圖片來源: 

台積電

台積電晶圓廠之所以爆發大規模的病毒感染有兩個關鍵,台積電總裁魏哲家坦言,原本新機臺上線的程序,是必須先通過防毒軟體的檢測,才能連上網路,但此次的疏失是,安裝人員先將機臺連上網路,再開始進行防毒處理。但當時準備上線的這一部新機臺,本身內有病毒,在未經網路隔離及防毒系統處理的人為疏忽下,就連接到台積電的生產網路當中,再加上為了達到最佳的生產效率,該公司臺灣所有廠區的生產網路全部連結在一起,才會因為一臺病毒感染,就造成竹科、中科、南科廠區的相關設備受到大規模感染,導致如此嚴重的後果。而境外廠區,如南京晶圓廠,因台積電臺灣廠區與海外廠區之間設有防火牆,因而阻斷了病毒的境外感染,沒有影響到國外廠區。

去年5月爆發全球大流行的WannaCry病毒,短短2天內,就襲擊全球150多國,攻擊數十萬臺電腦受到攻擊,從英國、美國、德國、俄羅斯到亞洲的中國、韓國、日本、泰國、臺灣都傳出災情。

例如韓國一家連鎖電影院旗下50家間戲院都被WannaCry入侵,而日本JPCERT則統計去年當時有6百家日本企業,超過2千臺電腦遭攻擊,而中國災情更是嚴重,根據中國防毒軟體公司奇虎360統計,中國起碼有3萬個機構遭WannaCry攻擊,包含政府機構、大學、醫院及自動提款機都遭殃。臺灣至少有10所學校共59臺電腦被攻擊,臺電公司也有116臺行政電腦被攻擊,甚至有醫院的行動護理車也中標。

WannaCry之所以能快速感染全世界的關鍵是,它利用了微軟作業系統的SMBv1/SMBv2(Server Message Block)漏洞,並且採用了遭駭客組織公開的美國國安局(NSA)攻擊工具EternalBlue(永恆之藍),因而可以主動感染其他具有SMB漏洞的Windows電腦。一旦WannaCry入侵電腦後,就會開始掃描同一個網路上的其他電腦,只要發現沒有修補SMB漏洞的電腦,就以EternalBlue攻擊程式主動入侵該電腦,一旦滲透成功後,WannaCry勒索軟體就會在受害電腦自動執行,一方面將受害電腦的檔案逐一加密,另一方面則繼續入侵其他有SMB漏洞的電腦。

雖然台積電遭遇的是WannaCry變種病毒,據台積電資訊技術資深處長陳文耀補充,這款WannaCry變種病毒,沒有加密機制,而是會造成系統發生了當機或是重複開機等症狀。但是這款WannaCry變種病毒仍是一個能夠自動發動攻擊和感染的電腦蠕蟲。這也是為何,台積電新機臺一連上網路,就會造成大規模感染的關鍵。

根據臺灣賽門鐵克首席技術顧問張士龍估計,新機臺一開機完,WannaCry變種病毒就開始自動感染擴散,只要沒有阻斷445埠的通訊,幾個小時,病毒就能快速擴散到其他縣市的廠區。台積電在資安事件發生後快速向多家資安廠商尋求解決方案,賽門鐵克也是其中之一,因此,張士龍對實際狀況有更多的了解。

在復原作業上,魏哲家說,在製程較為先進的廠區當中,因為系統架構更複雜,受影響的層面較大,因而恢復的速度也越慢。所以在星期天下午復原的比例先達到80%,而到了8月6日下午,則已回到全線生產的狀況。台積電也因此啟動了緊急應變程序,加強與客戶之間的溝通。

一般處理上,WannaCry病毒只能採取系統重灌的作法,才能徹底排除隱憂。半導體公司在新機臺進駐時,多半都會先建立一份機臺系統檔案的原始映像檔,作為日後系統復原之用。而進入生產階段時的機臺,會儲存了不同訂單的生產配方資料,甚至還有根據產線特定而調校過的配方參數,企業也多半會每個月備份一次到多次,依不同公司備份習慣而定,因此,台積電只需重新安裝機臺系統,並從內部備份系統中,將原有備份的機臺生產配方和參數資料回復,多數可恢復生產。日常充分的備份工作,是遭遇WannaCry病毒攻擊時,能快速復原的關鍵。

因為中毒事件預估衝擊營收高達數十億元,台積電8月6日在臺灣證券交易所召開重大訊息說明記者會,解釋事件經過和最新處理狀態,台積電總裁魏哲家親自上陣,連同IT、資安、財務等主管對外說明。

主要衝擊是交貨延遲問題

雖然,這次大規模感染的病毒是WannaCry變種,但魏哲家強調當中並不涉及惡意軟體的綁架、駭客攻擊,也跟USB裝置中毒無關,病毒是原本就藏在新機臺中,也非安裝人員私自夾帶入廠,並非來自公司外部或內部的攻擊,純屬疏忽,同時,他也表明,公司現有資料的完整性與機密資訊的保存,均不受到影響。後續處理上,魏哲家表示,目前要優先解決的是延遲交貨問題,預計第四季全數補回,並對顧客說明事件處理細節。

一般半導體晶圓製程上,是採一層層疊加的方式來製作晶片上的電路,平均一層得花上1天,技術優良的廠可以縮短到一層0.8天,一般24奈米晶圓上需要40~50層作業,就得花上30~40天,只要製作中斷了,就得幾乎得從頭開始,這也是為何產線無預警中斷,對晶圓廠影響甚鉅的緣故,若是更複雜的7奈米先進製程,需要80~85層,就至少得花上連續不中斷的60天作業。

台積電這次造成產線大當機,最大影響不只是製作到半途的晶圓,若無法使用得報廢,而且得從頭開始製作,若是已經接近完工的晶圓,等於60天的工作一夕作廢,得重頭再來。這也是為何魏哲家強調,目前首要工作是解決延遲交貨的問題,而且得在第四季,花上一整季來想辦法補齊。

預估營收損失從78億元降低到52億元,但仍是破紀錄災損

而在損失預估上,原本8月5日公告中揭露的預估損失高達78億元,但在星期一這場公開說明會上,魏哲家表示,經過更準確的評估後,預估損失將從對第三季營收影響3%,降低到只有2%。換句話說,損失預估值將降低到52億元。而造成營收損失的原因主要來自報廢晶圓、晶圓或物料重新調度的成本,追加的原物料等。而交貨延遲的問題,魏哲家透露,目前受影響顧客不會向台積電要求賠償,只是得盡快解決。他預估,第四季可以補回所有這次事件造成的延遲交貨。

一位曾在南科擔任半導體廠長的業界資深主管透露,產線中斷的影響,得經過一定程序的檢測和判斷才能得知。產線機臺系統上會有報廢損失的預估,可以知道第一時間生產中斷可能的損失,但可能有些晶圓作業可以重來,例如晶圓正在加溫到300度的過程,但還未達300度,只需重新加溫就可繼續使用,或者正處於天車移動中的晶圓,若無限時完成下一步處理的必要,這類運輸過程的晶圓也多半可再繼續使用。經過檢測或判斷,可以知道哪些晶圓還能回收,或只需少數重工就能續用。因此,可以更精準地估算損失。

儘管損失從78億元降低到52億元,仍舊創下臺灣資安史的紀錄。魏哲家承諾,不會再讓同樣的事情發生。台積電將盡快開發新機臺安裝自動檢測機制,搭配原有的人工檢查作業,重軌並行。另外,台積電也正在開發連網防呆機制,未來新機臺安裝部署時,會導入防呆的機制,只有完成雙重檢查的設備,才由系統授權連上生產內部網路,以排除人為疏失。落實系統自動化檢查,排除所有的人為因素,這些設備若未施行任何的防範措施,就不允許其上網,並且會建立機臺之間的防火牆。長期措施上,台積電資訊技術資深處長陳文耀也表示,會持續與資安單位合作,來強化相關資安系統。而因為全臺各晶圓廠都串連在一個生產網路上,每一臺機臺Windows 7系統的更新和修補工作也成了台積電未來的重要工作之一。魏哲家表示,將尋找適當時機全面更新。

台積電全臺產線中毒大當機事件,經過4天風波,暫時告一段落,但誠如魏哲家在公開記者會中語重心長的坦白:「裝過幾萬架機臺,台積電第一次發生這種事情,我們才發現,人類不可能不犯錯。」就連全球半導體龍頭,臺灣業界的資安資安生,都會犯錯。這一個看似無害的違反SOP小疏忽,最後竟導致52億元的預估營收損失,不只對台積電而言是一次慘重的教訓,也是臺灣全部企業的一堂資安震撼教育。

 更多台積資安事件相關報導 

【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(上)

台積電為何遲遲不修補機臺Windows漏洞?不是不願意,其實是無能為力

台積電病毒事件的結構性問題


Advertisement

更多 iThome相關內容