VicOne：2024 年汽車網路攻擊損失達數百億美元

車用資安廠商 VicOne 今日公布了《換檔加速－VicOne 2025 年汽車網路安全報告》，揭示全球汽車產業在資安方面的嚴峻警訊。

報告中顯示，2022 年至 2024 年間，汽車產業的網路攻擊因勒索軟體、資料外洩和營運中斷造成的損失估計達數百億美元。

尤其在 2024 年汽車漏洞數量達到歷史新高，其中 77% 以上的漏洞出現在車載或車內系統。電動車（EV）充電、作業系統及車隊管理等領域的新挑戰也隨之浮現。雖然人工智慧增強了車內功能與營運效率，但同時引入了新的安全漏洞，像是提示詞注入與受損的訓練數據，這些挑戰了傳統的安全防護方法。

快速普及的電動車暴露出充電基礎設施的關鍵弱點－從不安全的支付協議到過時的通訊標準，這些問題可能影響車輛與電網的安全。網路犯罪分子正在利用暗網交換高級的攻擊技術與竊取的車輛數據，使製造商與消費者面臨更高風險。

▲ 汽車網路攻擊總損失連年攀升，反映出汽車產業對網路犯罪分子的吸引力日益增強。（Source：VicOne）

2024 年共記錄了 215 起汽車網路資安事件，顯示這一年資安威脅持續存在。雲端與後端系統的漏洞成為最常見的攻擊向量，通常涉及勒索軟體攻擊、數據外洩及社交工程或網路釣魚攻擊。車輛劫持、供應鏈漏洞、無鑰匙進入技術的攻擊，以及車輛電子虛擬化攻擊，主要影響車載系統與無線更新漏洞。

▲ 2024 年汽車網路安全事件中，「全球性」事件占比達 21.4%。（Source：VicOne）

VicOne 也注意到供應鏈攻擊變得更加複雜且破壞力更強。去年犯罪分子明顯將供應商與第三方零組件供應商作為攻擊目標，因為它們是整合緊密的產業中最脆弱的環節。

對地下黑市訊息交換的分析顯示，針對汽車及整個產業的多層次、大規模攻擊變得越來越可能發生。當前的手動汽車改裝駭客攻擊，正逐步轉向更具破壞性且大規模的攻擊，像是用戶冒充與帳戶竊取。

▲ 汽車漏洞數量大幅攀升，並於 2024 年達到歷史新高，數量將近 2021 年的兩倍。（Source：VicOne）

2024 年公布的汽車相關漏洞（CVE）總數達 530 個，再創新高，數量將近 2021 年的兩倍。漏洞的大幅增加凸顯汽車攻擊面與系統複雜性的快速擴張。漏洞類型從晶片相關問題轉向涉及車載資訊娛樂系統（IVI）、作業系統以及電動車充電基礎設施的 CVE。在 2025 年 1 月 22 日至 24 日於東京舉辦的全球最大零日漏洞發掘競賽「Pwn2Own Automotive 2025」中，來自 13 個國家的頂尖資安研究人員發現了 49 個主要影響 IVI 及電動車充電系統的零日漏洞。

另外，大型語言模型作為生成式 AI 的基礎，因依賴企業關鍵數據、自主學習難以控制且易出錯，成為網路犯罪分子的首要攻擊目標。不安全的外掛設計、不當的輸出處理以及對抗性攻擊，都是 AI 運用中需解決的主要營運風險。此外，治理結構的劇變的戰略風險及責任歸屬、風險管理與品牌形象等財務風險也逐漸浮現。

（首圖來源：shutterstock）