執行摘要

本報告係針對近期半導體產業關注之台灣積體電路製造股份有限公司(TSMC,以下簡稱台積電)2奈米(2nm)製程技術相關資料外流事件,及其關鍵設備供應商東京威力科創(Tokyo Electron Ltd.,以下簡稱 TEL)遭台灣檢方起訴一案,進行之獨立第三方資安稽核深度分析。為確保評估之客觀性並聚焦於風險管理議題,本報告將針對涉事人員進行匿名化處理(以 A、B、C 代稱),並採用中性用語描述事件經過。

本次事件之核心在於三名工程師 — — 前台積電工程師 A(案發時任職於 TEL),以及現任台積電工程師 B、C — — 涉嫌未經授權獲取台積電被列為「國家核心關鍵技術」之 2nm 製程參數 [1]。有別於傳統的外部網路入侵,本次事件屬於典型且高階的「內部人員風險」(Insider Risk),並涉及跨公司之供應鏈互動。涉事人員利用職務之便,繞過了數位監控(DLP)系統,透過「類比管道」(Analog Channel) — — 即利用私人智慧型手機拍攝螢幕畫面,並於非受控之實體場域(如新竹科學園區周邊之咖啡廳)進行資料展示與移轉 [3]。

本案對資安稽核領域之重要性在於,台灣檢方不僅依《國家安全法》調查三名自然人,更依據相關法規起訴法人實體「東京威力科創(台灣)」,檢視其是否善盡對員工之監督管理義務 [1]。此舉確立了供應鏈資安治理中,企業需對員工行為承擔連帶管理責任之標準。

第一章:緒論 — — 半導體資安之戰略語境與本次稽核範疇

1.1 半導體產業之風險新常態

在當前產業環境下,先進半導體技術被視為關鍵資產。台積電之 2nm 技術代表了製程之重大突破。因此,針對該技術之資料移轉風險,已受到高度關注 [7]。

資安稽核人員需認知,在此語境下,資料外流之潛在影響範圍可能擴及國家安全層級。本次事件雖表面上涉及設備供應商 TEL,但檢方調查指出相關資料有被「意圖在海外使用」之疑慮 [1],顯示風險邊界已超出單一供應商之範疇。

1.2 稽核目的與視角設定

本分析依據 ISO 27001、NIST SP 800–53 等標準,探討以下核心問題:

  1. 控制有效性(Control Effectiveness): 現行資安防禦體系在面對實體規避行為時之限制為何?
  2. 偵測機制(Detection Capabilities): 從異常行為發生到被偵測,「滯留時間」(Dwell Time)之分析。
  3. 供應鏈治理(Supply Chain Governance): 供應商內部管理漏洞如何影響合作夥伴?
  4. 合規韌性(Compliance Resilience): 企業面臨之法律責任與合規要求之變化。

第二章:事件還原與資料流向分析

2.1 涉事主體與角色屬性

於資安稽核之視角,釐清涉事人員(Subject)之權限與互動模式為調查之首要步驟。

None

A — 前台積電工程師 / 案發時為 TEL 員工,擁有對內部流程之深度了解(Domain Knowledge),並利用供應商身分合法進出,具備人際互動優勢 [1]。

B — 現任台積電工程師,擁有 2nm 製程資料之合法存取權,屬於「特權使用者」[10]。

C — 現任台積電工程師,同上,與 B 存在職務互動關係。

東京威力科創 (TEL) 作為關鍵設備商,享有實體存取便利,其員工管理機制成為檢視重點 [5]。

2.2 事件進程(Incident Progression)分析

經綜合分析公開資訊,本案之資料流向呈現出特定之規避特徵。

第一階段:接觸與溝通(Contact & Communication)

A 利用其作為廠商代表之身分,頻繁接觸台積電內部人員。A 利用過往人脈,與 B、C 建立聯繫。

  • 稽核洞察: A 以「協助廠商提升設備參數以獲取認證」或「幫助 TEL 爭取更多訂單」為由 [1],進行資訊交流。此類基於業務合作之理由,常降低人員對合規邊界之警覺。

第二階段:資料取得與規避(Access & Evasion)

B、C 二人利用職務權限存取內部系統。面對 DLP 系統防護,涉事人員選擇了「實體翻拍」方式。

  • 技術細節: 據報導,部分行為可能發生在居家辦公(WFH)或遠端存取期間。涉事人員使用私人智慧型手機,拍攝顯示參數之電腦螢幕 [4]。
  • 控制限制分析:
  • 數位限制: 軟體層面之 DLP 難以偵測外部光學設備。
  • 環境限制: 非無塵室環境(如辦公區或家中)之實體管控較難落實。
  • 行為模式: 報導指出,裝置中發現了大量相關照片 [3],顯示該行為具有持續性。

第三階段:資料移轉(Data Transfer)

  • 實體移轉: 雙方約定於新竹科學園區附近之咖啡廳(如星巴克)見面 3。在此非受控場域,利用私人設備進行資訊交換。
  • 稽核洞察: 企業難以監控員工在非公務時間之社交活動,突顯了供應商互動規範之管理難點。

第四階段:紀錄處理(Record Handling)

案發後,涉事人員刪除通訊軟體(如 LINE、WeChat)之對話紀錄 [9]。

  • 影響: 此行為被視為試圖移除證據,並增加了數位鑑識(Digital Forensics)還原事實之複雜度。

2.3 偵測機制之觸發

台積電最終透過「例行性監控」(Routine Monitoring)發現異常存取行為 [1]。

  • 系統反應: UEBA(使用者行為分析)系統發揮作用,識別出異常模式。
  • 時間窗分析: 從行為開始到被發現,存在一段時間之落差(Time Lag)[9]。可能原因包括警示閾值設定或對於高權限使用者之信任機制。

第三章:內部控制環境分析(Internal Control Environment)

3.1 機會因素(Opportunity):類比與數位的落差

  • 控制缺口: 缺乏對「螢幕畫面」之主動防護機制。
  • 環境變數: 混合辦公(Hybrid Work)模式增加了螢幕被拍攝之風險 [4]。

3.2 動機因素(Incentive):績效與人情

  • 業務導向: 據稱是為了「協助廠商取得訂單」,顯示出績效導向可能導致合規意識模糊 [2]。
  • 人際因素: 前同事關係(Alumni Network)可能形成非正式之信任圈,突破正式之資安規定。

3.3 認知因素(Rationalization):合規邊界模糊

涉事人員可能認為其行為係為優化設備運作,或認為參數屬於合作廠商可獲知範圍。這種認知偏差(Cognitive Bias)影響了對違規嚴重性之判斷。

第四章:供應鏈資安治理分析

4.1 企業管理責任之檢視

本次檢方依相關法規起訴 TEL 台灣分公司 [1]。

  • 法規觀點: 檢視重點在於企業是否採取「具體有效」之防範措施與監督機制 [6]。單純之政策宣示可能不足以免除管理責任。

4.2 供應商風險管理(TPRM)之盲點

  1. 信任依賴: 對於長期合作夥伴之信任可能導致監控放寬。
  2. 稽核範疇: 傳統稽核較少涵蓋供應商對其駐廠人員之行為監控機制。
  3. 人員流動: 缺乏針對離職回任或關聯人員之特定風險標記(Risk Flagging)。

第五章:案例比較分析

5.1 與三星(Samsung)案例之對比

  • 三星案: 涉及高階主管與整廠技術輸出,手段多為直接挖角,涉嫌將技術移轉至其他競爭對手(如長鑫存儲)[14]。
  • 本案: 針對特定製程參數,利用現有供應鏈關係進行互動,行為模式較為隱蔽。

5.2 與聯電(UMC)案例之對比

  • 法規趨勢: 兩案皆顯示出法規對於「法人」管理責任之重視。本案反映了台灣相關法規執行力度之提升。

第六章:法規遵循影響評估

6.1 關鍵技術之認定

2nm 製程被認定為「國家核心關鍵技術」[2]。

  • 合規要求: 相關涉事人員面臨較重之法律求刑 [2]。
  • 稽核影響: 企業必須建立更嚴謹之資產盤點與分級保護措施。

6.2 合理保密措施(Reasonable Measures)

  • 實務標準: 企業需證明其保密措施能「有效」區隔資訊、限制存取 [16]。
  • 管理意涵: 對於派駐在客戶端之員工,母公司需建立遠端管理或定期審查機制。

第七章:建議解決方案與改善措施

7.1 技術層面:強化端點防護

  1. AI 影像偵測技術: 利用 Webcam 結合 AI,偵測螢幕前方之異常拍攝行為 [18]。
  2. 動態隱形浮水印: 在螢幕訊號中嵌入肉眼不可見之識別碼,以利事後追溯 [19]。
  3. 情境感知存取控制: 針對異常情境(如非工時、大量存取)觸發進階驗證。

7.2 物理與環境層面

  1. 安檢程序升級: 引入高階檢測設備,識別微型電子裝置。
  2. 實體遮蔽措施: 使用防窺膜等物理手段限制可視角度 [20]。

7.3 管理與流程層面

  1. 駐廠人員管理: 要求駐廠人員接受與正職同等之背景審查與行為準則規範。
  2. 互動規範協議: 明確定義供應商與員工在非公務場域之互動界線。
  3. 離職人員管理: 落實競業禁止與離職後之行為規範(Garden Leave)。

第八章:資安稽核標準之演進

稽核領域傳統與新興重點如下表:

None

第九章:結論

本案顯示資安防護範疇已從數位邊界延伸至實體與社交場域。對於企業而言,建立具備「全方位感知能力」之防護體系至關重要。資安稽核人員應重新審視供應鏈管理模型,將風險控制落實於數位與實體之交界。

參考文獻 (References)

  1. Bloomberg. (2025, December 3). Taiwan charges Tokyo Electron in TSMC secrets theft case. Taipei Times. https://www.taipeitimes.com/News/front/archives/2025/12/03/2003848222
  2. Focus Taiwan. (2025, September 1). Prosecutors charge three with stealing TSMC secrets. https://focustaiwan.tw/society/202509010029
  3. CommonWealth Magazine. (2025). Over 1,000 Confidential Images Leaked. https://english.cw.com.tw/article/article.action?id=4264
  4. Eeworld. (2025). Details on Starbucks meeting and photographing screens. https://en.eeworld.com.cn/news/manufacture/eic703349.html
  5. Tech in Asia. (2025, December 4). Tokyo Electron charged in Taiwan over alleged TSMC secrets theft. https://www.techinasia.com/news/tokyo-electron-charged-in-taiwan-over-alleged-tsmc-secrets-theft
  6. ALM. (2025, December 2). Prosecutors seek NT$120 million fine against Tokyo Electron Taiwan. https://www.alm.com/press_release/alm-intelligence-updates-verdictsearch/?s-news-16145839-2025-12-02-prosecutors-seek-nt120-million-fine-against-tokyo-electron-taiwan-over-tsmc-technology-theft
  7. Reuters. (2022, February 17). Taiwan with eye on China to boost protection for its semiconductor secrets. https://wimz.com/2022/02/17/taiwan-with-eye-on-china-to-boost-protection-for-its-semiconductor-secrets/
  8. Digitimes. (2022, May 24). China trade secret: Taiwan amendments to prohibit Chinese poaching. https://www.digitimes.com/news/a20220524PD200/china-trade-secret.html
  9. Taipei Times. (2025, September 2). Court orders detention of three in TSMC trade secret theft. https://www.taipeitimes.com/News/taiwan/archives/2025/09/02/2003843091
  10. Tribune India. (2025, September 2). Taiwan court orders detention of three in TSMC trade secret theft. https://www.tribuneindia.com/news/business/taiwan-court-orders-detention-of-three-in-tsmc-trade-secret-theft/
  11. Tech in Asia. (2025, September 2). Court orders detention of 3 alleged TSMC trade secret theft. https://www.techinasia.com/news/court-orders-detention-3-alleged-tsmc-trade-secret-theft
  12. PCMag. (2025, August 28). 3 Former TSMC Employees Arrested for Allegedly Stealing Trade Secrets. https://www.pcmag.com/news/3-former-tsmc-employees-arrested-for-allegedly-stealing-trade-secrets
  13. Tom's Hardware. (2025, December 2). Taiwan hits Japanese firm with indictment in TSMC data theft saga. https://www.tomshardware.com/tech-industry/taiwan-hits-japanese-firm-with-indictment-in-tsmc-data-theft-saga-tokyo-electron-charged-with-failing-to-prevent-its-staff-from-stealing-trade-secrets
  14. Chosun Ilbo. (2025, October 1). Three ex-Samsung officials charged with using stolen 18-nanometer DRAM technology. https://www.chosun.com/english/national-en/2025/10/01/6IAPN5ALNJBIHEVYFOJZXARPZU/
  15. Dong-A Ilbo. (2025, December 24). Ten people indicted for leaking Samsung DRAM tech. https://www.donga.com/en/article/all/20251224/6025840/1
  16. Lee and Li. (n.d.). Trade Secrets in Taiwan: Legal Framework. Law.asia. https://law.asia/trade-secrets-taiwan/
  17. Lee and Li. (n.d.). Reasonable measures to maintain secrecy under Taiwan law. https://www.leeandli.com/EN/Newsletters/6538.htm
  18. Zecurion. (n.d.). Protection against photographing computer screens. https://zecurion.com/news/zecurion-has-developed-protection-against-photographing-computer-screens/
  19. Fasoo. (n.d.). How do you protect sensitive data shared on screens. https://en.fasoo.com/blog/how-do-you-protect-sensitive-data-shared-on-screens/
  20. 3M. (n.d.). 3M Privacy Filters and screen protection. https://www.3m.com/3M/en_US/privacy-screen-protectors-us/
  21. URM Consulting. (n.d.). ISO 27001:2022 Annex A Physical Controls. https://www.urmconsulting.com/blog/iso-27001-2022-annex-a-physical-controls