美晶片設備商MKS Instruments遭勒索軟體攻擊，影響生產系統！供應鏈風險受關注，應材因供應商資安事故估下季營收少2.5億美元

近年半導體產業成全球關切焦點，任何一點風吹草動都受到各界關注，今年2月6日美國半導體設備商萬機科技（MKS Instruments）揭露遭遇勒索軟體攻擊，相隔一週，美國半導體製程設備與服務大廠應用材料（Applied Materials）恰巧發布第一季財報，因預估下季出貨與營收，將受一家主要供應商遭遇資安事件而影響，而引發外界聯想。這也使得半導體供應鏈風險的議題，再次浮上檯面。

MKS在2月初揭露資安事故，一周後公布更多調查結果

MKS Instruments（以下簡稱MKS）是在2月6日揭露遭遇勒索軟體的資安事故。根據該公司網站投資人專區中所公開的內容，他們對美國證券交易委員會(SEC)提交了陳述重大事件的8-K表格文件，當中說明他們是在2月3日成為勒索軟體事件的受害者，發現事故時已立即採取行動，啟動事件回應與營運持續管理，聘請專業IR人員協助調查，通報執法單位。

同時，他們也說明了初步現況。目前正處於調查與評估該事件的影響的早期階段，某些業務系統受到影響，當中還包含了生產相關的系統。而後續因應上，他們將盡快調查與恢復受影響的系統，也說明資安保險可能抵銷部分成本，但尚未確定。

一周之後，MKS於13日公開向SEC提交的另一份重大事件8-K表格，揭露了更多關於上述資安事件的後續消息。MKS指出這次勒索軟體攻擊的衝擊，涵蓋了他們向為戶提供服務的真空解決方案（Vacuum Solutions）與光子解決方案（Photonics Solutions）的部門，並影響該公司第一季的訂單處理、產品運送。至於材料解決方案（Materials Solutions）的部門則不受影響。

同時MKS還表示，將延後去年第四季與全年財報的發布時間，以更好對應勒索軟體攻擊事件帶來的財務影響。

到了2月16日，美國蒙大拿州司法院公布一份由MKS發布的資料外洩公告，也透露了相關狀況。當中指出，最近的勒索軟體攻擊事件，導致MKS的業務與生產製造系統被加密而無法使用，同時可能還涉及了員工與前員工個資外洩的狀況。雖然目前尚未確認是否外洩，但他們並不排除這樣的可能性，因此他們正在通知這些員工。儘管MKS認為，從過去類似案例來看，勒索軟體攻擊者似乎避免針對個人使用這些個資。

至於MKS Instruments的公司網站首頁，我們在20日連上時只看到簡單的聲明頁面，說明www.mks.com遇到計畫之外的中斷，僅留下全球據點的電子郵件與電話聯絡方式，包括全球、歐洲、英國、中國、日本、韓國、新加坡與臺灣。

應材表示因主要供應商遭遇資安事件，導致影響下季出貨與營收

特別的是，在2月16日，美國半導體製程設備與服務大廠應用材料（簡稱應材）發布會計年度第一季財報，由於當中提到與其合作的供應商，最近發生網路安全事件，將影響應材第二季出貨，估計該季營收將減少2.5億美元，此消息一出，引發半導體與資安界關注。

雖然應材未透露哪一家供應商遇駭，不過，威脅情資業者Recorded Future旗下The Record的報導指出，有數位產業分析師表示，這家遭勒索軟體攻擊的供應商，就是主要客戶為應材與Lam Research的MKS，多家財經、資安媒體報導也提到該供應商是MKS，綜合上述，外界也因此感受到供應鏈的風險與資安威脅。

例如，Malwarebytes資安研究人員就對此事件發表了看法，他們指出應材的情形就是供應鏈被感染風險所帶來的效應，即使自身系統沒有被感染，但如果你的供應商受到攻擊，也會影響到自己的財務，而且，以半導體晶片產業的零組件短缺情形而言，現在正是近年最嚴重的時機。

換言之，這次事件突顯了一種我們無法忽視的產業影響，雖然大型企業日益善於強化自身資安，但是，身處供應鏈中的供應商，一旦遭遇資安事件，受衝擊的對象不只是那些廠商，就連公司自身營運也連帶遭到波及，甚至產生長期的影響，畢竟半導體領域的供應鏈可說是相當複雜。

對於臺灣半導體業而言，此事當然不能輕忽。國內已有業者越來越重視這方面威脅，像是台積電不只顧好自身的資安防護，他們在2020年開始設立供應商資訊安全協會，希望也能促進供應商與合作夥伴強化資安，與供應鏈合作提升安全防護，，但對於其他領域的業者而言，同樣要重視供應鏈的隱憂與風險，因為上述事件與衝擊很有可能在其他產業重演。

美國半導體製程設備與服務大廠應用材料在2月16日，發布了會計年度第一季財報，在提及下季展望時，特別指出最近有一家主要供應商發生資安事件，預估會衝擊出貨量與營收。

國內企業資安事件的資訊公開，往往事件揭露僅停留在早期階段，該積極面對還是消極面對？

另一值得國內省思的議題，國際間有越來越多像是MKS這樣的企業，公開說明資安事件的具體概況與影響。例如，他們在3日即時通報美國SEC並於6日公開揭露發生勒索軟體攻擊的資安事件，也清楚說明當時處於調查的早期階段，後續他們會進一步揭露更多資訊與細節，包括事件具體影響的範圍，甚至還發布個人資料外洩公告與通知。畢竟事件調查需要的時間，可能隨嚴重程度而有不同。

至於國內，儘管我國金管會在資訊公開面向近年開始有規範，上市櫃公司需揭露重大資安事件，甚至預估損失金額達股本20%或3億元，必須召開記者說明，且年報也要登載。

但從普遍現況來看，上市櫃公司在揭露資安事件後，一兩個月內通常也就不再發布事件後續調查結果的公告或重大訊息，使得公開資訊僅停留在最早期的階段，缺乏調查到一個段落的公開說明。因此，從公司治理的資訊公開角度來看，不論政府主管機關與企業本身，都應思考是否還有進步的空間。

萬機科技（MKS Instruments）在2月6日揭露遭遇勒索軟體攻擊，並公開在３日提交美國證券交易委員會（SEC）的重大事件的8-K表格文件（圖左），說明正處於調查與評估該事件的影響的早期階段，業務系統受影響，並包含生產相關的系統。到了2月13日，他們又進一步通報與揭露新的調查結果，包括具體影響的部門與營運情形。