首頁 資安防禦大作戰 資安事件簿 太陽能基礎設施的資安風險

資安防禦大作戰

太陽能基礎設施的資安風險

能源資安 IEC62443 逆變器漏洞 供應鏈風險

美國 2025 年發生多起分散式太陽能基礎設施的資安事件,包含逆變器內嵌未記錄的無線通訊設備、供應鏈隱患及軟硬體多項高危漏洞。此類未經授權的遠端存取管道可導致惡意切斷電力、癱瘓電網、甚至造成區域性大規模停電。供應鏈風險以中國製設備居多,且監控軟體及硬體管理漏洞導致駭客有機會取得完整控制權。

 

一、全球分散式太陽能資安現況

(一)主要資安威脅類型

  • 遠端存取後門與間諜型通訊裝置
  • 監控設備弱密碼、憑證重複、無 MFA
  • 供應鏈風險,尤其中國製逆變器與感測器
  • 監管與管理責任分散,地方政府政策不一

2025年,美國發現大批進口的太陽能逆變器、電池元件,內建未記錄之蜂巢式通訊裝置,可繞過原有防火牆直接對外通聯,讓不明來源的第三方可遠端操控分散式電力設備。

(二)相關資安事件

  • 2025/5 美國調查發現逆變器內藏「幽靈通訊器」,可無預警斷電,造成本地/區域性停電與電網不穩
  • 2024/8 美國銀行竊案,駭客利用太陽能監控軟體漏洞,將逆變器加入殭屍網路盜取金融資訊
  • 2019:DDoS 導致美國 3 州 500MW 再生能源離線
  • 2024:中國廠商遠端「熔毀」美國逆變器,造成大規模設備故障

(三)主要漏洞分佈與來源

  • 2025調查發現42家供應商共有93項太陽能設備漏洞,35,000具逆變器曝露於網際網路,超過1/3屬高風險
  • 其中70%硬體由中國生產,90%全球產品含中國零件,供應鏈風險難以管理
  • 多數設備缺少資安檢測、檢驗內容不含資安項目,大量雲端管理漏洞、API憑證弱點、跨品牌共用帳號

(四)台灣目前現況

截至2025年9月,台灣光電設備容量約15GW(包含分散式及大型地面設施),尖峰占全國用電5%至8%(因為尖峰用電量會因天氣、季節與用電負載變動而變化),多數案場未通過資安驗證

  • DREAMS(註2)管理系統主要用於大型太陽能案場,但多數民間案場採用中國製逆變器
  • 監管政策僅禁止中國品牌,無強制資安標準或第三方驗證,ISO27001/IEC62443合規率低於30%

 

二、分散式能源資安挑戰

(一)主要技術漏洞

表1: 太陽能分散式電力系統常見資安漏洞類型

漏洞類型 攻擊路徑 影響範圍 典型漏洞案例
硬體供應鏈後門 無線通訊設備未記載,遠端操控 控制、監控、斷電 美國逆變器幽靈通訊器
API 憑證弱點 不當憑證驗證、雲端平台漏洞 監控、帳號竊取 Solarman/Deye跨平台憑證利用
預設密碼/共用帳號 帳號遭竊、重複認證 控制面板、全域設置 SMA、Sungrow、Growatt 固定密碼
資料外洩 API回傳過多資訊,個資竊取 使用者、組織、地理資訊 Solarman設備
MFA 缺失 僅用密碼,易被暴力破解 管理界面 多品牌太陽能案場

(二)供應鏈風險與政策盲點

  • 中國製設備市占率高,品牌資訊外洩易成入侵目標
  • 雲端平台漏洞難以追蹤,多雲時代設備認證問題突出
  • 台灣現行法規以設備產地品牌規範為主,缺乏強制資安檢測、驗證
  • 國防及國家關鍵基礎設施違約使用中國設備案例頻繁,導致國安疑慮

(三)產業特有挑戰

  • 小型案場(民間、商業)監控與防護責任不明,監管分散
  • 大量使用雲端資料系統,資安監控覆蓋率不足
  • 台灣的DERMS(註1)、DREAMS(註2) 這類大型案場能源管理系統在資安設計與管理上較為完整,通常會導入多層次控管、進階監控,以及合規要求(如主動資安維護、異常偵測、分層權限等),但私有案場僅設有一般性資安合規項目,缺乏專業資安整合與進階防護。

 

三、防禦、法規與分層治理建議

(一)國際經驗參考

  • 歐盟將「高風險PV逆變器廠商」(如華為、Sungrow)列入監管,要求供應鏈資安與遠端存取限制
  • 美國FBI、NERC要求大型系統資安合規、小型系統補助資安檢查及教育
  • 先進國家推動供應商白名單、元件資安標章制度

(二)台灣政策建議

1. 強化設備資安驗證與檢測流程

  • 強制所有太陽能逆變器、監控設備通過第三方資安檢測(含硬體、軟體、雲端認證)
  • 國防/政府合約明定設備產地查核及實地驗收
  • DREAMS管理平台介接設備需實作資安驗證流程

2.推動民間案場合規輔導:

  • 提供資安合規補助(ISO27001/IEC62443),協助案場建立資安控管流程
  • 結合能源管理平台建立資安稽核自檢清單

3.供應鏈安全與透明化

  • 設備採購流程明確要求零件、軟體溯源,每批設備均需附資安測試報告
  • 建立資安白名單供應商登錄機制
  • 定期公布資安高風險品牌、型號,提供業者參考禁用

4.提高人員教育與產業合作

  • 培訓太陽能產業資安人員,落實OT/IT聯防
  • 與台電、經濟部等機關合作推動資安演練
  • 建立資安事件應變通報平台(即時上報、在線處理)

(三)技術落實重點

  • 設備基礎設計採用「Zero Trust」(零信任)架構,所有遠端存取需多因素驗證
  • 雲端管理平台API防護,強制憑證更換及異常存取監控
  • 跨品牌帳號與憑證共用設限,避免設備橫向感染
  • 推動資安標章認證,公開近期漏洞名單與廠商修補進度

 

四、結論與建議

  • 太陽能分散式電力資安威脅日益加劇,供應鏈漏洞、硬體後門為首要國安挑戰。
  • 台灣現行法規以設備產地為主,資安檢測、合規率低,建議全面加強標準化驗證、第三方測試、民間鼓勵。
  • 應依國際資安法規強化政令力、建立白名單制度、推動民間案場資安升級。
  • 建議政府成立分散式能源資安技術小組、國家測試平台,加強跨部門資訊整合。
  • 推動產業協會公開「高風險漏洞警示」與定期資安演練,提升全台電力穩定性與防禦韌性。

 

FAQ問答:

Q:什麼是分散式太陽能基礎設施的資安事件?

A:駭客入侵設備/平台的漏洞並取得控制權,可惡意切斷電力、癱瘓電網、甚至造成區域性大規模停電,影響民生。
 

Q:分散式太陽能基礎設施的主要漏洞來源與資安威脅為何?

A:硬體後門、API 憑證弱點、預設密碼與共用帳號、缺乏 MFA等都使監控與控制面板易被入侵或暴力破解、供應鏈風險(例如中國製的逆變器)以及法規監管責任不明。
 

Q:台灣分散式太陽能基礎設施目前的資安現況?

A:現行監管僅限制品牌來源、缺乏強制資安檢測與第三方驗證。且多數案場未通過資安驗證。

 

註1:DERMS(Distributed Energy Resource Management System,分散式能源資源管理系統),是監控、優化與調度分散式能源資源(包括太陽能、風力、儲能等)的綜合管理平台。

註2:DREAMS(Distributed Renewable Energy Advanced Management System,配電級再生能源管理系統)是台灣電力公司(台電)的官方系統,台電要求裝置容量 500 KW(後續研議下修至 100 KW )以上的太陽光電案場必須接入 DREAMS,透過 DNP3.0 通訊協定將發電資訊以 4G/5G 方式傳輸至台電系統,以便台電進行即時監控、調度與電網穩定管理。

參考資料:

  1. https://www.justsecurity.org/123955/securing-solar-infrastructure-risk/
  2. https://www.greenlancer.com/post/solar-inverter-security
  3. https://www.cybersecuritydive.com/news/solar-power-gear-vulnerable-remote-sabotage/743806/
  4. https://www.helpnetsecurity.com/2025/10/14/solar-power-systems-cyber-threats/
  5. https://www.ithome.com.tw/news/164378
  6. https://www.cy.gov.tw/News_Content.aspx?n=528&s=32328
  7. https://esmc.solar/restrict-remote-access-of-pv-inverters-from-high-risk-vendors/
  8. https://www.dnv.com/
  9. https://service.taipower.com.tw/smartgrid/DERIntegration/Index