研究發展處 鍾國珍

隨著汽車智慧化與聯網技術的快速發展，車輛已不再只是單純的交通工具，而是逐步成為高度智慧化的行動平台。隨之而來的是日益嚴峻的資安風險。駭客攻擊已從IT系統擴展至車載系統與運營技術基礎設施，對行車安全與個資保護構成挑戰。國際間因應此趨勢，制定UN R155與R156等法規，規範車輛資安與軟體更新管理。我國亦規劃於2028年導入相關規範。文中簡要說明C.A.S.E趨勢下軟體在汽車中的重要性，並介紹車輛資安測試類型，包括遠端攻擊與物理接觸攻擊，以協助產業強化防護機制，提升整體競爭力。

壹、UN R155簡介

隨著汽車智慧化與聯網技術的快速發展，車輛已從單純的交通工具轉變為高度智慧化的行動平台。車聯網技術與遠端軟體更新（Over-the-Air, OTA）的普及，使車輛面臨前所未有的資安風險。駭客攻擊不再僅限於IT系統，也擴及車載系統與運營技術（OT）基礎設施，對行車安全與個資保護構成嚴峻挑戰。因應此變化，國際間相繼制定相關法規標準，如UN R155（車輛資安管理）與UN R156（軟體更新管理），以建立車輛資安防護的基本門檻。我國亦正積極導入這些法規，並於車輛型式審驗管理辦法附件96與97中規劃實施，預計自2028年起適用於新車型。

貳、市場現況

國際上，汽車產業受到智慧化發展趨勢的深遠影響，隨著C.A.S.E.（Connectivity, Autonomous, Sharing, Electrify）趨勢的深化，汽車軟體化程度日益提高。業界普遍預估未來約60%的汽車價值將來自軟體與服務，反映出資安需求的迫切性。如表1，過去幾年間，從特斯拉車聯網遭駭到福特系統漏洞事件，駭客攻擊事件逐年上升，攻擊目標不僅包含車輛本體，也涵蓋車聯網基礎設施與資料服務系統。這些事件突顯建立完整資安機制的重要性，以防止交通事故、財務損失及個資外洩等後果。

目前我國汽車產業仍以封閉式系統為主，但未來勢必朝智慧連網與軟體定義車輛（SDV）發展。因此，建立完善的車輛資安技術與測試能力，將有助於提升整體產業的國際競爭力。為因應UN R155資安要求，國內如車輛研究測試中心（ARTC）等單位，已著手建立車輛資安測試能力，發展各類模擬駭客攻擊的測試方法。常見車輛資安測試包含以下兩大類型：

表 1、國內外歷年車輛資安事件                               

●遠端攻擊測試技術： 此類測試無須實際接觸車輛，透過網路模擬駭客對車輛或後端伺服器發動攻擊，檢視系統的資安防護強度。例如進行DoS攻擊
    模擬，造成伺服器拒絕服務，再針對伺服器漏洞進行滲透測試，以判斷是否會有關鍵資料外洩的風險。整體過程依雙方合議規則執行，並完整記錄
    測試結果，用以強化系統應變與修補能力。 

●車輛物理接觸攻擊測試技術：駭客可能透過車輛內外的實體通訊介面（如OBD II）入侵車身控制網路，注入大量垃圾訊號，造成CAN網路癱瘓如圖1

    所示，進而阻斷駕駛指令，危及行車安全。例如：透過OBD接口注入異常訊號，導致底盤控制系統接收錯誤訊息；或透過接線點對ADAS（先進駕
    駛輔助系統）相關ECU進行攻擊，使其暫停運作，造成車輛無法啟用輔助功能，如圖2所示。

圖 1、車身網路訊號遭受阻斷後自行恢復通訊

圖 2、車身網路系統上電子控制元件遭受攻擊後無法恢復服務 

參、結論

車聯網技術與遠端更新技術的發展，使汽車產業邁向更智慧、更高效的未來，但同時也帶來前所未有的資安風險。透過TARA威脅分析與ISO 21434標準的實施，可有效評估車輛的潛在資安風險，進而建立針對性的資安測試機制。面對未來，國內產業需加快腳步，導入國際標準並強化車輛資安技術，提升車聯網資安防護能力，以應對不斷變化的威脅環境。同時，透過與國際法規接軌，確保國內汽車產業在全球市場中保持競爭力，推動智慧車輛產業的永續發展。