關鍵基礎設施資安警訊：美國電力商 Itron 遭駭，DC 電源調節器成新型攻擊入口

美國管理逾億個端點的公用事業科技商 Itron 近日揭露內部系統遭未授權存取，與此同時，資安研究人員也示警，直流電源調節器（DC power regulator）正悄然成為駭客鎖定的新興攻擊面，兩起發展共同指向一個嚴峻現實：關鍵基礎設施的資安風險正從網路層向電力層延伸。

Itron 遭入侵：關鍵基礎設施廠商的高風險暴露

根據 Itron 於美國證券交易委員會（SEC）提交的 8-K 申報文件，該公司於 2026 年 4 月 13 日接獲通報，確認有未授權第三方存取其部分內部系統。Itron 表示，事件發生後已立即啟動資安應變計畫，通知執法機關，並引入外部顧問協助調查、緩解與控制未授權活動。目前未授權存取行為已被封鎖，且公司未觀察到後續異常活動。

Itron 是一家總部位於美國華盛頓州的上市公司，股票在那斯達克掛牌交易，員工人數約 5,600 人，2025 年營收達 24 億美元。公司服務遍及 100 個國家、7,700 家客戶，管理端點數量高達 1.12 億個。其核心業務涵蓋電網、水資源配送及天然氣網路等關鍵基礎設施的技術產品與服務，與公共安全高度相關。

Itron 表示，此次事件未對業務營運造成重大影響，預計事件相關費用將有相當比例由保險理賠支應，且未授權活動未擴及客戶端。不過，公司也強調調查仍在進行中，事件範圍與影響尚未完全釐清。目前尚無任何勒索軟體組織宣稱對此次攻擊負責。

電力層成為新攻擊面：藏匿於作業系統之下

Itron 事件發生的同時，資安研究社群正對另一個長期被忽視的風險層發出警告，那就是電源管理基礎設施本身。

NCC Group 全球研究總監 Andy Davis 指出，直流電源調節器的核心功能是穩定電壓，防止因電壓突波造成設備損壞或系統中斷，廣泛應用於電信、工業自動化、資料中心及消費性電子設備。然而，隨著 AI 與量子運算等高耗電技術的崛起，電源管理系統的複雜度大幅提升，也因此成為攻擊面的一部分。

Davis 表示，「確保電力穩定、有效管理與高效輸送的相關技術已變得愈來愈複雜，因此它已成為攻擊面的一環。」

更令人憂慮的是，電源調節器運作於作業系統（OS）層之下，傳統防毒或惡意程式偵測工具的監控範圍無法觸及這一層級。ExtraHop 資安長（CISO）Chad LeMaire 指出，成功入侵電源調節器的攻擊者，可在不被察覺的情況下影響系統效能、觸發關機，甚至對硬體造成實體損壞。

Davis 說，「攻擊者可能悄悄藏匿於基礎設施之中，他們能在電源控制基礎設施中建立後門，而非針對基礎設施本身下手。」

軟體化帶來供應鏈風險，CVE 案例已現蹤

NetRise 資深副總裁（SVP）Gary Schwartz 強調，現代電源調節器早已不是被動的硬體元件，許多型號已是可程式化、韌體驅動的系統，直接控制設備的實體運作方式。

以半導體製造商意法半導體（STMicroelectronics）為例，其出貨的可程式化電源設備已在美國國家漏洞資料庫（National Vulnerability Database，NVD）中留下數十筆與韌體及支援軟體相關的 CVE 紀錄。「一旦電源調節轉為軟體驅動，就繼承了其他程式碼所面臨的相同供應鏈風險，」Schwartz 說，「令人擔憂的不只是漏洞的存在，而是漏洞被利用的速度。」

在潛在危害方面，攻擊者可針對供應多台伺服器的單一電源調節器發動阻斷服務攻擊（DoS）；若將規模擴大至整個資料中心，影響範圍將更為可觀。Davis 也提醒，若威脅行為者鎖定工業控制系統（OT）或安全關鍵系統，例如控制車載嵌入式電腦的連網汽車，後果恐不僅止於系統中斷，更可能危及人身安全。

防禦建議：將電力調節納入資安架構

面對上述威脅，資安專家提出多項應對建議。Davis 呼籲，企業應將電源調節視為資安架構的一部分，從資安視角而非僅從用電量角度進行監控。LeMaire 則建議，對電源管理軟體強制執行密碼簽署（cryptographic signing）與安全開機機制，並採用網路分割與持續監控等既有企業網路安全實踐。

Davis 說，「人們需要意識到，複雜性帶來了額外的威脅，必須將其納入威脅模型，攻擊者正在利用這個潛在漏洞藏匿其中，這是最核心的風險所在。」

隨著 AI 技術進一步整合至電源調節系統，這一攻擊面的複雜程度預計將持續攀升。