伊朗駭客直接入侵 PLC：當 OT 設備暴露在網路上，你的工廠還安全嗎?

文章撰寫：奧登行銷團隊

近年來，全球網路攻防的戰火已經悄然從「虛擬世界」蔓延至「實體工廠」。

根據美國網路安全暨基礎安全局（CISA）發布的最新安全公告（AA26-097A），以及國際資安機構的追蹤報告，與伊朗政府有聯繫的駭客組織，正將攻擊矛頭直接指向暴露在網際網路上的工業控制系統（ICS）。

值得警惕的是，這波攻擊的目標不是企業常見的 IT 系統（如電子郵件或資料庫），而是能直接操控實體設備運作的 可程式化邏輯控制器（PLC） 與 數據採集與監控系統（SCADA）。受害範圍已涵蓋美國的能源、水務與廢水處理等關鍵基礎設施。

這場資安危機，為全球製造業敲響了最沉重的警鐘：地緣政治的衝突已經實質外溢，OT（營運技術）安全不再只是資訊工程師的課題，而是需要廠長，營運主管和IT團隊共同面對的課題。

「借力打力」新手法：駭客不找漏洞，直接用你的工具控制你的工廠

過去，我們總認為駭客需要掌握高深的「零日漏洞（Zero-Day Vulnerability）」才能入侵防禦嚴密的工廠。然而，這次伊朗駭客的攻擊策略徹底打破了這個迷思。

國際資安調查顯示，駭客採用了「借力打力（Living off the Land）」的技術。他們透過網路搜尋引擎，找出直接暴露在網際網路上、且缺乏多重身分驗證（MFA）的 PLC 設備。接著，駭客直接利用原廠合法的工程配置軟體（例如 Rockwell 的 Studio 5000 Logix Designer 等），堂而皇之地登入系統。

當駭客成功存取 PLC 後，他們能夠提取或修改控制邏輯、篡改人機介面（HMI）上的數據，甚至導致實體設備無預警停機或損壞。由於他們使用的是「合法廠商的軟體」進行常規操作，傳統的 IT 資安防護層極難在第一時間偵測到異常。這種將惡意行為融入正常工作流程的手法，讓工廠在不知不覺中將主導權拱手讓人。

台灣在地化觀點：全球製造業重鎮，正站在 OT 駭客的暴風圈中心

這起看似發生在美洲大陸的關鍵基礎設施攻擊案，對海峽對岸的台灣而言，絕對不是「遠方的火災」，而是迫在眉睫的巨大威脅。

首先，台灣是地緣政治的敏感核心。 作為全球地緣政治衝突的前線，台灣長期以來都是國家級駭客（State-Sponsored Hackers）高度密集的攻擊目標。當伊朗駭客的 OT 攻擊模式在國際上被「驗證成功」後，其他敵對勢力極可能複製相同的手法，對台灣發動系統性的網路癱瘓。

其次，台灣是全球製造業的代工重鎮。 無論是半導體晶圓代工、電子組裝、精密化學、還是高階工具機產業，台灣的工廠內部署了成千上萬、來自全球各大供應商的 PLC 與工控設備。根據資安機構 Censys 的全球掃描報告指出，在英語系國家之外，台灣名列全球「暴露在網際網路上工控設備密度最高」的地區之一。

許多台灣傳統製造業或供應鏈中小企業，在面臨「數位轉型」與「智慧製造（工業 4.0）」的浪潮時，為了方便遠端維護、收集生產數據，往往直接將 PLC 串接到外部網路，卻忽略了基本的邊界防護與身分驗證。這等於是向全球的國家級駭客敞開了大門。

IT 與 OT 的防護鴻溝：不能再用昨天的思維，保護今天的智慧工廠

長期以來，製造業的 IT（資訊技術）與 OT（營運技術）存在著巨大的思維鴻溝。IT 追求的是「資料機密性」與「定期更新更新檔」；而 OT 追求的則是「系統穩定性」與「設備不停機（Availability）」。

許多企業主誤以為：「我的公司已經買了很貴的企業防火牆，工廠應該就很安全了吧？」

但現實是，傳統的 IT 防火牆主要防範的是惡意郵件、網頁綁架或勒索軟體。一旦駭客繞過 IT 邊界，或者透過供應商的遠端維護網路（VPN）直接進入工廠內部（OT 網路），在缺乏內部隔離的情況下，駭客就能在底層的 PLC 之間橫向移動。此時，IT 防火牆形同虛設，根本無法識別工控協定（如 Modbus、Siemens S7 或 EtherNet/IP）中的惡意指令。

面對日益嚴峻的「地緣政治級」工控威脅，主流因應方向是逐步導入 OT 專屬的網路可視化工具，以及落實 IT/OT 網路分區。不同規模的工廠，具體的起步方式也不盡相同。

智慧製造帶來了前所未有的高效率，但也同時將工廠暴露在全新的風險之中。在未來的國際競爭中，企業的「資安防禦力」，將直接決定你的「供應鏈韌性」。

最後，想邀請各位製造業決策者與廠長們思考一個切身的問題：

現在或許可以花幾分鐘，盤點一下你們廠內的 OT 設備，哪些目前是直接對外網開放的？ 這個清單，可能會讓你對自己的工廠有全新的認識。