自駕車資安防護：從應用面看懂標準的重要性

隨著全球交通系統越來越現代化與數位化，從船舶、列車到汽車都朝向自動化邁進，這些進步帶來效率與便利，但同時也打開了讓駭客攻擊的大門；2025年1月，義大利地中海的航行系統就遭一名年僅15歲的學生入侵，雖然這次事件並未造成實質破壞，但卻引起全球資安專家警覺— 當系統變得越來越依賴軟體與遠端通訊時，任何一個漏洞都可能導致災難性的後果。

尤其是自駕車，一旦被入侵，不只影響駕駛者與乘客的安全，甚至可能被當作攻擊工具，造成大規模傷亡，英國議會的研究指出，自駕車的風險主要不是來自「自動駕駛」本身，而是它與外部設備大量連線的「連網能力」。

什麼讓自駕車這麼容易被駭？

幾乎所有新車都會連上網

根據 Juniper Research 的預測，到 2030 年，全世界 95% 的新車都會是「連網車輛（Connected Vehicles）」，2023 年時這個數字是 1.92 億輛，到 2027 年會增加到 3.67 億輛。車子上裝滿了感測器、攝影鏡頭、GPS、Wi-Fi、LTE、甚至 5G 模組，還能透過 OTA（Over-the-Air）遠端更新軟體，功能越來越像一台會跑的手機。

連線越多，漏洞越多

這些自駕車系統仰賴的是龐大的雲端服務與通訊系統，它們和城市交通號誌、停車場系統、甚至能源管理系統整合，這就代表駭客只要找到其中一個弱點，就能一路打穿整套系統，攻擊者可以鎖定的目標包括：

• 先進駕駛輔助系統（Advanced Driver Assistance Systems, ADAS）： 這是指透過雷達、攝影機與感測器，協助駕駛者進行行車輔助的系統，例如自動煞車、車道維持、盲點偵測等功能。這些系統對安全至關重要，一旦遭駭，可能直接威脅行車安全。
  

• 車聯萬物（Vehicle-to-Everything, V2X）通訊協定： 這是自駕車與周圍環境互相溝通的技術，包含車對車（V2V）、車對基礎設施（V2I）、車對行人（V2P）等。駭客若控制V2X通訊，就可能偽造訊號，干擾交通判斷，甚至造成碰撞風險。
  

• 空中更新系統（Over-the-Air, OTA）： 讓車輛可以像手機一樣，透過網路下載韌體或軟體更新，修補漏洞或新增功能。然而，若更新機制本身不安全，駭客就可能注入惡意軟體，操控車輛行為。
  

• API 與應用服務後台： 車輛越來越依賴雲端與行動應用，例如導航、遠端控車、車輛健康診斷等，而這些服務大多透過 API（應用程式介面）連線。若後端服務或API遭入侵，就等於駭客取得遠端控制權限。
  

• 電動車的充電樁與電網： 充電設施不只是電源，它同時具備通訊與驗證功能，例如使用者身份辨識、付款驗證等。若駭客入侵充電樁，可能癱瘓整個充電網路，或竄改數據造成財務損失。

AI 加持的駭客攻擊已經來了

Upstream 發布的報告指出，2024 年汽車資安攻擊中，有超過 35% 的案例屬於「遠端遙控車輛」，甚至透過 AI 進行自動化、規模化的滲透測試，這代表威脅不再只是單點漏洞，而是系統性的連鎖風險。

資安防護的第一步：標準化

當風險無所不在，標準就變得特別重要，國際上已有幾個核心資安標準，是針對交通運輸與自動駕駛設計的：

IEC 62443 系列標準

這是針對工業自動化控制系統的資安規範，也能應用在智慧交通系統上。它不是單一產品標準，而是一套涵蓋開發、部署、營運的「全流程」資安設計指南。舉例來說，標準中明確要求供應鏈上各階段如何做身分驗證、資安稽核、漏洞管理等控管流程。

ISO/SAE 21434：專為汽車設計的資安工程標準

這是目前車廠與一級供應商（Tier-1）最常參考的汽車資安標準。它的核心概念是：資安要從產品概念開始就納入考量，而不是等產品做好才來補漏洞，它也滿足聯合國 UN R155 的法規要求，讓各國政府可以採用為法規依據。

UN R155 規範

目前已在歐盟、日本、韓國強制實施，它規定每一台新車都必須擁有「資安管理系統（CSMS）」，並經過認證才能上市，雖然其他國家還未強制，但多數車廠為了全球出貨，幾乎都已參照此法規來設計產品。

IECEE 認證機制

IEC 下的 IECEE 系統，也有專門針對 62443 系列標準的認證計畫，這對工業自駕車（如無人巴士、無人貨運車）等交通應用非常實用。

不只汽車，連海運系統也在被駭

別以為只有車子會中招，海運也是資安熱區之一，AIS（自動識別系統）與 GPS 是船隻的導航關鍵，但許多船隻仍使用過時、未加密的系統，很容易遭到偽造或干擾，駭客能夠讓船隻漂移錯誤航道，甚至模擬虛假船隻；IEC 的 TC 80 技術委員會發布的 IEC 63154 標準，正是針對這些資安漏洞提供保護措施。

結語：資安不是加值服務，而是必備條件

隨著自駕技術逐漸成為日常交通的一部分，資安防護不再是附加價值，而是產品能否安全上路的基本條件；自駕車系統涉及大量的感測資料收集、無線通訊與軟體決策模組，一旦這些關鍵模組被入侵，不只是單一車輛的問題，還可能導致整體交通系統的癱瘓。

因此，資安必須從產品設計階段就開始導入，依循國際標準如 IEC 62443、ISO/SAE 21434 等，建立一套可驗證的安全流程，包含需求分析、威脅建模、測試與事件回應計畫；同時，供應鏈各環節也需要負起責任，確保零組件與軟體模組在整合前已具備足夠的資安防護力。

除了技術面外，企業文化也需全面導入資安治理概念，不僅開發團隊需受訓，營運與維護人員也要了解如何發現、回應並通報可疑事件。唯有如此，才能從根本上打造一個穩固且可持續發展的智慧交通環境。

參考文獻

1. IEC 官方網站

   • IEC 62443 系列標準介紹 https://webstore.iec.ch/publication/61003

2. ISO 官方網站

   • ISO/SAE 21434:2021 - Road vehicles — Cybersecurity engineering https://www.iso.org/standard/70918.html

3. UNECE 聯合國歐洲經濟委員會

   • UN Regulation No. 155 – Cybersecurity and cybersecurity management system https://unece.org/transport/vehicle-regulations-wp29/standards/addenda-1958-agreement-regulations-141-160

4. Upstream Security 報告

   • Upstream 2024 Global Automotive Cybersecurity Report https://upstream.auto/press-releases/upstream-report-reveals-critical-cybersecurity-gaps/

5. Juniper Research

   • Connected Vehicles to Surpass 367 Million Globally by 2027 https://www.juniperresearch.com/press/connected-vehicles-to-surpass-367-million-globally/

6. Sky News

   • Car ramming incident involving autonomous vehicles https://news.sky.com/story/mother-and-two-year-old-daughter-die-after-car-ramming-attack-in-germany-13310195

7. MSN 國際新聞

   • Teenage hacker disrupts Mediterranean shipping routes https://www.msn.com/en-gb/news/world/teenage-hacker-disrupts-mediterranean-shipping-routes/ar-AA1xTeSg

8. Computing UK

   • Maritime security and the rise of cyber threats https://www.computing.co.uk/event/4208804/maritime-security-hacking-ship-hacking-tesla-bigger

9. DEKRA Group

   • The Rise of E-Scooters: Challenges and Opportunities https://www.dekra.com/en/the-rise-of-e-scooters-challenges-and-opportunities-in-urban-areas/

10. BSI Group Insight

    • Accelerating Automotive Cybersecurity https://www.bsigroup.com/en-GB/insights-and-media/insights/blogs/accelerating-automotive-cybersecurity/