台灣遭中共網攻 政府機構資安受關注

中華民國行政院長蘇貞昌11日表示，台灣正面對中共政治、經濟、軍事的脅迫，近期政府部門及民間部門遭到資安與假訊息攻擊事件明顯增加。政府機構資安防護是否完備，成為大眾關注焦點。

中華民國國防部證實中共網攻

中華民國國防部8日召開記者會證實，中共除了軍演，還對台灣各重要全球資訊網站開展大量網絡攻擊和認知作戰。

國防部官方網站於3日晚間出現遭駭事件，據國防部應變小組搜查，多個可疑電腦IP同時對國防部官網送出大量連線要求，導致網絡流量過大超出上限，無法登入網頁。

據政戰局統計，中共在軍演前就已展開認知作戰攻勢，自8月1日到8日中午，共有272則爭議訊息，這些訊息經過大量複製傳散，分別為營造武統氛圍、打擊政府威信。

對於中共認知作戰部份，政戰局副局長陳育琳指出，隨著網絡社群、資訊媒體發展迅速，戰爭型態和過去有著極大轉變，特別是認知作戰的，藉由破壞社會既有的網絡、深化對立的手法，敵方意圖產生足以左右戰場勝負的影響。國防部呼籲民眾對於爭議訊息不要輕易相信。

境外發動大量網絡攻擊

近來中華民國總統府、外交部、國防部等機關皆發生一級資安事件，政府機構與關鍵基礎設施網站遭境外勢力發動分散式阻斷服務攻擊，（distributed denial-of-service attack），簡稱DDoS攻擊。

何謂DDoS攻擊，即將擔任中華民國首屆數位部部長的行政院數位政委唐鳳7日接受台灣媒體《自由時報》採訪時說明，網站遭DDoS攻擊宛如電話被佔線，瞬間大量從國外跨境打電話到指定專線，就無法撥進去，實際上電話線並沒有壞掉，政府資料也沒外洩。

唐鳳表示，目前政府機構網站相關的關鍵基礎設施有充足防護，這種黑客行為意圖是欲引起民眾心理恐慌。目前數位部網站正在試行採用以web3為主的分散式架構，不對稱防禦的架構，未遭到最近DDoS攻擊。如果經過測試將推廣至政府各部會，未來將確立Web3架構適用的邊界、國際業者國內法遵的合規，並建立相關指引，循序漸進推行。

中華民國政府機構官網屢遭境外網絡攻擊，在8月2日達到高峰，為過往單日最高攻擊量的23倍。唐鳳11日表示，近日持續監控網攻狀況，進行流量清洗與聯防，目前皆未超過2日的高峰。

據台灣網絡資訊中心（TWNIC）統計，在8月2日至3日期間，.tw國家頂級網域DNS最大查詢量約為每秒超過8.5萬筆，其中惡意攻擊流量佔整體75%，來源主要是美國與中共的雲端業者。

台灣資訊媒體《iThome》報道，佩洛西離台後，中共的網絡攻擊手段並未停止，像民視新聞網在8月6、7、 8日和10日遭到DDoS攻擊；民視的YouTube直播節目在6日遭到黑客竄改播出內容；7日台灣大學教務處、硏發處官網首頁遭到黑客置換網頁，網頁中出現紅色背景以及大大的「世上只有一個中國」、「中國一點都不能少」字樣。

假訊息方面，引人注目的是假冒知名黑客組織「APT 27」，宣稱駭入台灣重要單位系統，手中掌握20萬台物聯網裝置的「零時差漏洞」，足以發動撼動台灣的網絡攻擊。

據《華爾街日報》10日報道，儘管表面上這些網軍攻擊手法簡單，但專家提醒繼續保持警惕。曾為台北市政府提供數字問題諮詢的科技企業家Schee Tzu-han說，這些技術含量低的攻擊，事實上可以收集台灣網絡防衛的情報來供下次攻擊使用。

該報道還說，澳洲網絡安全公司CyberCX首席戰略官Alastair MacGibbon也持相同看法並說，他不擔心那些對台灣的政府網站發起高調的攻擊，但中共在多大程度上有沒有可能已經滲透到所謂的「核心系統」，比如供應鏈系統，才是更大的擔心。

公共看板遇駭事件反映資安漏洞

台灣火車站、超商等數個公共場合電視牆被中共網軍以惡意攻擊的方式傳遞「戰爭販子佩洛西滾出台灣」、「偉大華夏終將統一」等字眼，事後被立委揭露，台鐵電視使用的就是中國卡萊特公司（Colorlight）的軟件。

台灣民間團體「經濟民主連合」研究員許冠澤10日表示，中華民國行政院在2019年4月通過「各機關對危害國家資通安全產品限制使用原則」，限制公務機關使用華為、海康威視等產品；並發函要求各公務機關，資通訊產品不得使用中國廠牌、不得與公務環境介接，並要求2021年底前完成汰換所使用或採購中國廠牌資通訊產品。

許冠澤表示，禁止公務機關使用中國廠牌資通訊產品，是民主國家的潮流，行政院本應嚴格貫徹。而本次台鐵電視牆的疏失，顯見未能有效落實。許冠澤要求行政院應於立法院開議前，就公務機關旗下包括委託的外判商、廣告商等，仍有使用中國資通訊產品之事情提出全面稽核報告，並提出違規懲處名單。

唐鳳表示，這次廣告看板事件主要是訊息戰，心理戰，目的是要讓大家恐慌，電子屏幕遭駭雖不涉資安危機，但公共場域接觸不特定人，屬於混合戰一環。

因應這次網攻出現資安漏洞，中華民國行政院表示，目前已著手修訂各機關對危害國家資通安全產品的限制使用原則，未來公家場域電子屏幕不能使用危害資安的資通產品或服務，範圍包含中央政府、地方政府、行政法人、公共設施、台鐵、高鐵、捷運等。