知識文章

車輛資訊安全技術介紹

2025 / 06 / 18

研究發展處 鍾國珍


隨著汽車智慧化與聯網技術的快速發展,車輛已不再只是單純的交通工具,而是逐步成為高度智慧化的行動平台。隨之而來的是日益嚴峻的資安風險。駭客攻擊已從IT系統擴展至車載系統與運營技術基礎設施,對行車安全與個資保護構成挑戰。國際間因應此趨勢,制定UN R155與R156等法規,規範車輛資安與軟體更新管理。我國亦規劃於2028年導入相關規範。文中簡要說明C.A.S.E趨勢下軟體在汽車中的重要性,並介紹車輛資安測試類型,包括遠端攻擊與物理接觸攻擊,以協助產業強化防護機制,提升整體競爭力。


壹、UN R155簡介

隨著汽車智慧化與聯網技術的快速發展,車輛已從單純的交通工具轉變為高度智慧化的行動平台。車聯網技術與遠端軟體更新(Over-the-Air, OTA)的普及,使車輛面臨前所未有的資安風險。駭客攻擊不再僅限於IT系統,也擴及車載系統與運營技術(OT)基礎設施,對行車安全與個資保護構成嚴峻挑戰。因應此變化,國際間相繼制定相關法規標準,如UN R155(車輛資安管理)與UN R156(軟體更新管理),以建立車輛資安防護的基本門檻。我國亦正積極導入這些法規,並於車輛型式審驗管理辦法附件96與97中規劃實施,預計自2028年起適用於新車型。


貳、市場現況

國際上,汽車產業受到智慧化發展趨勢的深遠影響,隨著C.A.S.E.(Connectivity, Autonomous, Sharing, Electrify)趨勢的深化,汽車軟體化程度日益提高。業界普遍預估未來約60%的汽車價值將來自軟體與服務,反映出資安需求的迫切性。如表1,過去幾年間,從特斯拉車聯網遭駭到福特系統漏洞事件,駭客攻擊事件逐年上升,攻擊目標不僅包含車輛本體,也涵蓋車聯網基礎設施與資料服務系統。這些事件突顯建立完整資安機制的重要性,以防止交通事故、財務損失及個資外洩等後果。


目前我國汽車產業仍以封閉式系統為主,但未來勢必朝智慧連網與軟體定義車輛(SDV)發展。因此,建立完善的車輛資安技術與測試能力,將有助於提升整體產業的國際競爭力。為因應UN R155資安要求,國內如車輛研究測試中心(ARTC)等單位,已著手建立車輛資安測試能力,發展各類模擬駭客攻擊的測試方法。常見車輛資安測試包含以下兩大類型:

表 1、國內外歷年車輛資安事件                               


●遠端攻擊測試技術: 此類測試無須實際接觸車輛,透過網路模擬駭客對車輛或後端伺服器發動攻擊,檢視系統的資安防護強度。例如進行DoS攻擊
    模擬,造成伺服器拒絕服務,再針對伺服器漏洞進行滲透測試,以判斷是否會有關鍵資料外洩的風險。整體過程依雙方合議規則執行,並完整記錄
    測試結果,用以強化系統應變與修補能力。 

●車輛物理接觸攻擊測試技術:駭客可能透過車輛內外的實體通訊介面(如OBD II)入侵車身控制網路,注入大量垃圾訊號,造成CAN網路癱瘓如圖1

    所示,進而阻斷駕駛指令,危及行車安全。例如:透過OBD接口注入異常訊號,導致底盤控制系統接收錯誤訊息;或透過接線點對ADAS(先進駕
    駛輔助系統)相關ECU進行攻擊,使其暫停運作,造成車輛無法啟用輔助功能,如圖2所示。

                              

圖 1、車身網路訊號遭受阻斷後自行恢復通訊

                              

圖 2、車身網路系統上電子控制元件遭受攻擊後無法恢復服務 


參、結論

車聯網技術與遠端更新技術的發展,使汽車產業邁向更智慧、更高效的未來,但同時也帶來前所未有的資安風險。透過TARA威脅分析與ISO 21434標準的實施,可有效評估車輛的潛在資安風險,進而建立針對性的資安測試機制。面對未來,國內產業需加快腳步,導入國際標準並強化車輛資安技術,提升車聯網資安防護能力,以應對不斷變化的威脅環境。同時,透過與國際法規接軌,確保國內汽車產業在全球市場中保持競爭力,推動智慧車輛產業的永續發展。

訂閱電子報

「填妥下列資料,即可完成訂閱電子報手續」

ARTC行動辦公室

提供同仁各項作業系統之快速連結服務

SSL VPN服務 WEB Mail服務
親愛的朋友,歡迎您蒞臨「財團法人車輛研究測試中心」網站(以下簡稱本網站),您在本網站活動的個人隱私權,本網站絕對尊重並予以保護。為了幫助您瞭解本網站如何蒐集、應用及保護您所提供的個人資訊,請您閱讀下列說明:關於適用範圍

本網站為提供安全、可用與完整之資訊服務,並符合相關法令之要求,訂定本政策。 以下的政策,適用於您在本網站活動時,有關個人資料的蒐集、運用與保護,但不適用於本網站所連結之其它網站。凡經由本網站連結之其它網站,均有其專屬之隱私權保護與資訊安全政策,概與本網站無關,本網站亦不負任何連帶責任。當您在這些網站時,關於個人資料的保護,適用各該網站的隱私權政策。

關於個人資料之蒐集與運用
一、 單純在本網站的瀏覽及檔案下載行為,本網站並不會蒐集任何有關個人的身分資料。利用本網站所提供的各項線上服務,需申請人提供個人資料時,各承辦單位會依案件辦理需要請您提供姓名、聯絡電話、電子郵件信箱、通訊住址等個人最新、最真實之資料。如提供任何錯誤或不實資料,則本網站有權拒絕您使用本網站之服務。
二、 本網站會記錄使用者上站的IP位址、上網時間以及在網站內所瀏覽的網頁等資料,這些資料係供本網站管理網站流量和網路行為調查進行總量分析,以利於提昇本網站的服務品質,且本網站僅對全體使用者行為總和進行分析,並不會對個別使用者進行分析。
三、 本中心除公務性電子郵件回函及您所註冊訂閱的電子報外,不主動寄送任何電子郵件。若您收到偽造本網站寄送的廣告或垃圾郵件,請諒解此部分並非本網站所能控制範圍,也無法負擔任何責任。
四、 本網站所收集的個人資料將依「個人資料保護法」及相關法律規定處理。本網站絕不會任意出售、交換、或出租任何您的個人資料給其他團體、個人或私人企業。但有下列情形者除外:
1. 配合司法單位的調查。2. 配合相關職權機關依職務需要之調查或使用。3. 基於善意相信揭露為法律需要,或為維護和改進網站服務而用於管理。

關於隱私權保護之諮詢與救濟
如果您對於以上條款有任何疑問或意見,歡迎來信與我們連絡。

關於網站安全機制
一、 基於對本網站主機安全之維護,本網站已建置網路安全機制,不定期進行弱點掃描與系統漏洞修補。本網站也裝置網路記錄分析系統,對於不明企圖與入侵將被記錄,對於破壞行為或企圖進入伺服主機的異常行為,將進行呈報與攔阻,並通報警政單位。 二、 任何危害本網站資訊安全之行為人,視情節輕重追究其民事、刑事及行政責任。