出國使用便宜旅遊eSIM雖然方便,但資安風險也受到關注。cacaFly聖洋科技執行長邱繼弘示警,部分境外eSIM價格比漫遊低、安裝快,但使用者人在國外上網,網路流量卻可能先繞經香港,甚至進入中國移動國際的核心網路,讓位置軌跡、DNS查詢、流量行為等通訊元資料暴露風險升高。
便宜旅遊eSIM恐藏資安風險
邱繼弘在臉書引述美國東北大學研究指出,研究團隊購買25家主流旅遊eSIM業者方案,包括Holafly、Airalo、eSIM Access等,實測封包流向後發現,幾乎所有受測eSIM取得的公網IP,都與使用者實際所在地不一致。
他以Holafly為例說明,該品牌總部位於愛爾蘭,但研究發現,使用其eSIM上網時,裝置取得的IP位置落在香港。也就是說,使用者即使人在巴黎,封包仍可能先繞到香港,再由中國移動國際放行出去。
邱繼弘指出,更值得注意的是,eSIM profile安裝後,可能在使用者不知情下自動建立連線、接收簡訊或查詢位置。即使HTTPS能保護實際通訊內容,但流量行為、連線時間、DNS查詢與IP對應等metadata,本身就具有高度情報價值。
AI工具打不開 可能不是網路壞掉
他也提醒,許多使用者出國後發現ChatGPT、Claude、Gemini等AI工具無法開啟,未必是手機或飯店網路問題,而可能是購買的eSIM把網路出口設在香港或中國。由於OpenAI、Anthropic、Google等服務會偵測並限制部分地區IP,若系統判定使用者來自香港或中國,就可能直接拒絕服務。
部分業者會建議使用者手動修改APN,把IP切到新加坡,以繞過AI服務限制。不過邱繼弘強調,APN改變的是「網路出口」,不是網路身分;即使外部網站看到的是新加坡IP,使用者的IMSI、IMEI、位置軌跡、流量行為與DNS查詢,仍可能先經過SIM卡發行業者的核心網路。
籲NCC鬆綁旅遊eSIM
邱繼弘認為,這件事不應只簡化為「查禁境外eSIM」,真正問題在於台灣本地電信業者缺乏有競爭力的旅遊eSIM產品。他指出,中華電信、台灣大、遠傳技術上都有能力推出純流量、可線上開通、專供海外漫遊的旅遊eSIM,但現行NCC監管仍以實體SIM邏輯管理eSIM,申辦程序繁瑣,也讓相關產品難以發展。
他建議,NCC應明確定義「旅遊型純流量eSIM」為合法業務類別,允許不綁台灣門號、不提供語音服務、可線上開通的海外漫遊產品,並讓本土電信業者或子品牌與境外平台正面競爭。
邱繼弘也主張,公務員、國營事業、軍方及外館人員出國差旅,應優先使用本國電信業者的旅遊eSIM,建立基本通訊安全防線。