商傳媒|記者顏康寧/台北報導
Netflix 美國影集《零日風暴》以一場致命網路攻擊揭開序幕,描繪通訊中斷、社會恐慌與政治陰謀交錯的混亂場景。現實世界雖未走到影集般的全面癱瘓,但兩則最新外電正讓「零日漏洞」與「關鍵基礎設施資安」再度成為焦點:中國籍男子徐澤偉(Xu Zewei)近日從義大利被引渡至美國受審,美方指控他涉嫌參與疫情期間針對 COVID-19 研究與 Microsoft Exchange Server 漏洞的網攻行動;同時,公用事業科技供應商 Itron 也證實,部分內部系統遭未授權第三方存取。兩案目前沒有證據顯示彼此相關,卻共同凸顯數位時代的風險:攻擊不一定從戰場開始,也可能從一個未修補漏洞、一組遭竊憑證,或一家供應商的內部系統悄然展開。
影子裡的代理人戰爭:徐澤偉與漏洞武器化
在《零日風暴》中,駭客利用未知弱點發動攻擊,使國家機器陷入混亂;在現實案件裡,徐澤偉被美方指控參與的,正是將軟體漏洞迅速武器化的網攻行動。美國司法部表示,徐澤偉為中國籍男子,已於近日從義大利被引渡至美國,並在休士頓聯邦法院出庭,面對九項與電腦入侵有關的起訴;起訴內容涵蓋 2020 年 2 月至 2021 年 6 月間多起入侵行動,其中部分被指與 HAFNIUM 行動有關。
美方指控,徐澤偉與共犯曾鎖定美國大學與研究人員,目標包括 COVID-19 疫苗、治療與檢測相關研究;起訴書也稱,相關行動利用 Microsoft Exchange Server 漏洞,入侵全球多地電腦系統。司法部並將徐澤偉描述為「受國家支持的合約駭侵人員」,但相關指控仍待法院審理,徐澤偉在定罪前依法推定無罪。
HAFNIUM 後來也被微軟追蹤為 Silk Typhoon,微軟將其描述為總部位於中國的國家級活動組織,目標橫跨醫療、高等教育、國防承包商、智庫與非政府組織。這類攻擊之所以令人警惕,並不只在於單一駭客或單一漏洞,而是漏洞被發現後,可能在極短時間內被系統化利用,從情資蒐集、資料竊取一路擴大為跨國資安事件。
民生基礎設施的脆弱:Itron 遭駭的資安警示
相較於徐澤偉案指向國家級網攻與跨國司法追訴,Itron 事件則把焦點拉回民生基礎設施。Itron 是美國公用事業科技供應商,業務涵蓋電力、水資源、瓦斯與智慧城市管理。外界關注此案,並非因為目前已出現斷電或停水,而是因為這類企業位在關鍵基礎設施供應鏈之中,一旦內部系統遭入侵,可能牽動客戶資料、設備管理與後續營運風險。
根據 Itron 向美國證券交易委員會提交的文件,公司於 2026 年 4 月 13 日獲通知,未授權第三方取得部分系統存取權。Itron 表示已啟動資安應變程序、通報執法機關,並與外部資安顧問合作調查與修復;公司同時指出,目前未在客戶託管系統觀察到未授權活動,營運在重大方面仍持續進行。這意味著,事件目前不宜被解讀為「斷電危機」或「水電系統遭接管」。
然而,Itron 案仍具有警示意義。過去談到關鍵基礎設施攻擊,社會多半想像電廠、水廠、變電站或管線遭直接破壞;但現代基礎設施高度數位化,風險也可能藏在設備商、雲端平台、維運系統與第三方服務商之中。也就是說,即使攻擊尚未觸及實體供電或供水系統,企業 IT 系統被入侵本身,仍可能成為後續攻擊、勒索或情資蒐集的入口。
從螢幕到法庭:跨國引渡重塑數位問責
徐澤偉遭引渡,也讓網攻問責出現戲劇性轉折。過去,疑似受國家庇護的網攻行動者常被認為躲在主權邊界之後,使受害國難以追訴;但義大利將徐澤偉移交美國,顯示只要嫌疑人離開原本司法保護範圍,仍可能面臨美國與盟邦的刑事追訴。《路透》報導稱,徐澤偉是在義大利被捕,之後被引渡到美國面對相關網路犯罪指控。
但這並不代表數位國界已經消失,也不代表所有國家級或準國家級網攻行動都能被順利究責;仍留在不合作司法管轄區的嫌疑人,往往難以被逮捕或審判;跨國引渡固然是法治回擊,卻不是萬靈丹。真正的挑戰,是如何同時推進企業資安治理、漏洞修補速度、供應鏈防護、國際執法合作與司法程序保障。
