安心、放心，總裁魏哲家親自上陣說明，現場也有多位高層主管列席回答記者提問，包括：資深副總經理暨財務長杜麗梅、企業訊息處資深處長孫又文、技術系統整合處處長吳俊宏、資訊技術資深處長陳文耀，他們也對外宣布病毒感染的狀況，在今天下午已經全部消除，已恢復為百分之百全速上線生產的狀態，並且強調公司主要的電腦系統，包括生產製造資料庫以及客戶資料，都不受到此次病毒影響。。

在這次事件當中，受影響的機台、自動搬運系統與電腦感染的病毒，是源自於去年肆虐全球的勒索軟體WannaCry的一個變種，而這些設備所用的作業系統是Windows 7，微軟也已提供安全性修補程式，但需經過審慎評估之後，才能進行安裝，於是產生了病毒能夠乘虛而入的機會，等到它們感染這支惡意程式之後，也發生了當機或是重複開機等症狀。

之所以爆發大規模的病毒感染，總裁魏哲家表示，原本新機台上線的程序，是必須先通過防毒軟體的檢測，才能連上網路，但此次卻是先上線，再進行防毒的處理，才會導致如此嚴重的後果。

事發的起源就在於，當時準備上線的一部新機台，本身已帶有病毒，然而，在未經網路隔離及防毒系統處理的人為疏忽下，就連接到台積電的生產網路當中，再加上為了達到最佳的生產效率，該公司臺灣廠區的生產網路全部連結在一起的關係，卻反而因為這次病毒感染的關係，造成竹科、中科、南科廠區的相關設備受到大規模感染。

而就復原作業的進行而言，魏哲家說，在製程較為先進的廠區當中，因為系統架構更複雜，受影響的層面就越大，從而恢復的速度也越慢，截至昨天為止，復原的比例已經達到80％，到了今天則已回到全線生產的狀況。

台積電位於國外的廠區則未受到影響，他們也因此啟動了緊急應變程序，加強與客戶之間的溝通。

雖然，這次大規模感染的病毒是WannaCry的變種，但他強調當中並不涉及惡意軟體的綁架、駭客攻擊，也跟USB裝置中毒無關，並非來自公司外部或內部的攻擊，純屬疏忽，同時，他也表明，公司現有資料的完整性與機密資訊的保存，均不受到影響。

對於如何避免同樣的狀況再度發生，魏哲家提出承諾，以後機台在開始上線的過程當中，會導入防呆的機制，落實系統自動化檢查，排除所有的人為因素，這些設備若未施行任何的防範措施，就不允許其上網，並且會建立機台之間的防火牆。

【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末

尋常的周五傍晚，台積電新竹一座晶圓廠內，設備安裝人員正趕著要在下班前完成一臺新機臺的安裝。儘管晶圓廠幾乎全年天天24小時日夜趕工，但周末上線新系統是慣例，可以盡量降低對周間營運的影響風險，也比較不會直接衝擊股市。這不是台積工程團隊第一次安裝新機臺，早就制訂了一套標準的安裝作業SOP，甚至在各地廠區已經按SOP安裝過數萬臺新機臺。

台積電是全球半導體代工龍頭，今年光是上半年營收就高達4,813億多元，單季平均2,400多億元，原本預估第三季營收還會再持續提高，達到2,600億元之高。尤其7奈米先進製程晶圓廠正快馬加鞭趕工中，為的就是生產蘋果今年主力產品新款iPhone的核心零件A12處理器。

但是，沒人想得到，8月3日傍晚這一次新機臺的安裝卻出狀況，安裝人員一個小動作的疏忽，竟然造成了台積電全臺產線大當機，營收損失預估更是高達52億元天價，創下臺灣有史以來損失金額最高的資安事件，遠遠超過去年遭駭盜轉18億元的遠銀事件，全球媒體和分析師們，更擔心大當機延遲了新款iPhone的出貨時程而高度關注。

一篇BBS文章，披露台積產線大當機事件

台積電大當機事件最早曝光是在8月4日凌晨，臺灣最大BBS社群「有沒有台積電大當機的八卦」的貼文引起了眾人關注，不少台積網友留言，回報各地廠區產線當機情況，也有網友反應，3日晚上台積還突然關閉了門禁系統，禁止人員離開晶圓廠，為得就是要徹底大清查。

這篇貼文討論越演越烈，甚至蔓延到其他更多討論區，如Tech_Job版也開始揭露更多晶圓廠中毒當機消息，也有人留言台積電緊急召回數百人回廠搶修。

台積電中毒事故很快引起媒體關注，電視臺更是以跑馬燈新聞披露，引起更多網友紛紛揭露自己看到的情況，包括台積電位於竹科的晶圓12廠、中科的晶圓15場以及南科的14廠，都傳出產線當機事件，等於是台積電全臺主要晶圓廠都淪陷，關鍵的7奈米製程產線更是首當其衝發生事故。

到了早上，不只臺灣媒體紛紛報導台積電產線中毒大當機事件，連國外媒體也開始關注，外媒尤其擔心，蘋果秋季最重要的新款iPhone出貨時程，會不會因此而受影響，台積電晶圓廠的事故，不只影響台積電而已，甚至可能衝擊到近來登上全球第一家兆元企業的蘋果，年度最重要的新產品布局，也會影響全球iOS生態系市場局勢。

台積電過去向來是資安模範生，層層管制、嚴格把關的種種資安措施更為人津津樂道，甚至視為業界最高標準之一，不只任何一支USB都不能入廠，就連全球科技大廠執行長來臺參觀台積電廠房時，都得在門口櫃臺繳出手機，筆電貼上封條，沒有例外。如此嚴密防護的台積電，竟然也會中毒，甚至是全臺廠房都出事！這個消息震驚了各界。病毒如何進入感染，也成了各界熱議的話題，USB感染或外部駭客攻擊是外界推測出事的兩種可能原因。

8月4日凌晨，披露了台積電產線大當機的消息，不少網友也留言回報多起產線當機事件，快速引起媒體高度關注，甚至成了國際新聞。

台積電隔日證實，當機事件源於機臺中毒，而非駭客入侵

8月4日中午，台積電首度出面回應，證實了機臺中毒的消息，但否認是外部駭客入侵。稍晚，約3點半前後，台積資深副總經理暨財務長何麗梅也具名在公開觀測站網站上正式發布重大訊息公告，證實8月3日傍晚部分機臺遭受病毒感染，而非外傳的駭客攻擊，也透露，台積電已經控制病毒的感染範圍，並且找到了解決中毒問題的方案，開始修復機臺，讓受影響的機臺恢復生產。在8月4日已有部分工程恢復正常，台積並預告其餘工廠將在一天內恢復正常。

但是，儘管台積電很快地證實了中毒消息，但沒有進一步說明病毒入侵方式，以及實際受病毒感染的影響範圍，尤其是否如網友披露的災情遍及北、中、南各地晶圓廠。這個短短不到120字的公告說明，仍舊引發了各界更多疑慮和討論，尤其新款iPhone處理器出貨的7奈米製程產線是否受創，這次事件對台積電又會造成多大的影響，依然狀況不明。

事件發生第三天，8月5日，雖然是星期日，但台積產線中毒事件的討論越演越烈。到了下午3點前後，這是台積電第一次公告所預告的24小時復原期限，台積電還沒出面說明，僅透露傍晚會以新聞稿說明。直到4點46分，台積財務長再次於公開觀測站上發布第二次公告，這次公告揭露的就是眾人最好奇的其中一項資訊，病毒感染事件的影響。

台積電在公告中，進一步揭露病毒影響範圍以臺灣廠區為主，各廠影響程度不一，從8月3日傍晚中毒事件發生後，到8月5日下午2點為止，受影響的機臺已經有80％恢復正常，也就是在原訂預告的24小時復原承諾期限，只復原了8成，其餘2成，還要等到8月6日才能恢復正常運作。

初次預估營收衝擊將高達78億元

這次病毒事件也造成台積晶圓出貨延遲，以及相關成本的增加。台積預估會對第三季的營收影響約3％，對毛利率的影響也有1％。換句話說，以台積先前公布的第三季營收預估約2,600億元，這次罕見的產線中毒事件，將會造成台積電第三季營收短少約78億元之多，打破了臺灣歷年資安事件影響金額的紀錄。

產線中斷最大的影響是出貨延遲，台積預估可以延後到第四季時全數補回。但因延遲交貨也會拖累到顧客產品時程，台積電透露已經向顧客說明，重新協商晶圓交貨時程，並承諾會在未來幾天向顧客說明細節。

另外對於中毒原因，台積也首度坦承是人為操作疏忽，因為新機臺安裝軟體過程沒有按照SOP而釀災，再加上新機臺連上公司內部電腦網路而導致病毒擴散。台積在中毒後也同步清查內部資料的完整性和機密資料，所幸，這部分都沒有受到影響，沒有遺失或損失這些資料。

一個疏失，造成78億元的鉅額損失和延遲交貨，成了新話題。為何會造成這麼大的損失？台積電沒有細講，但也更證實了多數廠房和產線受創停工的消息。另一個引起IT圈討論的是，為何病毒可以跨地理區擴散？儘管台積還沒證實。但當時已傳出引起事故的病毒是WannaCry勒索軟體，但就算是勒索軟體，一般企業不同地理區的，多半會各自有獨立的內部網路，彼此透過防火牆隔離控管。但是台積這次中毒事件，在短短一個晚上，就快速蔓延到三地，再加上新聞稿提及，病毒透過「內部電腦網路」感染到其他廠區。這個速度和滲透「內部電腦網路」的威力，更讓人驚訝，也很像是有人操控層層破解多道防護來入侵的APT手法。第二次公告，儘管讓外界對中毒事件的影響，有了初步瞭解，但因影響金額的巨大，再加上對於向來以資安嚴密著稱的台積電，內網防護如此容易瓦解，而讓外界依舊費解。再加上，8月6日是事件發生後的第一個股市交易日，鉅額損失和後續修復情況未明，這個事件依舊引起更多傳聞和揣測。

依照政府規定，若企業重大事件影響超過3億元或股價20％，除了發布公告外，還得出面召開說明。證券交易所原本在事件發生第二天也只是要求，台積電要發布公告說明，也引起部分人推測，損失金額可能沒有達到3億元，因此沒有召開重大訊息說明會的必要。

但在星期天的預估影響金額一曝光，果不其然，星期一股市一開盤，台積電股價就下滑，儘管最終跌幅不到1％，但證券交易所也要求台積電必須召開公開說明會，公開回應外界的提問，來消弭各種傳聞後續可能引起的股市動盪。

總裁帶頭親上火線，召開公開說明會釋疑

台積電也在8月6日在臺灣證券交易所召開重大訊息說明記者會，來解釋事件經過和最新處理狀態，由台積電總裁魏哲家親自上陣說明，連同多位高層主管列席，包括：資深副總經理暨財務長杜麗梅、企業訊息處資深處長孫又文，資訊技術資深處長陳文耀（IT主管），以及負責這次資安事件處理的技術系統整合處處長吳俊宏。

魏哲家在說明會一開場說明，所有狀況已經在8月6日下午全部排除，台積電所有產線百分之百全速上線生產的狀態，並且強調公司主要的電腦系統，包括生產製造資料庫以及客戶資料，都不受到此次病毒影響。

在這次事件當中，受影響的機臺、自動搬運系統與電腦感染的病毒，是源自於去年5月肆虐全球的勒索軟體WannaCry的一個變種，因為台積電這些設備所用的作業系統是Windows 7，儘管微軟早已提供了相應的安全修補程式，但是台積電通常得經過審慎評估，才能進行安裝，目前這些電腦都沒有安裝更新。所以，才讓病毒能夠乘虛而入的機會。

台積電晶圓廠之所以爆發大規模的病毒感染有兩個關鍵，台積電總裁魏哲家坦言，原本新機臺上線的程序，是必須先通過防毒軟體的檢測，才能連上網路，但此次的疏失是，安裝人員先將機臺連上網路，再開始進行防毒處理。但當時準備上線的這一部新機臺，本身內有病毒，在未經網路隔離及防毒系統處理的人為疏忽下，就連接到台積電的生產網路當中，再加上為了達到最佳的生產效率，該公司臺灣所有廠區的生產網路全部連結在一起，才會因為一臺病毒感染，就造成竹科、中科、南科廠區的相關設備受到大規模感染，導致如此嚴重的後果。而境外廠區，如南京晶圓廠，因台積電臺灣廠區與海外廠區之間設有防火牆，因而阻斷了病毒的境外感染，沒有影響到國外廠區。

去年5月爆發全球大流行的WannaCry病毒，短短2天內，就襲擊全球150多國，攻擊數十萬臺電腦受到攻擊，從英國、美國、德國、俄羅斯到亞洲的中國、韓國、日本、泰國、臺灣都傳出災情。

例如韓國一家連鎖電影院旗下50家間戲院都被WannaCry入侵，而日本JPCERT則統計去年當時有6百家日本企業，超過2千臺電腦遭攻擊，而中國災情更是嚴重，根據中國防毒軟體公司奇虎360統計，中國起碼有3萬個機構遭WannaCry攻擊，包含政府機構、大學、醫院及自動提款機都遭殃。臺灣至少有10所學校共59臺電腦被攻擊，臺電公司也有116臺行政電腦被攻擊，甚至有醫院的行動護理車也中標。

WannaCry之所以能快速感染全世界的關鍵是，它利用了微軟作業系統的SMBv1/SMBv2（Server Message Block）漏洞，並且採用了遭駭客組織公開的美國國安局（NSA）攻擊工具EternalBlue（永恆之藍），因而可以主動感染其他具有SMB漏洞的Windows電腦。一旦WannaCry入侵電腦後，就會開始掃描同一個網路上的其他電腦，只要發現沒有修補SMB漏洞的電腦，就以EternalBlue攻擊程式主動入侵該電腦，一旦滲透成功後，WannaCry勒索軟體就會在受害電腦自動執行，一方面將受害電腦的檔案逐一加密，另一方面則繼續入侵其他有SMB漏洞的電腦。

雖然台積電遭遇的是WannaCry變種病毒，據台積電資訊技術資深處長陳文耀補充，這款WannaCry變種病毒，沒有加密機制，而是會造成系統發生了當機或是重複開機等症狀。但是這款WannaCry變種病毒仍是一個能夠自動發動攻擊和感染的電腦蠕蟲。這也是為何，台積電新機臺一連上網路，就會造成大規模感染的關鍵。

根據臺灣賽門鐵克首席技術顧問張士龍估計，新機臺一開機完，WannaCry變種病毒就開始自動感染擴散，只要沒有阻斷445埠的通訊，幾個小時，病毒就能快速擴散到其他縣市的廠區。台積電在資安事件發生後快速向多家資安廠商尋求解決方案，賽門鐵克也是其中之一，因此，張士龍對實際狀況有更多的了解。

在復原作業上，魏哲家說，在製程較為先進的廠區當中，因為系統架構更複雜，受影響的層面較大，因而恢復的速度也越慢。所以在星期天下午復原的比例先達到80％，而到了8月6日下午，則已回到全線生產的狀況。台積電也因此啟動了緊急應變程序，加強與客戶之間的溝通。

一般處理上，WannaCry病毒只能採取系統重灌的作法，才能徹底排除隱憂。半導體公司在新機臺進駐時，多半都會先建立一份機臺系統檔案的原始映像檔，作為日後系統復原之用。而進入生產階段時的機臺，會儲存了不同訂單的生產配方資料，甚至還有根據產線特定而調校過的配方參數，企業也多半會每個月備份一次到多次，依不同公司備份習慣而定，因此，台積電只需重新安裝機臺系統，並從內部備份系統中，將原有備份的機臺生產配方和參數資料回復，多數可恢復生產。日常充分的備份工作，是遭遇WannaCry病毒攻擊時，能快速復原的關鍵。

因為中毒事件預估衝擊營收高達數十億元，台積電8月6日在臺灣證券交易所召開重大訊息說明記者會，解釋事件經過和最新處理狀態，台積電總裁魏哲家親自上陣，連同IT、資安、財務等主管對外說明。

主要衝擊是交貨延遲問題

雖然，這次大規模感染的病毒是WannaCry變種，但魏哲家強調當中並不涉及惡意軟體的綁架、駭客攻擊，也跟USB裝置中毒無關，病毒是原本就藏在新機臺中，也非安裝人員私自夾帶入廠，並非來自公司外部或內部的攻擊，純屬疏忽，同時，他也表明，公司現有資料的完整性與機密資訊的保存，均不受到影響。後續處理上，魏哲家表示，目前要優先解決的是延遲交貨問題，預計第四季全數補回，並對顧客說明事件處理細節。

一般半導體晶圓製程上，是採一層層疊加的方式來製作晶片上的電路，平均一層得花上1天，技術優良的廠可以縮短到一層0.8天，一般24奈米晶圓上需要40～50層作業，就得花上30～40天，只要製作中斷了，就得幾乎得從頭開始，這也是為何產線無預警中斷，對晶圓廠影響甚鉅的緣故，若是更複雜的7奈米先進製程，需要80～85層，就至少得花上連續不中斷的60天作業。

台積電這次造成產線大當機，最大影響不只是製作到半途的晶圓，若無法使用得報廢，而且得從頭開始製作，若是已經接近完工的晶圓，等於60天的工作一夕作廢，得重頭再來。這也是為何魏哲家強調，目前首要工作是解決延遲交貨的問題，而且得在第四季，花上一整季來想辦法補齊。

預估營收損失從78億元降低到52億元，但仍是破紀錄災損

而在損失預估上，原本8月5日公告中揭露的預估損失高達78億元，但在星期一這場公開說明會上，魏哲家表示，經過更準確的評估後，預估損失將從對第三季營收影響3％，降低到只有2％。換句話說，損失預估值將降低到52億元。而造成營收損失的原因主要來自報廢晶圓、晶圓或物料重新調度的成本，追加的原物料等。而交貨延遲的問題，魏哲家透露，目前受影響顧客不會向台積電要求賠償，只是得盡快解決。他預估，第四季可以補回所有這次事件造成的延遲交貨。

一位曾在南科擔任半導體廠長的業界資深主管透露，產線中斷的影響，得經過一定程序的檢測和判斷才能得知。產線機臺系統上會有報廢損失的預估，可以知道第一時間生產中斷可能的損失，但可能有些晶圓作業可以重來，例如晶圓正在加溫到300度的過程，但還未達300度，只需重新加溫就可繼續使用，或者正處於天車移動中的晶圓，若無限時完成下一步處理的必要，這類運輸過程的晶圓也多半可再繼續使用。經過檢測或判斷，可以知道哪些晶圓還能回收，或只需少數重工就能續用。因此，可以更精準地估算損失。

儘管損失從78億元降低到52億元，仍舊創下臺灣資安史的紀錄。魏哲家承諾，不會再讓同樣的事情發生。台積電將盡快開發新機臺安裝自動檢測機制，搭配原有的人工檢查作業，重軌並行。另外，台積電也正在開發連網防呆機制，未來新機臺安裝部署時，會導入防呆的機制，只有完成雙重檢查的設備，才由系統授權連上生產內部網路，以排除人為疏失。落實系統自動化檢查，排除所有的人為因素，這些設備若未施行任何的防範措施，就不允許其上網，並且會建立機臺之間的防火牆。長期措施上，台積電資訊技術資深處長陳文耀也表示，會持續與資安單位合作，來強化相關資安系統。而因為全臺各晶圓廠都串連在一個生產網路上，每一臺機臺Windows 7系統的更新和修補工作也成了台積電未來的重要工作之一。魏哲家表示，將尋找適當時機全面更新。

台積電全臺產線中毒大當機事件，經過4天風波，暫時告一段落，但誠如魏哲家在公開記者會中語重心長的坦白：「裝過幾萬架機臺，台積電第一次發生這種事情，我們才發現，人類不可能不犯錯。」就連全球半導體龍頭，臺灣業界的資安資安生，都會犯錯。這一個看似無害的違反SOP小疏忽，最後竟導致52億元的預估營收損失，不只對台積電而言是一次慘重的教訓，也是臺灣全部企業的一堂資安震撼教育。

台積電為何遲遲不修補機臺Windows漏洞？不是不願意，其實是無能為力

台積電爆發了臺灣史上最大的資安事件，一支WannyCry變種病毒癱瘓了全臺各地廠區多條生產線，預估營收損失高達52億元。台積電在事件發生後，一連多次公告來說明事件原因和影響，甚至台積電總裁魏哲家接同多位主管，親自對外召開說明會。

台積電啟動緊急應變作業，不到三天全臺所有產線就完全恢復生產，獲得不少好評，但從這次中毒事件，也暴露了台積電內部資安防護上的幾項風險。

之所以發生這起資安大事件，第一個出問題是供應商。為何來自供應商的新機臺，竟然一出廠就內藏了病毒？台積電在記者會上沒有回答這個問題，只說明他們還在追查中，也沒有說明問題機臺來自哪一家廠商，甚至是哪一種用途的機臺都不願透露。

台積電產線大規模中毒關鍵6因素

擔任第一道資安防線的供應商把關不巖，導致病毒夾帶在新機臺中，潛入了連一支USB都不能帶進場的台積電晶圓廠，供應商得負起一定的責任，這是供應商管理的議題，這是造成中毒的第一個關鍵因素。

但對企業來說，也不能全然將自家安全放在別人的手上。因此，無論如何，新機臺進廠，企業也需自有一套檢查措施，來確保進場的設備沒有問題。台積電也是如此，甚至，魏哲家自己都承認，機臺內有病毒不是正常現象，「每個行業都應該自己先對機臺設備做防毒處理，這是基本機制。」他在記者會上坦言。

台積電的確有一套嚴密的新機臺檢查作業程序，擔任第二道防護關卡，而且是已經用於台積電各地廠房，安裝了數萬次新機臺。但在一萬次中，就出現了一次SOP操作疏忽，安裝人員在掃毒之前，就將新機臺先連上網路，這是中毒釀災的第二個關鍵因素。

機臺離線掃毒並不困難，就算新機臺中沒有安裝防毒軟體，防毒軟體公司也有USB形式的掃毒棒，只要安裝到機臺上，就可以自動掃毒，不用在機臺上安裝程式。

對許多病毒而言，先掃毒再開機，或是先開機再掃毒的防護或偵測效果是一樣的，端看防毒軟體能否偵測出病毒，但是對於WannyCry勒索軟體這支病毒，這兩者卻有天壤之別。

因為WannyCry勒索軟體是一支具有主動感染功能的電腦蠕蟲，甚至會像系統預載程式一樣，只要已感染的電腦一開機，短短幾分鐘內，就會開始掃描同一網路上的其他電腦，一發現有SMB漏洞的電腦，就以EternalBlue攻擊程式主動入侵感染那一臺電腦。台積電維修人員這一個違反SOP的小動作「先連網再掃毒」，就讓這支蠕蟲病毒，有了可趁之機，開始發動攻擊，入侵其他電腦。這是第三個中毒關鍵因素，遇上一支自動感染的WannyCry蠕蟲。

第四個釀災關鍵因素是，台積電為了效率，將北、中、南各地廠房都串連到一個大型網路中，稱為生產內網。雖然有別於企業OA內網，生產內網不只和外部網路隔離，也和OA內網隔離，但是在生產內網內，對於WannyCry蠕蟲所利用的445埠通訊，缺乏有效阻擋的機制，因此WannyCry蠕蟲如入無人之境，可以一臺臺感染、擴散到各地。

第五個中毒關鍵因素是，台積電許多機臺設備採用的作業系統是Windows，尤其這次受害的機臺主機是Windows 7。儘管這個Windows不一定是標準版本，而往往可能是廠商自行修改客製後的版本或是嵌入式版本等，但對於SMB這類基本的445埠服務，也大多有支援。因此而成為WannyCry蠕蟲可以攻擊的對象。

最後一個中毒關鍵是，這些採用Windows 7系統的機臺主機，沒有更新到SMB漏洞的修補程式，而讓WannyCry可以成功入侵來感染。

這六個中毒關鍵因素，只要有一個失效，就可以成功阻止感染，也就不會發生如此大規模的災情。

其中，眾人最不解的是，WannyCry勒索軟體早在去年5月就引起全球大感染，微軟也早就釋出了Windows作業系統的SMBv1/SMBv2（Server Message Block）漏洞修補程式。換句話說，就算是WannyCry變種，若都是鎖定同樣的445埠來發動攻擊和感染，只要更新作業系統，就能避免感染。儘管台積電產線滿載，想要挪出空檔時間停機來升級OS，的確是一件挑戰。但病毒現身至今，足足超過了1年，外界對台積電遲遲還未更新Windows 7的SMB漏洞而十分不解。

一般企業OS環境中的電腦，只要排定更新時間，不影響日常作業下，就能更新，若是像是執行關鍵系統的底層OS要更新程式，則得費一番功夫，先做更新模擬，例如銀行圈會先在安裝同樣軟體和系統的測試機上升級，執行一段時間來觀察，更新程式是否穩定，才會著手升級線上系統，也就是說，這不是無法執行的難題。

台積電總裁魏哲家坦言，一來得挪出可關閉機臺的時機，二來還得找到機臺原廠才能想辦法進行更新，這是台積電Windows 7更新無法完全到位的原因。

機臺OS更新3大難題

不過，臺灣趨勢科技技術顧問簡勝財表示，對高科技製造業而言，想要更新機臺OS，不是一件容易的事。常見有三大難題，第一是，許多老舊機臺設備往往使用多年，供應商早已不再提供支援，IT人員想要升級，會擔心發生問題無人可協助而不敢進行。第二是，企業採購機臺設備時，往往是軟硬體整套購買，包括內部軟體、周邊硬體和OS。為了避免影響設備的效能或功能，供應商甚至不會開放OS權限或禁止企業IT人員安裝任何軟體或工具，除非供應商自行釋出更新，否則，科技業IT部門很難對這類機臺的OS自行升級。第三種則是許多機臺採用的不是標準OS，而是客製後的嵌入式Windows版本，但微軟釋出的更新往往以標準版為主，這類機臺也需要供應商才能處理，IT人員也不敢擔保升級後會不會造成機臺問題。

甚至一位在南科擔任過半導體廠長的業界主管坦言，許多機臺廠商在OS上還安裝了各自獨特的硬體驅動程式，微軟更新程式的相容性測試，根本無法涵蓋到這類產業專用的特殊硬體驅動程式。貿然升級微軟的驅動程式，是否會造成系統衝突而當機，IT往往沒人敢擔下這個責任。

所以，魏哲家在記者會上才會坦言，台積電機臺更新進度的確比較慢，一來得挪出可以關閉機臺的時機，二來還得找到機臺原廠，才能想辦法進行更新，這是台積電Windows 7更新無法完全到位的原因。不過，他還是承諾會想辦法找出時機來解決此問題。但在這之前，台積電生產網路環境中的Windows 7機臺，仍舊處於不設防的高風險狀態。這也更加凸顯了，企業得搭配其他防護機制或多重資安措施的重要性，例如防火牆隔離、網路攻擊流量偵測、或是更嚴格的應用程式白名單管制、也能搭配虛擬補丁的措施等，在OS更新空窗期間加強防護。

高科技業者機臺設備的更新任務，比起一般企業IT主機或者是OA環境的OS更加困難，不是高科技業者自己不願意更新，而是無法只靠他們自己的IT團隊就能解決。

台積電產線中毒大當機推論時程

Day 1　8月3日

 8月3日周五傍晚 

新機臺準備安裝

台積電產線進行新機臺安裝作業。台積電新竹某晶圓廠進駐一臺產線新機臺，準備安裝後在周末上線，採取如過去數萬臺新機臺部署一樣的作業流程。

 8月3日晚上 

新機臺上線

新機臺安裝前需完成一系列人工檢查作業，但安裝人員還沒掃毒前，就將新機臺先連上網路（原有SOP規定得先掃毒）。

病毒發動攻擊 

數分鐘內出現災情，新機臺內藏WannaCry變種病毒，開機後自動感染其他主機。一開機完成後，WannaCry就自動掃描同一網路內的所有電腦主機，發動EternalBlue漏洞攻擊（鎖定445埠感染），進行擴散感染。

病毒擴大感染

數小時內，WannaCry擴大感染各地晶圓廠。因台積旗下所有半導體廠都串連到同一個生產內網上，導致WannaCry變種病毒快速散播感染到北、中、南科等地廠房中，主要中毒機臺採用的是Windows 7系統。在臺灣廠與海外廠區間則設有防火牆隔離，因而阻止了WannaCry的境外感染。

啟動緊急應變程序

中毒事件發生後，台積電啟動緊急應變程序，包括召回數百名CIM人員和IT人員，展開全臺搶修，也進行電腦斷網（拔網路線以阻斷感染）、重灌機臺系統等工作。台積電第一時間也同步執行資安管制措施，查看系統資料完整性，確認機密性資料是否受到影響。另外還緊急通知受影響訂單的顧客，並派出各廠工程人員評估生產中晶圓受損、報廢情況。生管人員也重新調整新的生產排程。

災情擴大

台積電各地晶圓廠陸續傳出更多災情，甚至多廠產線中斷，更多產線機臺或天車系統，因WannaCry變種病毒而發生當機或重開機情況，其中又以7奈米、12奈米等先進製程產線的中毒災情較大。

Day 2　8月4日

 8月4日凌晨 

事件曝光

凌晨，台積電資安事件曝光。台積產線大當機事件。後續引起多家媒體報導，甚至登上國際媒體，成為國際新聞事件。

 8月4日下午2點 

台積電對外說明

台積電公開證實產線中毒事件，也首次對外說明。台積電坦言，部分機臺感染病毒，但否認發生駭客攻擊，並指出部分工廠已經恢復。

 8月4日下午3點 

台積電首度公告