【專欄】災變啟示錄：勒索攻擊癱瘓供應鏈，數位信任臨崩解危機

文/蔡鎤銘（淡江大學財務金融學系兼任教授）

引言

回顧2025年，全球數位社會在高速推進的數位轉型浪潮中，迎來一連串前所未見的網路安全衝擊。從癱瘓企業營運與物流體系的勒索軟體攻擊，到人工智慧被快速挪用為犯罪工具，這些事件已清楚顯示，網路威脅不再只是資訊部門的技術風險，而是直接衝擊實體經濟、公共安全與社會信任的「災變級危機」。

日本網路安全協會（JNSA）彙整的年度十大安全新聞，恰如一面鏡子，映照出數位社會信任結構正在承受的多重壓力。關鍵問題已不再只是如何防止下一次事故，而是：在高度依賴數位系統的今日，我們是否必須重新理解並重建「數位信任」本身。

勒索攻擊的社會化：從企業事故到公共危機

2025年最具震撼力的資安事件，莫過於勒索軟體攻擊全面「社會化」。朝日集團控股與大型物流商ASKUL相繼遭到攻擊後，訂單、出貨與物流系統長時間停擺，不僅衝擊企業營運，更波及年末消費市場。朝日集團約191萬筆客戶與員工資料外洩，使風險從營運中斷進一步擴散至個資保護層面。

更具警示意義的是，ASKUL物流系統停擺後，其所服務的無印良品、LOFT等零售通路，以及部分醫療相關物資配送亦受到影響。這顯示，在高度數位化與外包化的供應鏈結構下，單一企業的系統失守，已足以引發跨產業、跨領域的連鎖衝擊。網路攻擊不再只是企業風險，而是實質的公共風險。

責任的外溢：供應鏈攻擊引爆制度壓力

當網路事故的影響超出單一企業，法律責任與賠償問題便迅速浮上檯面。前橋市因委外系統遭攻擊而與NTT東日本達成約9500萬日圓和解，大阪急性期．綜合醫療中心相關案件的和解金更高達10億日圓，顯示網路安全已正式進入高額司法責任時代。

這些案例突顯，過去以效率與成本為導向的委外契約，往往未能充分反映供應鏈風險的外溢性。安全成本長期被視為可轉嫁的外部風險，如今卻被迫回流至契約與制度本身。經濟產業省推動的「供應鏈強化安全對策評價制度」，正是試圖透過共通標準，使安全責任得以被制度化分攤，重塑數位時代的責任鏈。

金融防線失守：證券帳戶盜用暴露認證滯後

金融領域在2025年同樣敲響警鐘。日本金融廳指出，截至11月，證券帳戶遭盜用所引發的非法交易金額已超過7100億日圓。犯罪集團多透過釣魚郵件或偽裝網站竊取帳密，再進行俗稱「拉抬出貨」的操縱交易牟利。

問題的根源，在於證券業長期未比照銀行業全面導入多因素認證。銀行體系早在十多年前即因應釣魚詐騙而強化身分驗證，並設有明確的存款人保護機制；相較之下，證券業在技術與法律保障上皆顯落後。事件迫使監管機關要求全面導入MFA，也提醒社會：金融信任若仍建立在靜態密碼之上，終將難以為繼。

人工智慧的雙面性：攻防全面加速

人工智慧在2025年清楚展現其雙刃特性。一方面，生成式AI大幅降低網路攻擊的技術門檻，甚至出現中學生在缺乏專業資安背景下，仍能利用AI輔助撰寫程式，對企業系統進行非法存取的案例。

另一方面，AI也迅速成為防禦端的重要工具，被廣泛應用於威脅偵測、異常行為分析與自動化回應。網路安全對抗已進入「演算法對演算法」的階段，關鍵不僅在技術競賽本身，更在於社會能否建立相應的倫理與治理框架，使防禦能力不至於被破壞性應用全面超越。

國家角色的轉向：主動網路防禦的信任再配置

面對威脅升級，日本於2025年通過「主動網路防禦」相關立法，允許在嚴格條件與法律監督下，對潛在威脅進行前置偵測與應對，並規劃設立統一的國家網路安全指揮體系。

此一轉向象徵國家角色從單純的被動防護者，逐步轉為數位社會的最終防線。然而，主動防禦所涉及的權限擴張，也伴隨對隱私、透明性與民主監督的質疑。國家是否能在不侵蝕公民權利的前提下承擔這一角色，將直接影響社會對公共防禦體系的信任程度。

信任的細部工程：市場、系統與溝通的再校準

在高層戰略之外，數位信任往往取決於無數細節性的制度與設計。2025年日本正式啟動的IoT產品安全標籤制度（JC-STAR），即嘗試透過第三方認證，讓消費者在購買智慧家電與網路設備時，能辨識其基本安全水準，補足市場長期忽略安全品質的缺口。

同年，主要網路服務供應商IIJ遭非法存取，波及日本交易所集團與多家地方銀行，再次凸顯數位社會對少數核心服務商的高度集中依賴。一旦關鍵節點出現漏洞，其影響便可能跨越多個產業。同樣地，高速公路ETC系統因更新失誤導致多縣市交通混亂，也提醒社會：風險不僅來自外部攻擊，系統維運與變更管理本身同樣是信任的關鍵。

2025年夏季，媒體報導日本廣泛使用於交通票證與電子支付的非接觸式IC技術FeliCa，在部分舊款晶片上被發現潛在安全弱點。儘管實際風險有限，且尚未造成重大實害，相關報導仍引發公眾不安，凸顯在資安事件中，「如何說明風險」本身往往比漏洞本身更影響信任。

不只防今天的駭客：數位信任的時間戰線

在回應當前威脅之餘，2025年的安全政策也開始納入長期視角。日本政府宣布，計畫在2035年前完成向抗量子密碼（PQC）的遷移，以因應未來量子電腦可能破解現行加密體系的風險。

這項長期工程顯示，數位信任不僅是即時防禦的問題，更是一場橫跨十年以上的時間競賽。唯有及早布局，才能避免未來某一天，現有信任基礎在技術斷層中被一次性擊穿。

結語

2025年的網路安全事件，描繪出數位信任在壓力下裂解、同時重組的動態圖景。勒索攻擊的社會化、供應鏈責任的外溢、金融認證的滯後，無一不在侵蝕既有信任；而主動防禦立法、市場導向的安全機制與前瞻性的加密布局，則顯示社會正試圖重構更具韌性的信任框架。

未來的數位信任，不在於系統永不失誤，而在於即使失誤發生，社會仍能承受、修復並持續運作。2025年留下的，不只是警訊，更是一個轉折點：數位社會的信任結構，正在危機中被迫重塑。