依据板规说明，本篇新闻有提到PTT，所以转贴，虽然是一个月前(201808)的新闻 > 所有包含批踢踢的其他媒体新闻、讨论节目的文章、录音、影音备份， 它可以是以批踢踢为主体的新闻，或其中某段文字、说明等提到批踢踢。 新闻连结: https://www.ithome.com.tw/news/125098 新闻内容: 深度剖析台积产线中毒大当机始末（上） 安装人员一个小疏忽，竟然造成台积电全台产线大当机，营收损失高达52亿元，创下台湾 有史以来损失金额最高的资安事件 文/王宏仁 | 2018-08-10发表 这是一个寻常的周五傍晚，台积电新竹一座晶圆厂内，设备安装人员正赶着要在下班前完 成一台新机台的安装。尽管晶圆厂几乎全年天天24小时日夜赶工，但周末上线新系统是惯 例，可以尽量降低对周间营运的影响风险，也比较不会直接冲击股市。这不是台积工程团 队第一次安装新机台，早就制订了一套标准的安装作业SOP，甚至在各地厂区已经按SOP安 装过数万台新机台。 台积电是全球半导体代工龙头，今年光是上半年营收就高达4,813亿多元，单季平均2,400 多亿元，原本预估第三季营收还会再持续提高，达到2,600亿元之高。尤其7奈米先进制程 晶圆厂正快马加鞭赶工中，为的就是生产苹果今年主力产品新款iPhone的核心零件A12处 理器。 但是，没人想得到，8月3日傍晚这一次新机台的安装却出状况，安装人员一个小动作的疏 忽，竟然造成了台积电全台产线大当机，营收损失预估更是高达52亿元天价，创下台湾有 史以来损失金额最高的资安事件，远远超过去年遭骇盗转18亿元的远银事件，全球媒体和 分析师们，更担心大当机延迟了新款iPhone的出货时程而高度关注。 一篇BBS文章，披露台积产线大当机事件 台积电大当机事件最早曝光是在8月4日凌晨，台湾最大BBS社群PTT的八卦版上一篇「有没 有台积电大当机的八卦」的贴文引起了众人关注，不少台积网友留言，回报各地厂区产线 当机情况，也有网友反应，3日晚上台积还突然关闭了门禁系统，禁止人员离开晶圆厂， 为得就是要彻底大清查。 这篇贴文讨论越演越烈，甚至蔓延到其他更多讨论区，如Tech_Job版也开始揭露更多晶圆 厂中毒当机消息，也有人留言台积电紧急召回数百人回厂抢修。 台积电中毒事故很快引起媒体关注，电视台更是以跑马灯新闻披露，引起更多网友纷纷揭 露自己看到的情况，包括台积电位於竹科的晶圆12厂、中科的晶圆15场以及南科的14厂， 都传出产线当机事件，等於是台积电全台主要晶圆厂都沦陷，关键的7奈米制程产线更是 首当其冲发生事故。 到了早上，不只台湾媒体纷纷报导台积电产线中毒大当机事件，连国外媒体也开始关注， 外媒尤其担心，苹果秋季最重要的新款iPhone出货时程，会不会因此而受影响，台积电晶 圆厂的事故，不只影响台积电而已，甚至可能冲击到近来登上全球第一家兆元企业的苹果 ，年度最重要的新产品布局，也会影响全球iOS生态系市场局势。 台积电过去向来是资安模范生，层层管制、严格把关的种种资安措施更为人津津乐道，甚 至视为业界最高标准之一，不只任何一支USB都不能入厂，就连全球科技大厂执行长来台 参观台积电厂房时，都得在门口柜台缴出手机，笔电贴上封条，没有例外。如此严密防护 的台积电，竟然也会中毒，甚至是全台厂房都出事！这个消息震惊了各界。病毒如何进入 感染，也成了各界热议的话题，USB感染或外部骇客攻击是外界推测出事的两种可能原因 。 8月4日凌晨，台湾最大BBS论坛PTT上的一篇文章，披露了台积电产线大当机的消息，不少 网友也留言回报多起产线当机事件，快速引起媒体高度关注，甚至成了国际新闻。 台积电隔日证实，当机事件源於机台中毒，而非骇客入侵 8月4日中午，台积电首度出面回应，证实了机台中毒的消息，但否认是外部骇客入侵。稍 晚，约3点半前後，台积资深副总经理暨财务长何丽梅也具名在公开观测站网站上正式发 布重大讯息公告，证实8月3日傍晚部分机台遭受病毒感染，而非外传的骇客攻击，也透露 ，台积电已经控制病毒的感染范围，并且找到了解决中毒问题的方案，开始修复机台，让 受影响的机台恢复生产。在8月4日已有部分工程恢复正常，台积并预告其余工厂将在一天 内恢复正常。 但是，尽管台积电很快地证实了中毒消息，但没有进一步说明病毒入侵方式，以及实际受 病毒感染的影响范围，尤其是否如网友披露的灾情遍及北、中、南各地晶圆厂。这个短短 不到120字的公告说明，仍旧引发了各界更多疑虑和讨论，尤其新款iPhone处理器出货的7 奈米制程产线是否受创，这次事件对台积电又会造成多大的影响，依然状况不明。 事件发生第三天，8月5日，虽然是星期日，但台积产线中毒事件的讨论越演越烈。到了下 午3点前後，这是台积电第一次公告所预告的24小时复原期限，台积电还没出面说明，仅 透露傍晚会以新闻稿说明。直到4点46分，台积财务长再次於公开观测站上发布第二次公 告，这次公告揭露的就是众人最好奇的其中一项资讯，病毒感染事件的影响。 台积电在公告中，进一步揭露病毒影响范围以台湾厂区为主，各厂影响程度不一，从8月3 日傍晚中毒事件发生後，到8月5日下午2点为止，受影响的机台已经有80％恢复正常，也 就是在原订预告的24小时复原承诺期限，只复原了8成，其余2成，还要等到8月6日才能恢 复正常运作。 初次预估营收冲击将高达78亿元 这次病毒事件也造成台积晶圆出货延迟，以及相关成本的增加。台积预估会对第三季的营 收影响约3％，对毛利率的影响也有1％。换句话说，以台积先前公布的第三季营收预估约 2,600亿元，这次罕见的产线中毒事件，将会造成台积电第三季营收短少约78亿元之多， 打破了台湾历年资安事件影响金额的纪录。 产线中断最大的影响是出货延迟，台积预估可以延後到第四季时全数补回。但因延迟交货 也会拖累到顾客产品时程，台积电透露已经向顾客说明，重新协商晶圆交货时程，并承诺 会在未来几天向顾客说明细节。 另外对於中毒原因，台积也首度坦承是人为操作疏忽，因为新机台安装软体过程没有按照 SOP而酿灾，再加上新机台连上公司内部电脑网路而导致病毒扩散。台积在中毒後也同步 清查内部资料的完整性和机密资料，所幸，这部分都没有受到影响，没有遗失或损失这些 资料。 一个疏失，造成78亿元的钜额损失和延迟交货，成了新话题。为何会造成这麽大的损失？ 台积电没有细讲，但也更证实了多数厂房和产线受创停工的消息。另一个引起IT圈讨论的 是，为何病毒可以跨地理区扩散？尽管台积还没证实。但当时已传出引起事故的病毒是 WannaCry勒索软体，但就算是勒索软体，一般企业不同地理区的，多半会各自有独立的内 部网路，彼此透过防火墙隔离控管。但是台积这次中毒事件，在短短一个晚上，就快速蔓 延到三地，再加上新闻稿提及，病毒透过「内部电脑网路」感染到其他厂区。这个速度和 渗透「内部电脑网路」的威力，更让人惊讶，也很像是有人操控层层破解多道防护来入侵 的APT手法。第二次公告，尽管让外界对中毒事件的影响，有了初步了解，但因影响金额 的巨大，再加上对於向来以资安严密着称的台积电，内网防护如此容易瓦解，而让外界依 旧费解。再加上，8月6日是事件发生後的第一个股市交易日，钜额损失和後续修复情况未 明，这个事件依旧引起更多传闻和揣测。 依照政府规定，若企业重大事件影响超过3亿元或股价20％，除了发布公告外，还得出面 召开说明。证券交易所原本在事件发生第二天也只是要求，台积电要发布公告说明，也引 起部分人推测，损失金额可能没有达到3亿元，因此没有召开重大讯息说明会的必要。 但在星期天的预估影响金额一曝光，果不其然，星期一股市一开盘，台积电股价就下滑， 尽管最终跌幅不到1％，但证券交易所也要求台积电必须召开公开说明会，公开回应外界 的提问，来消弭各种传闻後续可能引起的股市动荡。 总裁带头亲上火线，召开公开说明会释疑 所以，台积电也在8月6日在台湾证券交易所召开重大讯息说明记者会，来解释事件经过和 最新处理状态，由台积电总裁魏哲家亲自上阵说明，连同多位高层主管列席，包括：资深 副总经理暨财务长杜丽梅、企业讯息处资深处长孙又文，资讯技术资深处长陈文耀（IT主 管），以及负责这次资安事件处理的技术系统整合处处长吴俊宏。 魏哲家在说明会一开场说明，所有状况已经在8月6日下午全部排除，台积电所有产线百分 之百全速上线生产的状态，并且强调公司主要的电脑系统，包括生产制造资料库以及客户 资料，都不受到此次病毒影响。 在这次事件当中，受影响的机台、自动搬运系统与电脑感染的病毒，是源自於去年5月肆 虐全球的勒索软体WannaCry的一个变种，因为台积电这些设备所用的作业系统是Windows 7，尽管微软早已提供了相应的安全修补程式，但是台积电通常得经过审慎评估，才能进 行安装，目前这些电脑都没有安装更新。所以，才让病毒能够乘虚而入的机会。文章未完 ，请见【台湾史上最大资安事件】深度剖析台积产线中毒大当机始末（下） 台积电产线中毒大当机推论时程 Day 1　8月3日 8月3日周五傍晚 新机台准备安装 台积电产线进行新机台安装作业。台积电新竹某晶圆厂进驻一台产线新机台，准备安装後 在周末上线，采取如过去数万台新机台部署一样的作业流程。 8月3日晚上 新机台上线 新机台安装前需完成一系列人工检查作业，但安装人员还没扫毒前，就将新机台先连上网 路（原有SOP规定得先扫毒）。 病毒发动攻击 数分钟内出现灾情，新机台内藏WannaCry变种病毒，开机後自动感染其他主机。一开机完 成後，WannaCry就自动扫描同一网路内的所有电脑主机，发动EternalBlue漏洞攻击（锁 定445埠感染），进行扩散感染。 病毒扩大感染 数小时内，WannaCry扩大感染各地晶圆厂。因台积旗下所有半导体厂都串连到同一个生产 内网上，导致WannaCry变种病毒快速散播感染到北、中、南科等地厂房中，主要中毒机台 采用的是Windows 7系统。在台湾厂与海外厂区间则设有防火墙隔离，因而阻止了 WannaCry的境外感染。 启动紧急应变程序 中毒事件发生後，台积电启动紧急应变程序，包括召回数百名CIM人员和IT人员，展开全 台抢修，也进行电脑断网（拔网路线以阻断感染）、重灌机台系统等工作。台积电第一时 间也同步执行资安管制措施，查看系统资料完整性，确认机密性资料是否受到影响。另外 还紧急通知受影响订单的顾客，并派出各厂工程人员评估生产中晶圆受损、报废情况。生 管人员也重新调整新的生产排程。 灾情扩大 台积电各地晶圆厂陆续传出更多灾情，甚至多厂产线中断，更多产线机台或天车系统，因 WannaCry变种病毒而发生当机或重开机情况，其中又以7奈米、12奈米等先进制程产线的 中毒灾情较大。 Day 2　8月4日 8月4日凌晨 事件曝光 凌晨，台积电资安事件曝光。PTT BBS八卦版率先披露台积产线大当机事件。後续引起多 家媒体报导，甚至登上国际媒体，成为国际新闻事件。 8月4日下午2点 台积电对外说明 台积电公开证实产线中毒事件，也首次对外说明。台积电坦言，部分机台感染病毒，但否 认发生骇客攻击，并指出部分工厂已经恢复。 8月4日下午3点 台积电首度公告 台积电也在公开资讯观测站网站发布重大讯息公告，说明8月3日电脑病毒感染事件，并预 告1天内可以全面恢复产线运作。 Day 3　8月5日 8月5日下午4点 台积电二度公告 台积电进一步说明中毒灾情，并透露恐损失78亿元。台积电再次揭露中毒事件细节，首度 坦言因新机台安装软体过程操作失误酿灾，强调资料完整性和机密资讯皆未受影响。也首 度公布损失预估，第三季营收将影响3％，毛利率则有1％的影响，预估损失77～78亿元。 因产线中毒造成的出货延迟则将在第四季补回。 复原进度延後 台积电原订预告的24小时复原承诺时间（8月4日下午2点）内，80％机台先恢复生产，但 仍有少数先进制程机台需进一步检测，或搬运系统有待复原。台积电宣布延後复原时程， 得等到8月6日才能完全恢复。 Day 4　8月6日 8月6日下午 台积电全线恢复生产 所有受影响机台和设备全面复原，各厂全线恢复生产，台积电进一步评估实际的灾情损失 ，并同步寻找未来对策。 8月6日下午5点 台积电召开公开说明会 因为预估损失金额超过3亿元，台积电也在台湾证券交易所召开重大讯息说明记者会，由 台积电总裁魏哲家亲自带头，连同代理发言人、财务主管、IT主管、资安主管，公开解释 机台中毒事件的始末，以及未来因应措施。进一步盘点後，台积电预估损失约58亿元，比 原先预估的78亿元损失再降低。 事件後短期措施 优先解决延迟交货问题，预计第四季全数补回，并对顾客说明事件处 理细节。另外，台积电将开发新机台安装自动检测机制，搭配人工检查并行，并建立连网 防呆机制，只有完成双重检查的设备，才由系统授权连上生产内部网路，以排除人为疏失 。 事件後长期措施 台积电承诺将持续与资安单位合作，强化相关资安系统。另外也会安 排合适时机，进行所有机台Windows 7系统的更新和修补工作。 资料来源：iThome整理，2018年8月 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.115.180.16 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PttHistory/M.1537198392.A.725.html ※ 编辑: name2name2 (59.115.180.16), 09/17/2018 23:34:48