【台湾首份关键基础设施网络曝险报告出炉】30万笔台湾网络外泄个资成骇客攻击关键基础设施利器

发生在2015年圣诞节前夕，乌克兰电力公司遭到骇客攻击，造成十多万户民众在寒冷的冬天却没有足够的电力可以使用。这起关键基础设施遭到骇客攻击事件发生的起因，源自于一封钓鱼邮件，该邮件夹带的附件是微软文件，透过文件的宏功能，背景下载并安装BlackEnergy3的恶意程式。

趋势科技旗下工控安全公司TXOne资安威胁研究员郑仲伦（Mars Cheng）也观察到，骇客针对关键基础设施发动攻击，经常会利用包括钓鱼邮件等手法作为攻击的第一步。这也让他产生好奇，现在网络上有许多外泄个资，这些外泄个资是否有可能成为骇客攻击关键基础设施的火药呢？

台湾将关键基础设施分成八大类，包括：能源、水资源、通讯传播、交通、金融、紧急救援与医院、-机关，以及科学园区与工业区等八类。对此，他开始从网络上各大网络以及骇客论坛，搜集了30万笔台湾八大关键基础设施的外泄个资，并将外泄个资进行正规化，再透过云端系统进行资料分析，并对外公布台湾第一份针对八大关键基础设施网络曝险报告。

郑仲伦从这些关键基础设施的网络外泄个资分析也发现到几个现象，科学园区与工业区外泄资料的数量最多，超过21万笔；但若加入员工人数计算员工外泄资料比例，则以通讯传播类最高，每四名通讯传播业员工，就有一名员工的个资遭到外泄；此外，他也发现，这些员工个资容易遭到外泄的一个重要原因在于，多数都使用容易遭到骇客破解的弱密码。

四类常见资料外泄来源，少有关键基础设施资料外泄的报告

综整相关因素，郑仲伦表示，目前可以发现资料外泄的原因可以分成四类，第一类就是系统或程式弱点，只要是人写的程式就不可能没有漏洞，但当发现系统漏洞时，业者却不一定可以及时释出相关的漏洞修补程式，这也让骇客可以利用已知的漏洞，进一步针对系统发动攻击。

第二类则是资料窃取，但他也说，这类资料中，有许多还是储存在实体的储存装置或设备中；第三类则是钓鱼邮件，这往往是骇客假造信件，欺骗使用者打开钓鱼邮件后，点击恶意连结或打开恶意档案，致使骇客可以在该受骇电脑安装恶意程式进而窃取资料；最后一类则是内部员工窃取机敏资料，他也说，故意或是无意发布私人或公司的机密讯息，都会有民刑事上的相关责任。

外泄资料百百种，为了要分析台湾这30万笔与关键基础设施有关的网络个资，郑仲伦先对相关资料做统计分析发现，外泄的资料包括电子邮件、密码、个资（PII）、地址以及一些机敏资料，其中，有很多外泄的机敏资料都在暗网（Dark Web）贩售。不过，郑仲伦强调，他们搜集到的这30万笔网络个资，并不是从暗网购买取得的，而是各大网络及骇客论坛取得的。

资安圈关于资料外泄的报告不少，例如，IBM在2020年一份资料外泄报告的统计数据，全球资料外泄平均损失达386万美金，医疗业是损失最高的产业，高达713万美金；每一分外泄个资处理成本为150美元。

但是，在这么多外泄个资的报告中，郑仲伦发现，很少有关注到关键基础设施是否也同样面临资料外泄风险的报告，这也引发他进一步关注关键基础设施网络曝险程度；此外，他也观察到，美国MITRE也针对工控系统推出ATT&CK for Industrial Control Systems（工控系统），可以发现，外泄的资料可能成为骇客重要的攻击来源。

打造云端分析系统，分析200多个外泄资料集

郑仲伦指出，这次收集的外泄资料有超过200个资料集（Data Set），包含100亿笔外泄资料，因为外泄资料来源广泛，各种网站可以搜寻的论坛都是重要资料收集来源之一，相对的，外泄资料储存的格式都不一样，有的只有姓名、电话，有的是账号、密码，有的还有电子邮件或地址，甚至于有一些资料集还有信用卡资料或是可以证明个人身份相关的身份证字号等等。

面对大量不同格式的资料，就必须订出需要分析的格式字段，并作相关的资料正规化，“光是收集和处理外泄个资的格式，就花了三个多月的时间；搜集资料加上正规化后，也锁定此次网络曝险的分析标的，以关键基础设施外泄的电子邮件和密码为主。”他说。

为了彻底掌握这些外泄的网络个资，郑仲伦表示，TXOne也针对外泄资料打造一套专门的分析系统。首先，他指出，从各大网络与骇客论坛中，会找到各种格式混乱不一的外泄资料；其次，再将这些资料进行拆分、格式化，并且转换成免费、开源的Apache Parquet资料格式，可以相容于其他Hadoop环境的大数据处理框架。

第三，将转换成Apache Parquet资料格式的外泄资料，上传并储存在AWS S3云端储存空间；第四，随着不同资料分析的筛选条件，于AWS Lambda执行相关的运算与分析；第五，呼叫Amazon Athena服务将筛选条件的资料做区隔分类；第六，将已经完成资料区隔分类，并完成运算分析的格式化资料储存在数据库中；第七，呼叫Amazon Athena分析相关外泄资料；最后，就可以查询储存在数据库中的外泄资料。

趋势科技旗下工控安全公司TXOne也打造一套云端分析系统，将网络上搜集到的200个资料集，以及台湾关键基础设施超过30万笔个资，都可以透过这个云端平台做分析。

挑选台湾八大关键基础设施规模基准，以市值百大企业为主

此次，为了彰显台湾关键基础设施在公开网络上的曝险程度，郑仲伦也意识到，公司规模越大，资料外泄的后座力也越大，因此，他也根据台湾八大关键基础设施中，找出今年4月15日之前，市值前100大企业作为筛选基准。

若以科学园区与工业区为例，则选择市值排行前100名的企业；能源类别的企业家数较少，主要以挑选电力、石油、天然气等具代表性公司；水资源是国营企业，只有单一选择；若是紧急救援与医院类别，则以医学中心为主；交通类别种类繁多，则挑选陆运、海运、空运、气象等具代表性公司及单位。

另外，像是通讯传播类别也是挑选市值排行前100名的企业；金融类别则以中央银行、金融监督管理委员会、中华邮政，以及其他市值排行前100名的金控业为主要挑选类别；最后的-机关挑选，则以行政院、立法院、司法院、考试院及监察院等五院为主，并且纳入电子信箱是以“.gov.tw”为结尾的外泄个资。 他也说，此次过滤台湾关键基础设施的外泄资料，主要是用Amazon Athena过滤外泄资料的内容，再用Python做相关的数据分析；分析后的资料，以CSV档案格式，将资料储存在AWS S3储存云端服务中；并透过Amazon QuickSight商业智慧服务的仪表板功能，呈现外泄资料的分析结果。

科学园区与工业区占外泄个资七成，通讯传播类每四名员工就有一名个资遭外泄

若单就外泄资料的数量而言，郑仲伦表示，科学园区与工业区搜集到的外泄资料数量最多，超过21万笔；其次为-机关，数量将近4万笔；第三名是紧急救援与医院，数量超过1.3万笔。因为不同类别的基数不一样，单就数量多寡来看，并不够客观，反而应该依照公司员工数量以及外泄资料数量相比较，才会知道哪一类关键基础设施的员工，比较常外泄资料。

所以，郑仲伦表示，按照关键基础设施类别划分的员工资料外泄比例，以外泄资料总数除以员工人数，试图找出八大关键基础设施中，哪一类员工外泄资料比例较高。

员工外泄资料比例最高的为通讯传播类，比例高达23.16％，也就是说，通讯传播类的员工，每四名员工中，就有一名员工的个资遭到外泄；其次为紧急救援与医院，员工外泄资料比例为15.95％，差不多是每六名医学中心的员工中，就有一名员工的个资遭到外泄；第三名为-机关，员工外泄资料比例为10.86％，这表示每十名员工中，就有超过一名以上的员工个资遭到外泄；第四名为能源（8.98％）产业，以及第五名为科学园区与工业区（8.41％）。

以外泄个资的数量来看，高科技制造业是外泄个资数量的大宗，占比高达七成。

 

外泄资料的数量若加上企业员工数量来看，通讯传播业员工外泄个资的比例最高，每四名员工中，就有一名员工个资遭到外泄。

外泄个资使用弱密码，有16％交通类员工密码可用字典攻击破解

若进一步分析外泄的个资内容，郑仲伦透过分析台湾八大关键基础设施这些外泄密码的强度，进而观察关键基础设施员工所设置的密码强度，来分析关键基础设施的员工个资的安全强度。

此次密码强度分数的分析，设置一个0分～4分的评分机制，0分～1分表示密码非常容易猜到，2分～3分表示还算容易猜到，4分表示密码非常难猜。若以各个产业别的密码评分来看，科学园区与工业区密码强度评分为1.63分最高，其次为金融业（1.562分）、交通（1.551分）、紧急救援与医院（1.493分）、通讯传播（1.483分）、-机关（1.411分）、能源（1.294分）以及水资源（1.281分）。

郑仲伦综整台湾八大关键基础设施的密码强度的评分发现，这些外泄密码强度都在1分～2分之间，表示这些个资之所以外泄的一个重要原因在于，普遍使用很容易被骇客破解的弱密码，其中各类型产业的密码强度差异并不大。

不过，密码容易遭到骇客破解还有一种常见的可能性，那就是字典攻击，意即骇客将各种字典中的单字、各种常用字句，或是各种常见密码清单等，作为破解密码的参考资料，毕竟，有许多使用者为了怕忘记密码，经常会使用弱密码或是容易记得、有意义的字句，这也成为一种常见的暴力破解密码方式。

虽然字典攻击是常见的密码破解方式，但郑仲伦将这次搜集到的台湾关键基础设施所外泄的密码，进一步比对前10万笔最常见的字典攻击名单发现，交通类关键基础设施员工所使用的密码，有16.3％可以投射到常见的字典攻击，其次为通讯传播类（12.4％）、科学园区与工业区（10％）、金融（9.9％）和能源（9.6％）。他也说，容易投射到常见的字典攻击，通常表示密码规则不够复杂，相对容易遭到骇客破解。

若以外泄密码的强度来看，各个产业平均分数都介于1分～2分之间，对骇客而言，都是使用很容易猜到的弱密码，密码复杂度较低。

若将外泄的密码比对骇客最常使用的前十万个字典攻击的内容可以发现，交通类员工使用的密码，其中有16％吻合骇客经常使用的字典攻击，密码安全性堪虑。

高科技制造业个资外泄占整体7成，员工外泄个资比例最高2千倍

科学园区与工业区所外泄的个资，占整体外泄个资的7成，由于此次搜集的个资都是台湾上市柜公司，在4月15日前营收排名前一百大的企业，为求慎重，也避免对企业造成不必要的冲击，郑仲伦表示，对外公开的图表资料中，将直接隐匿企业名称但保留外泄的资料数量，他也希望借此提醒台湾高科技制造业应该更重视员工个资安全，并强化相对应的安全防护措施。

若以个资外泄数量而言，前三多的企业外泄个资都超过五万笔，外泄个资最多的数量则超过5.8万笔（58,474笔），第二多（52,196笔）和第三名（52,058笔）外泄数量相去不远，但到第四名企业外泄个资数量则只有5,466笔，可以清楚的发现，高科技制造业外泄个资有集中在某几家企业的现象，可以推测，这些大规模资料外泄事件可能基于某些系统遭骇或某次个资外泄事件，导致员工资遭外泄。

若以高科技制造业员工外泄个资比例来看，外泄个资前三多的企业，外泄个资数量远远超过该公司的员工数，因此，若以员工外泄个资比例前三多的企业来看，员工外泄个资比例第一名的企业，该公司员工外泄个资数量，是该公司员工数量的2千倍（2,196.54％），第二名则是700倍（711.99％），第三名则是400倍（414.709％）；第四名企业员工外泄个资比例为61.162％，与前三名有极大的差距，平均每5名员工中，有3名员工个资遭到外泄；但第五名之后的企业，员工外泄个资比例大概为一成～二成，差距相对前四名而言较小。

若以高科技制造业要求员工设置的密码强度，前十强企业的密码强度都在2分以上，骇客还算容易猜到相关密码，但比科学园区与工业区整体产业的密码强度平均分数1.63分还高；至于骇客可以借助字典攻击暴力破解企业员工设置的密码，第一名企业员工有将近四成（38.9％）可以透过字典攻击破解员工设置的密码；第二名为33.3％，第三名为30.5％。也就是说，前三名企业员工设置的密码强度不足，骇客容易透过字典攻击破解相关密码。

为了避免造成不必要的困扰，删除高科技制造业企业名称，仅保留个资外泄数量，可以观察到，前三多外泄个资的企业，每间企业个资外泄数量超过五万笔，与第四名之后有极大的差距。

同样删除企业名称，加上企业员工数量后可以发现，第一名员工外泄个资数量大幅超标，员工外泄个资竟然高达二千倍，其次为七百倍和四百倍。

同样删除企业名称，可以发现，高科技制造业使用的密码强度，前十名企业平均分数2分以上，高于产业平均分数，但对骇客而言，仍是弱密码。

同样删除企业名称，可以发现，前三名高科技制造业者员工使用的密码，超过三成可以直接比对骇客常用暴力破解密码的前十万笔字典档，也是各产业中，对照字典档比例最高的产业。

金融业员工外泄个资比例最高15％，密码易遭字典攻击暴力破解

高科技制造业外泄个资占台湾关键基础设施整体外泄个资的七成，而金融业的外泄个资数量只占整体外泄个资的3％，但郑仲伦表示，因为金融业牵涉到民众的金钱，所以，金融业一旦发生个资外泄造成的影响也更大。

郑仲伦观察到，金融业外泄个资的业者中，有某间民营金融业者外泄数量占整体的三分之一（34.37％），同样有集中的现象，因为是挑选市值前一百大的金融机构，搜集到有外泄个资的金融业家数比高科技制造业少，若细究个资外泄原因，有可能是之前某次单一个资外泄或者是撞库事件造成的现象；若以员工外泄资料的比例来看，外泄个资数量前三名的金融业者，其中一名就是员工外泄个资比例最高的金融业者。但若加上员工数量的话，金融业员工外泄个资比例最高为15.74％，也就是平均每七名员工中，就有一名员工个资遭到外泄；其次为12.34％、8.74％。

普遍认为，金融业对于资安防护的作为相对严谨，但若从此次金融业外泄个资的密码强度来看，金融业密码强度的整体平均分数为1.562分，只有二家金融业者密码强度分数超过2分，前八名业者超过1.6分，其余都在1分～2分之间，和其他产业的差距并不大。

若将金融业外泄密码比照骇客使用字典攻击、暴力破解密码的比例，郑仲伦表示，金融业整体外泄密码有9.9％可以利用字典攻击破解，但第一名的金融业者外泄密码，却有四分之一（25％）可以透过字典攻击破解，第二名也高达24.7％，这也意味着金融业要求员工设定密码强度的规则需要再更复杂。

同样删除企业名称，金融业中，有某民营银行外泄个资比例，占整体产业的三成。

同样删除企业名称，金融业员工外泄个资比例，最高为15.74％，也就是说，该间金融业每七名员工中，有一名员工个资遭到外泄。

金融业使用的密码强度偏低，只有二家金融业超过2分，其余都在2分以下，这也与一般认为金融业资安防护措施较严密的印象有差距。

金融业中，有二间企业使用的密码，有四分之一可以直接对照骇客使用常见的字典档，让骇客更容易破解员工密码。

医疗业员工外泄个资比例最高35％，易被字典攻击暴力破解业者低于其他产业

挑选紧急救援与医院类别作为分析的标的，郑仲伦指出，台湾基层医疗院所林立，但大型医学中心每日提供医疗量能才是大宗，所以便锁定台湾各大医学中心，作为此次关键基础设施网络曝险的分析标的。

医学中心虽然仍有外泄个资集中现象，但相较其他产业集中化现象略微趋缓，郑仲伦指出，第一名外泄个资的医学中心，占整体医疗业外泄个资的五分之一（20.56％），相较其他产业个资外泄高度集中化的趋势，较为和缓；但若加上员工比例来看，排名第一名的医院，员工外泄个资比例为34.84％，也就是说，每三名该医学中心的员工，就有一名员工个资遭到外泄，第二名到第五名的医院，员工外泄个资的比例超过二成。

进一步分析医学中心外泄个资的密码强度，全部都在2分以下，表示密码非常容易被骇客猜到；但若比对字典攻击方式，只有前二名的医学中心，分别有19.3％和19.1％的外泄密码，可以使用字典攻击暴力破解，相对其他产业动辄三、四成的外泄密码可以被骇客破解，台湾各大医学中心要求员工设置的密码复杂度相对其他产业高。

这次员工外泄个资比例最高的产业虽然是通讯传播、能源、医疗业和-，郑仲伦认为，不管企业资安设备的防护力多好，都可能在无意间发生个资外泄的事件，也可能像是遭到类似供应链攻击的方式，导致自家企业的员工个资可能透过其他公司遭到外泄，进而成为骇客攻击关键基础设施的利器。

郑仲伦从此次公布的台湾关键基础设施网络曝险报告也发现，使用弱密码是共通问题，更遭到的是，有超过10％以上的外泄密码，是可以透过字典攻击暴力破解，密码管理将成为台湾关键基础设施必须优先解决的资安议题。

各大医学中心中，第一名外泄个资的数量，占产业整体外泄数量的二成，个资外泄集中化的趋势，相对其他产业和缓。

员工外泄个资的比例，最高的医院是每三名员工，就有一名员工个资外泄，第二名到第五名的医院，员工外泄个资的比例超过二成。

若以密码强度来评分，医学中心员工使用的密码强度全部低于2分，也是各产业中，唯一一个没有一家医院密码强度超过2分的产业。

医学中心外泄密码若直接比对骇客使用的常见十万笔字典攻击的字典档，没有一家医学中心所使用的密码，超过字典档的二成，这也是各产业中最低的部分。