- 資安週報-第 43 期(115/4/27 - 115/5/3)資安訊息保安警察第一總隊115-05-18115-05-18<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
<strong>事件通報:</strong><br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
適逢報稅期間,應特別留意以稅務議題為名之社交工程郵件 避免因下載或執行不明檔案導致設備受駭<br />
本週總計接獲12件公務機關與特定⾮公務機關事件通報,公務機關⾮法⼊侵事件中以未經授權存取占多數。本週有機關接獲以「免稅原則」等稅務議題為名之社交工程郵件,因誤信郵件內容導致設備遭植入後門程式與連線中繼站行為。<br />
適逢報稅期間,駭客常利用免稅、退稅、稅務申報或補件通知等主題寄送社交工程郵件,藉以降低收件人警覺並提高點擊或下載意願。建議各機關除持續強化郵件過濾、端點偵測與異常行為監控外,亦應提醒同仁對涉及稅務、付款或附件下載之郵件提高警覺,避免直接開啟不明檔案或執行相關程式,以降低受駭風險。 <br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
<strong>以攻擊為出發評估潛在風險</strong><br />
‧社交郵件誘導點擊下載植入後門程式<br />
‧惡意程式建立中繼站擴散內部網路存取<br />
<br />
<strong>針對潛在風險執行相應改善</strong><br />
‧強化郵件過濾與惡意附件偵測機制,降低社交工程郵件進入風險<br />
‧導入端點偵測與回應機制,即時發現後門程式與異常連線行為<br />
‧建立異常連線監控機制,阻斷設備作為中繼站對外通訊行為<br />
‧加強人員資安意識宣導,提升對稅務主題郵件之辨識能力<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層面更大竊取資料與破壞資通系統<br />
<br />
<strong>防禦迴避高居首位 偵測刺探仍具威脅</strong><br />
本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示,本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法,占比14.8%,攻擊者通常會透過關閉或刪除指令紀錄,並利用合法的系統工具間接執行惡意命令,以達到規避監控的目的。因應此類威脅,建議導入端點防護措施,加強指令紀錄的稽核能力,限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測並消除其行為痕跡。<br />
「偵測刺探」事件本週占比為13.7%,為本週占比次高的攻擊階段,顯示攻擊者持續加強對目標環境的前期偵查與弱點探測行動。觀察到的主要手法包括主動式掃描、IP 區段掃描、以及漏洞掃描。攻擊者透過自動化工具對大範圍網段進行探測,以識別對外服務、開放埠與系統類型,並進一步針對潛在弱點進行漏洞評估,尋找可利用的攻擊入口。此類行為通常呈現由廣泛掃描逐步聚焦的特徵,顯示其攻擊流程具備階段性與目標導向。由於此階段多發生於攻擊初期,若未及時偵測,將提高後續入侵成功機率。建議加強對異常掃描流量的監控與分析,導入漏洞管理與修補機制,並結合威脅情資比對掃描來源,以提前掌握潛在攻擊準備行為。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 115年第1季政府領域資安事件趨勢研析資安訊息保安警察第一總隊115-05-18115-05-18<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>本季資安事件顯示,風險仍主要集中於使用者行為、已知系統弱點及廠商維運管理落差</strong><br />
<br />
115年第1季資安事件統計顯示,本季可識別之資安事件原因,主要集中於使用者行為與系統/軟體弱點,另亦可見部分事件與廠商維運管理問題有關。整體而言,相關風險多屬既有且可辨識之類型,顯示當前資安事件並非全然來自新興攻擊,反映當前仍舊以弱點利用、供應鏈攻擊及使用者資安意識薄弱為主要攻擊趨勢;顯示出現有且已知防護策略需充分落實以因應現有威脅。 <br />
<br />
<strong>一、使用者行為仍是主要入侵入口</strong><br />
本季持續發生因使用或下載來源不明之應用程式/套件而受駭之情形,包括偽冒 LINE與遊戲平台等軟體。此類事件多非利用系統漏洞,而是透過使用者下載、安裝或執行不明程式形成入侵機會,顯示端點使用行為仍是重要風險來源。若缺乏應用程式來源控管、下載行為監控及端點可視性,相關事件將持續反覆發生。<br />
<br />
<strong>二、已知弱點未修補,持續成為攻擊目標</strong><br />
系統/軟體弱點仍為本季重要事件原因,例如 CVE-2021-22005、CVE-2019-9193、CVE-2024-4577 等已知漏洞,攻擊者得以利用既有公開資訊或工具進行攻擊,均反映部分系統仍存在未修補或未納入持續管理之情形。此類風險多具可預期性,重點在於弱點管理、資產盤點與修補追蹤是否落實。<br />
<br />
<strong>三、廠商維運管理不當,成為間接風險來源</strong><br />
部分事件源於廠商環境安全性不足、維運作業管理不當或遠端存取控管不足。相關情境包括廠商自身環境遭入侵後,被作為跳板攻擊服務機關,資安風險已不僅侷限於機關自身系統環境,委外廠商之安全管理能力與遠端維運作業,同樣會直接影響整體防護強度。若未將維護環境、帳號權限、連線來源及操作紀錄納入管理範圍,相關風險將持續存在。<br />
綜合本季事件觀察可知,當前資安事件之成因雖形式多樣,但其核心仍可歸納為三項重點:一是使用者對不明軟體或檔案之操作行為;二是已知系統/軟體弱點未被即時修補;三是維運與委外管理機制存在落差。此一趨勢顯示,資安防護應由單純關注「是否遭受攻擊」,進一步回到「哪些既有風險未被有效管理」之角度思考。未來仍應持續強化使用者行為控管、落實弱點管理與修補機制,並提升廠商維運與遠端存取之安全要求,以降低資安事件發生之可能性,並強化整體組織之資安韌性。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 42 期(115/4/20 - 115/4/26)資安訊息保安警察第一總隊115-05-18115-05-18<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<strong>事件通報:</strong><br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
落實預設帳密變更及管理介面存取限制 有助於降低設備受駭風險<br />
本週總計接獲27件公務機關與特定⾮公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。通報件數較上週增加,主要係因115年網路攻防演練開始執行所致,其中發現多個機關監視器管理介面仍使用預設帳號密碼,遭攻擊手成功登入。<br />
監視器等網通或 IoT 設備之預設密碼,常可透過搜尋設備型號於網路上取得,一旦管理介面對外暴露,即可能成為攻擊者優先嘗試之目標。建議各機關應清查監視器及相關設備之帳號密碼設定,落實變更預設帳密、限制管理介面存取來源,並關閉不必要之對外存取,以降低遭入侵風險。<br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
<strong>以攻擊為出發評估潛在風險</strong><br />
‧攻擊者利用預設帳密登入控制監視設備<br />
‧管理介面外曝遭掃描入侵取得設備控制<br />
<br />
<strong>針對潛在風險執行相應改善</strong><br />
‧全面清查設備帳密設定,確實變更預設帳號密碼降低風險<br />
‧限制管理介面存取來源,避免設備直接暴露於公開網路環境<br />
‧關閉不必要對外服務與連接埠,降低被掃描與攻擊機會<br />
‧建立設備資產盤點與定期檢查機制,確保設定符合安全基準<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
<br />
<strong>防禦迴避高居首位 初始入侵仍具威脅</strong><br />
「初始入侵」事件本週占比為12.8%,為本週占比次高的攻擊階段,顯示攻擊者持續強化對目標環境的入侵能力與手段。此階段為攻擊鏈的起點,攻擊者透過各種方式取得系統初始存取權限。本週主要觀察到的手法包括利用對外應用程式漏洞、預設帳號濫用、以及本機帳號存取。攻擊者多半利用未修補的公開服務漏洞直接入侵系統,或透過預設帳號與弱密碼組合,存取管理不當的服務資源;部分情境中,亦觀察到攻擊者利用既有本機帳號進行登入,以降低觸發告警的風險。此類行為通常不依賴使用者互動,著重於系統弱點與帳號管理缺失,具備高成功率與隱蔽性。建議定期進行對外系統弱點掃描與修補、強化帳號與驗證機制管理,並導入異常登入行為監控,以降低攻擊者透過既有存取管道入侵的風險。<br />
<br />
<strong>防護建議:</strong><br />
建議機關採取下列防護措施:<br />
<strong>防禦迴避(Defense Evasion)</strong><br />
‧強化端點防護與行為監控<br />
‧落實指令紀錄與日誌稽核<br />
‧限制高風險系統工具使用<br />
‧加強特權帳號與權限控管<br />
<br />
<strong>初始入侵(Initial Access)</strong><br />
‧定期進行弱點掃描與修補<br />
‧強化帳號驗證與密碼政策<br />
‧管控預設帳號與弱密碼<br />
‧導入異常登入行為監控<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 帳號外洩的真正原因?認識持續活躍的資訊竊取程式資安訊息保安警察第一總隊115-05-15115-05-15<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>什麼是資訊竊取程式 </strong> <br />
<br />
資訊竊取程式(Infostealer)為專門用來竊取使用者資料之惡意程式。當使用者下載並執行惡意檔案後,程式會自電腦中竊取瀏覽器儲存之帳號密碼、Cookies、信用卡資料或加密貨幣錢包等資訊,並利用於個資販賣或詐騙等犯罪活動。研究顯示全球因資訊竊取程式外洩之帳密數量正快速增加,已成為近年最常見之網路威脅。<br />
常見攻擊流程 <br />
攻擊者經常偽冒軟體下載網站、破解程式或透過惡意廣告散播,誘導使用者下載被惡意汙染之檔案程式,一旦於電腦端執行後,即觸發資訊竊取程式蒐集瀏覽器與系統之帳密或個人機敏資料,被竊取之資料通常會被整理成「stealer logs」,並傳送到由攻擊者控制之伺服器。攻擊者會將竊取資料透過地下論壇進行販售,成為後續帳號盜用、詐騙甚至勒索攻擊之來源。<br />
<br />
<strong>常見之資訊竊取程式</strong><br />
Lumma Stealer<br />
Lumma Stealer為近年成長最快之資訊竊取惡意程式之一,採用「Malware-as-a-Service」模式,攻擊者只需付費就能使用。主要鎖定Windows作業系統之個人電腦,竊取瀏覽器帳密、加密貨幣錢包與各種登入憑證。114年Microsoft跨國聯合執法機構及資安業者,關閉約2300個相關網域並試圖阻止其運作,惟該惡意程式仍持續遭犯罪集團使用。研究人員指出,Lumma於114年短短兩個月內感染了約39萬台Windows電腦,其擴散速度相當驚人。<br />
<br />
RedLine Stealer<br />
RedLine Stealer為近年廣為人知之資訊竊取程式之一,最早於109年被發現。同樣以「Malware-as-a-Service」模式在地下論壇販售,因此攻擊門檻相對較低。RedLine能竊取瀏覽器密碼、Autofill資料、FTP帳密及加密貨幣錢包資訊等。112年曾被發現以ChatGPT、Google Bard安裝程式為誘餌進行散布。<br />
<br />
Vidar Stealer<br />
Vidar為另一個長期活躍之資訊竊取程式,具模組化架構,除了竊取瀏覽器資料與系統資訊外,也能下載其他惡意程式。114年10月出現 Vidar 2.0,據稱其效能、躲避偵測及整體功能皆有提升。近年研究人員發現,攻擊者利用搜尋引擎優化(SEO)操作讓惡意網站於搜尋結果中排名靠前,當使用者下載看似正常之AI工具或軟體時,實際上安裝了Vidar資訊竊取程式。<br />
<br />
<strong>如何防範</strong><br />
為降低資訊竊取程式感染風險,建議使用者落實資安防護意識:<br />
‧避免下載破解軟體或來源不明之應用程式<br />
‧判讀網路搜尋引擎所提供之查詢結果,識別關鍵字廣告或偽冒網站<br />
‧優先透過官方網站取得軟體<br />
<br />
此外,為重要帳號或網路服務啟用多因子驗證(MFA)、定期更換密碼並檢查帳號登入紀錄,也能有效降低帳密被盜用的風險。養成良好下載習慣與保護帳號安全,是防範資訊竊取程式最有效之方法。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 40 期(115/4/06 - 115/4/12)資安訊息保安警察第一總隊115-05-15115-05-15<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
事件通報:<br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
<br />
<strong>建議持續強化資安管理能力 逐步由預設信任轉向最小權限與行為可追溯之機制</strong><br />
本週總計接獲4件公務機關與特定非公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。本週通報案件均涉及個人電腦遭惡意程式感染,包含安裝來源不明之軟體,或透過 USB 裝置進行惡意程式傳播,並由共用設備(如會議室電腦)擴散至其他個人電腦。相關事件多非利用系統漏洞,而係透過使用行為與設備使用情境形成入侵機會,且因來源不明與設備共用等因素,常導致事件來源難以追溯,增加釐清與應變之困難。<br />
針對此類風險,關鍵在於補強終端設備之信任邊界與可視性,避免透過不明軟體或USB裝置帶入未經控管之程式或內容,造成防護機制失效。治理上應由「預設信任」轉向「最小權限與可追溯性」,並透過技術與管理並行強化控管,包括限制非授權軟體安裝(應用程式白名單)、加強USB使用控管、納管共用設備並落實使用限制;同時導入端點偵測(EDR)與集中式日誌機制,以提升行為監控與事件追溯能力,降低非漏洞型入侵風險。<br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
<strong>以攻擊為出發評估潛在風險</strong><br />
‧惡意程式透過USB裝置擴散感染多台電腦<br />
‧安裝不明軟體導致後門程式長期潛伏<br />
<br />
<strong>針對潛在風險執行相應改善</strong><br />
‧建立應用程式白名單機制,限制未授權軟體安裝與執行行為<br />
‧強化USB裝置使用控管機制,避免未經授權設備連接主機<br />
‧導入端點偵測與回應機制,即時掌握異常行為與感染狀況<br />
‧納管共用設備使用規範,落實帳號控管與操作行為紀錄機制<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
<br />
<strong>防禦迴避高居首位 偵測刺探仍具威脅 </strong><br />
「偵測刺探」事件本週占比為12.9%,為本週占比次高的攻擊階段,顯示攻擊者持續強化對目標環境的前期偵查與情報蒐集行動。觀察到的主要手法包括主動式掃描、IP 區段掃描、以及DNS與被動式 DNS 情資蒐集。攻擊者透過自動化工具大規模掃描外部網段,以識別可存取服務與潛在攻擊入口,並結合被動式 DNS 資料分析,掌握目標組織之網域架構、子網域分佈及歷史解析關聯,進一步描繪完整攻擊面。此類行為融合主動與被動偵查技術,具低互動性與高隱蔽特性,能有效提升後續攻擊的精準度與成功率。建議加強對異常掃描流量的即時監控與阻擋機制,定期盤點對外資產與DNS資訊曝光情形,並結合威脅情資進行來源分析,以提前識別潛在攻擊準備活動。<br />
<br />
<strong>防護建議:</strong><br />
建議機關採取下列防護措施:<br />
<strong>防禦迴避(Defense Evasion</strong>)<br />
‧強化端點防護(EDR / XDR),監控異常指令與行為鏈<br />
‧啟用並集中管理指令紀錄(如 PowerShell、CMD、Shell logging)<br />
‧防止日誌被刪除或竄改(啟用防竄改機制、集中式 SIEM)<br />
‧限制高風險系統工具使用(如 PowerShell、WMI、PsExec)<br />
‧實施最小權限原則(Least Privilege),降低濫用風險<br />
‧強化特權帳號管理(PAM、MFA、帳號行為監控)<br />
<br />
<strong>偵測刺探(Reconnaissance)</strong><br />
‧建立異常掃描流量偵測與阻擋機制(IPS / WAF / Firewall)<br />
‧對外服務加上存取控制(IP allowlist / rate limiting)<br />
‧定期盤點與縮減外部攻擊面(開放服務、Port、API)<br />
‧管理與清查 DNS 暴露資訊(子網域、歷史解析紀錄)<br />
‧導入被動 DNS 與威脅情資比對來源可疑性<br />
<br />
<strong>蜜罐誘捕:</strong><br />
近一週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利用的弱點趨勢<br />
<br />
<strong>通用型Web介面攻擊增加</strong><br />
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比74.88%、「遠端控制」服務攻擊占比21.53%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達73.64%。「遠端控制」服務亦有23.06% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。<br />
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 39 期(115/3/30 - 115/4/05)資安訊息保安警察第一總隊115-05-15115-05-15<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
事件通報:<br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
<br />
<strong>開發套件所造成之供應鏈事件應持續監控憑證與異常存取 防範權限濫用</strong><br />
本週總計接獲15件公務機關與特定非公務機關事件通報,公務機關非法⼊侵事件中以異常連線占多數。本週有機關偵測發現異常網域查詢行為,經研判與近期 Axios NPM 供應鏈攻擊事件相關。該事件係駭客於官方套件中植入惡意相依套件,當開發或系統環境執行套件安裝時,惡意程式即於背景自動執行,對外連線至特定網域進行報到,並依不同作業系統下載對應之惡意程式,建立持續性存取管道。整體攻擊過程快速且具隱蔽性,甚至會於執行後自動清除痕跡,使受害主機難以察覺異常。<br />
鑑於此類攻擊可能蒐集開發環境中之憑證、API 金鑰或環境變數,一旦外洩,恐導致雲端服務或內部系統遭未授權存取,風險由單一主機擴大至整體環境。技術面上,除應即時隔離受害主機並阻斷異常連線外,應全面檢視並更換相關憑證與金鑰,盤點其使用範圍與權限,並加強存取紀錄與異常行為監控,以防止後續濫用。管理面上,應強化開發人員對敏感資訊保護之認知,避免將憑證或金鑰明文存放於程式碼或環境中,並建立安全的憑證管理與存取機制(如集中控管、定期輪替與最小權限設定),同時提升對開源套件風險與異常行為之辨識能力,以降低供應鏈攻擊所帶來之影響。<br />
防護建議:<br />
<br />
除修補漏洞外,應:<br />
<strong>以攻擊為出發評估潛在風險</strong><br />
‧惡意套件植入後門竊取憑證並持續存取<br />
‧供應鏈攻擊橫向擴散影響多系統環境<br />
<br />
<strong>針對潛在風險執行相應改善</strong><br />
‧建立套件來源驗證機制,避免使用未經審核或異常開源套件<br />
‧強化憑證與金鑰管理機制,落實集中控管與定期輪替措施<br />
‧導入異常連線監控機制,即時偵測對外可疑網域通訊行為<br />
‧建立開發環境安全控管機制,避免敏感資訊明文存放於系統中<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
防禦迴避高居首位 初始入侵仍具威脅<br />
本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示,本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法,占比15.9%,攻擊者通常會透過關閉或刪除指令紀錄,並利用合法的系統工具間接執行惡意命令,以達到規避監控的目的。因應此類威脅,建議導入端點防護措施,加強指令紀錄的稽核能力,限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測並消除其行為痕跡。<br />
「偵測刺探」事件本週占比為13.7%,為本週占比次高的攻擊階段,顯示攻擊者在攻擊前期持續加大對目標環境的偵查與資訊蒐集力度。觀察到的主要手法包括主動式掃描、IP 區段掃描、以及DNS 與被動式 DNS 情資蒐集。攻擊者透過自動化工具對大範圍網段進行探測,以識別可存取服務與開放埠,並結合被動式 DNS 分析,掌握目標組織之網域架構、子網域關聯與歷史解析紀錄,進一步描繪完整攻擊面。此類行為結合主動與被動偵查手法,具備低互動、高隱蔽的特性,且能有效提升後續攻擊的成功率。建議強化對異常掃描流量的監控與阻擋機制,定期盤點與控管對外資產與DNS資訊曝光情形,並結合威脅情資分析,以提前辨識潛在攻擊準備活動。<br />
<br />
<strong>防護建議:</strong><br />
建議機關採取下列防護措施:<br />
<strong>防禦迴避(Defense Evasion)</strong><br />
‧強強化端點防護(EDR / XDR),監控系統工具濫用(如 PowerShell、cmd)<br />
‧啟用並集中化指令紀錄(Command Logging)與稽核機制<br />
‧限制與控管高風險工具使用(如 LOLBins)<br />
‧建立特權帳號管理機制(PAM),降低權限濫用<br />
‧偵測異常⾏為<br />
<br />
<strong>偵測刺探(Reconnaissance)</strong><br />
‧部署網路層防護<br />
‧建立流量基準(Baseline),識別異常大量探測行為<br />
‧定期盤點對外資產(External Attack Surface Management)<br />
‧控管 DNS 資訊暴露<br />
‧導入威脅情資(Threat Intelligence)<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 38 期(115/3/23 - 115/3/29)資安訊息保安警察第一總隊115-04-29115-04-29<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
事件通報:<br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
建立完善帳號控管與監測 提升整體資安防護能力<br />
本週總計接獲14件公務機關與特定⾮公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。本週有機關SOC偵測發現主機存在異常行為程式,經查係維護廠商於維運作業中使用之 Python 程式,使單一帳號可同時遠端存取多個系統,後續已依機關政策調整。<br />
單一帳號具備多重操作權限(如多重連線、主機操作及遠端控制),將大幅放大帳號遭濫用時之影響範圍,且相關行為不易與正常維運區隔,提高異常行為偵測困難。建議機關依防護基準落實最小權限原則,僅授予執行業務所需之必要權限,避免權限過度集中;並強化遠端存取管理機制,落實事前授權、使用限制及來源控管,以降低帳號遭濫用及系統被橫向擴散利用之風險。<br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險<br />
.攻擊者濫用高權限帳號橫向移動控制多系統<br />
.利用維運工具隱匿惡意行為規避監控機制<br />
針對潛在風險執行相應改善<br />
.落實最小權限原則,限制帳號僅具備執行業務所需最低權限範圍<br />
.建立遠端存取控管機制,強化來源限制與連線行為審核機制<br />
.導入特權帳號管理制度,強化操作紀錄留存與即時監控機制<br />
.強化端點與主機行為監控機制,即時偵測異常程式執行行為<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
<br />
<strong>防禦迴避高居首位 初始入侵仍具威脅</strong><br />
本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示,本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法,占比13.7%,攻擊者通常會透過關閉或刪除指令紀錄,並利用合法的系統工具間接執行惡意命令,以達到規避監控的目的。因應此類威脅,建議導入端點防護措施,加強指令紀錄的稽核能力,限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測並消除其行為痕跡。<br />
「初始入侵」事件本週占比為13.4%,為本週占比次高的攻擊階段,顯示攻擊者持續強化對目標環境的入侵行動。此階段代表攻擊者首次取得系統或網路的存取權限,為後續攻擊活動的起點。本週主要觀察到的手法包括利用對外應用程式漏洞、預設帳號濫用、以及本機帳號存取。攻擊者多半透過未修補的公開服務漏洞直接入侵系統,或利用預設帳號與弱密碼組合存取管理不當的服務;另有部分行為顯示攻擊者利用既有本機帳號進行登入,以繞過邊界防護機制。此類手法不依賴使用者互動,主要聚焦於系統弱點與帳號管理缺失,具高度成功率與隱蔽性。建議定期執行外部資產弱點掃描與修補、強化帳號管理與驗證機制,並導入異常登入行為監控,以降低攻擊者透過既有存取管道入侵的風險。<br />
<br />
<strong>防護建議:</strong><br />
建議機關採取下列防護措施:<br />
防禦迴避防護建議<br />
.強化指令與日誌稽核<br />
.限制系統工具濫用<br />
.導入端點防護(EDR/XDR)<br />
.加強特權帳號管理<br />
.防⽌日誌刪除與關閉<br />
初始入侵防護建議<br />
.定期弱點掃描與修補<br />
.強化帳號與驗證機制<br />
.管控本機帳號使用<br />
.建立異常登入監控<br />
.降低對外攻擊面<br />
整體強化<br />
.導入零信任架構<br />
.建立MITRE對應與監控<br />
.強化持續監控與應變能力<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 38 期(115/3/23 - 115/3/29)資安訊息保安警察第一總隊115-04-29115-04-29<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
事件通報:<br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
<br />
<strong>建立完善帳號控管與監測 提升整體資安防護能力</strong><br />
本週總計接獲14件公務機關與特定⾮公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。本週有機關SOC偵測發現主機存在異常行為程式,經查係維護廠商於維運作業中使用之 Python 程式,使單一帳號可同時遠端存取多個系統,後續已依機關政策調整。<br />
單一帳號具備多重操作權限(如多重連線、主機操作及遠端控制),將大幅放大帳號遭濫用時之影響範圍,且相關行為不易與正常維運區隔,提高異常行為偵測困難。建議機關依防護基準落實最小權限原則,僅授予執行業務所需之必要權限,避免權限過度集中;並強化遠端存取管理機制,落實事前授權、使用限制及來源控管,以降低帳號遭濫用及系統被橫向擴散利用之風險。<br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險<br />
.攻擊者濫用高權限帳號橫向移動控制多系統<br />
.利用維運工具隱匿惡意行為規避監控機制<br />
針對潛在風險執行相應改善<br />
.落實最小權限原則,限制帳號僅具備執行業務所需最低權限範圍<br />
.建立遠端存取控管機制,強化來源限制與連線行為審核機制<br />
.導入特權帳號管理制度,強化操作紀錄留存與即時監控機制<br />
.強化端點與主機行為監控機制,即時偵測異常程式執行行為<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
<br />
<strong>防禦迴避高居首位 初始入侵仍具威脅</strong><br />
本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示,本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法,占比13.7%,攻擊者通常會透過關閉或刪除指令紀錄,並利用合法的系統工具間接執行惡意命令,以達到規避監控的目的。因應此類威脅,建議導入端點防護措施,加強指令紀錄的稽核能力,限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測並消除其行為痕跡。<br />
「初始入侵」事件本週占比為13.4%,為本週占比次高的攻擊階段,顯示攻擊者持續強化對目標環境的入侵行動。此階段代表攻擊者首次取得系統或網路的存取權限,為後續攻擊活動的起點。本週主要觀察到的手法包括利用對外應用程式漏洞、預設帳號濫用、以及本機帳號存取。攻擊者多半透過未修補的公開服務漏洞直接入侵系統,或利用預設帳號與弱密碼組合存取管理不當的服務;另有部分行為顯示攻擊者利用既有本機帳號進行登入,以繞過邊界防護機制。此類手法不依賴使用者互動,主要聚焦於系統弱點與帳號管理缺失,具高度成功率與隱蔽性。建議定期執行外部資產弱點掃描與修補、強化帳號管理與驗證機制,並導入異常登入行為監控,以降低攻擊者透過既有存取管道入侵的風險。<br />
<br />
<strong>防護建議:</strong><br />
建議機關採取下列防護措施:<br />
防禦迴避防護建議<br />
.強化指令與日誌稽核<br />
.限制系統工具濫用<br />
.導入端點防護(EDR/XDR)<br />
.加強特權帳號管理<br />
.防⽌日誌刪除與關閉<br />
初始入侵防護建議<br />
.定期弱點掃描與修補<br />
.強化帳號與驗證機制<br />
.管控本機帳號使用<br />
.建立異常登入監控<br />
.降低對外攻擊面<br />
整體強化<br />
.導入零信任架構<br />
.建立MITRE對應與監控<br />
.強化持續監控與應變能力<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 37 期(115/3/16 - 115/3/22)資安訊息保安警察第一總隊115-04-29115-04-29<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
事件通報:<br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
<br />
<strong>內部系統對外開放應審慎評估必要性與存取範圍 以降低資安風險</strong><br />
<br />
本週總計接獲13件公務機關與特定非公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。有機關於例行檢視郵件伺服器日誌時,發現異常佇列及國外 IP 登入後發信情形,且寄件紀錄遭刪除,研判可能因社交工程郵件導致帳號密碼外洩並遭濫用。<br />
原僅供內部使用之系統一旦開放外部存取,其風險即隨之提高。機關於提供遠端使用便利性時,應審慎評估開放必要性與範圍,避免預設全面對外開放;如確有需求,建議限制存取來源(如評估是否開放國外 IP),並採取多重保護措施(如強化身分驗證及存取管控),以降低不必要之暴露風險。<br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險<br />
‧利用帳密外洩遠端登入郵件系統發信<br />
‧刪除郵件紀錄掩蓋攻擊行為軌跡<br />
<br />
針對潛在風險執行相應改善<br />
‧強制導入多因子鑑別機制,降低帳號密碼外洩後遭濫用風險<br />
‧建立來源IP與地理位置限制機制,阻擋異常或境外登入行為<br />
‧強化郵件系統日誌保存機制,確保異常行為可追蹤與分析<br />
‧定期辦理社交工程演練與教育訓練,提升人員資安防護意識<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
<br />
<strong>防禦迴避高居首位 偵測刺探仍具威脅</strong><br />
<br />
本週政府領域資安聯防監控參考MITRE ATT&CK Matrix分析TTP戰術框架分布顯示,本週趨勢相較上週無顯著差異。「防禦迴避」為最常見攻擊手法,占比13.5%,攻擊者通常會透過關閉或刪除指令紀錄,並利用合法的系統工具間接執行惡意命令,以達到規避監控的目的。因應此類威脅,建議導入端點防護措施,加強指令紀錄的稽核能力,限制高風險工具的濫用,並強化特權帳號的管理,以避免攻擊者繞過偵測並消除其行為痕跡。<br />
「偵測刺探」事件本週占比為12.0%,為本週占比次高的階段,顯示攻擊者持續加強對目標環境的前期偵查與情報蒐集行動。觀察到的主要手法包括主動式掃描、IP 區段掃描、以及DNS 與被動式 DNS 情資蒐集。攻擊者除透過主動掃描大量網段以識別對外服務與開放埠外,亦利用被動式 DNS 資料分析目標組織之網域結構、子網域關聯與歷史解析紀錄,以建立更完整的攻擊面視圖。此類行為結合主動與被動技術,能有效降低被偵測風險,同時提升後續攻擊的精準度。建議強化對異常掃描流量的監控與阻擋機制,並定期盤點與管控公開資產與DNS資訊曝光情形,搭配威脅情資分析,以提前掌握潛在攻擊準備活動。<br />
<br />
<strong>防護建議:</strong><br />
建議機關採取下列防護措施:<br />
<strong>強化防禦迴避防護</strong><br />
‧導入端點防護(EDR / Endpoint Protection)<br />
‧加強指令紀錄與稽核能力<br />
‧限制高風險工具使用<br />
‧強化特權帳號管理<br />
<br />
<strong>強化偵測刺探防護</strong><br />
‧監控與阻擋異常掃描行為<br />
‧盤點與控管公開資產<br />
‧控管 DNS 資訊曝光情形 <br />
‧結合威脅情資分析<br />
<br />
<strong>蜜罐誘捕:</strong><br />
近一週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利用的弱點趨勢<br />
<br />
<strong>網通設備攻擊趨勢趨緩 </strong><br />
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比69.74%、「遠端控制」服務攻擊占比25.29%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達63.64%。「遠端控制」服務亦有32.14% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。<br />
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。<br />
而網通設備管理介面比例大幅下降,主因為CVE-2017-17215遠端程式碼執行漏洞相關攻擊次數明顯減少。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。 <br />
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、特權提升、遠端程式碼執行及身分驗證繞過漏洞,攻擊目標涵蓋Citrix NetScaler ADC、Cisco IOS XE網通設備作業系統、PHP、ConnectWise ScreenConnect及 Ivanti EPMM。<br />
<br />
<strong>防護建議:</strong><br />
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。 <br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 駭侵事件:攻擊事件告警與情資分享資安訊息保安警察第一總隊115-04-17115-04-20<div class="ed_model01 clearfix">
<div class="ed_txt"> 「駭侵事件」為 TWCERT/CC發送占比最高的情資類型,涵蓋漏洞通報、產品安全問題、入侵攻擊、資料外洩等多種資安事件樣態。當 TWCERT/CC 透過國際情資合作、暗網監控或自動化觀測等管道,發現某網站或系統可能存在可被利用的弱點、疑似已遭未授權存取或資料外流跡象,甚至已成為攻擊行動的目標時,即使相關單位尚未察覺,亦會主動聯繫告知,協助其及早確認影響範圍、採取應變與修補措施,以降低後續擴散與損害。<br />
<br />
。資安產品漏洞,VPN 設備成為常見入侵管道<br />
近期觀察到攻擊者頻繁鎖定 VPN 設備作為入侵跳板,原因可能是產品本身存在已知但尚未修補的安全漏洞,或是員工帳號密碼因釣魚攻擊或資料外洩而遭竊取。一旦取得 VPN 存取權,攻擊者即可進一步滲透組織內部網路。<br />
。漏洞通報,網站被入侵後的惡意行為<br />
漏洞通報中常見情境是網站被植入惡意程式、出現異常頁面或不明跳轉,代表攻擊者可能已取得網站權限並用來散播惡意內容或導向外部站點。這類事件的風險在於不只影響管理端,也可能波及所有瀏覽者。<br />
入侵指標(IoC) :快速辨識惡意行為的關鍵特徵 <br />
「入侵指標」(IoC,Indicators of Compromise)是指駭客攻擊時留下的蛛絲馬跡,例如惡意程式連線的網址、IP 位址、惡意檔案的雜湊值等。掌握這些指標,資安人員可以在自己的環境中主動比對,提早發現是否遭受相同攻擊,是威脅偵測的重要基礎。IoC 的目的在於讓單位能快速比對、封鎖與告警,縮短發現時間。<br />
。多元情資管道整合,共享可識別的入侵線索<br />
TWCERT/CC 透過公私情資交換、國際合作、暗網監控與事件通報等管道,持續蒐集並彙整各區域及各領域的入侵指標,並依威脅類型整理為可直接比對、封鎖與追查的線索,多元情資管道讓入侵指標的覆蓋面更廣,使各單位取得的線索更貼近真實威脅態勢。<br />
<br />
活動預警:資安攻擊活動共通性分析 <br />
「活動預警」是指 TWCERT/CC 觀察到特定攻擊手法正在擴散、或整體威脅情勢明顯升溫時,於尚未造成大規模影響前主動發布警示,提醒單位提早採取防範措施,降低受害風險。此類預警常見於駭客活動頻率升高、社交工程與假冒手法擴散,或關鍵弱點與常見系統元件出現大規模掃描與嘗試利用等情境,顯示攻擊活動正快速升溫,需及早檢視曝險面、加強監控告警並完成必要的修補或緩解措施。<br />
駭客越來越會「先摸底、再出手」。<br />
在真正造成影響前,攻擊者往往先蒐集資訊並進行小規模試探,確認最容易得手的對象後再擴大行動。因此,活動預警的價值在於提前揭示這些「尚未爆發但已升溫」的訊號,提醒單位提高警戒、強化監控與宣導,並完善通報機制,把風險壓在擴大之前。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 36 期(115/3/9 - 115/3/15)資安訊息保安警察第一總隊115-04-17115-04-20<div class="ed_model01 clearfix">
<div class="ed_txt">資安儀表板<br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
事件通報:<br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
瀏覽器功能與分析工具便利性 仍需留意其可能帶來的資安風險<br />
本週總計接獲12件公務機關與特定非公務機關事件通報,公務機關非法入侵事件中以植入惡意程式占多數,多係機關端點偵測(EDR)發現惡意程式為主。近期觀察到部分風險源自瀏覽器功能使用,如人員於公務電腦登入個人瀏覽器帳號後,因同步機制自動帶入既有擴充套件,其中包含代理節點程式,可能使公務設備在不知情情況下持續對外連線;另亦發現有使用瀏覽器套件可分析下載檔案之情形,該類套件在特定情況下可能將檔案自動上傳至 VirusTotal 平台。由於 VirusTotal 為全球情資共享服務,若未留意檔案內容,仍可能導致機關內部文件或系統資訊外洩。<br />
瀏覽器相關功能與分析工具在提供便利性的同時亦伴隨一定風險,使用者若缺乏相關認知,可能在不知情情況下引入非業務程式或將資料上傳至外部平台。建議機關落實公私分離原則,避免於公務設備登入個人帳號或同步個人設定,並定期檢視與控管瀏覽器擴充套件,限制非業務必要或來源不明之套件使用;同時於使用 VirusTotal 等情資共享平台或檔案分析工具時,應審慎評估資料性質,避免上傳公文或系統相關檔案,以降低資訊外洩風險。<br />
<br />
防護建議:<br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險<br />
‧攻擊者利用瀏覽器同步機制植入惡意擴充套件持續對外連線<br />
‧惡意程式誘導上傳檔案至分析平台造成敏感資料外洩<br />
針對潛在風險執行相應改善<br />
‧落實公私帳號分離避免公務設備登入個人瀏覽器帳號<br />
‧定期盤點瀏覽器擴充套件移除非業務必要程式<br />
‧建立瀏覽器套件安裝審核機制限制來源不明套件<br />
‧使用檔案分析平台前先檢視資料避免敏感資訊上傳<br />
<br />
聯防監控:<br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
本週攻擊態勢持續活躍 「偵測刺探」與「防禦迴避」佔比雙雙攀升<br />
本週資安聯防監控顯示,整體攻擊態勢呈現持續活躍狀態,其中「防禦迴避」階段佔比最高達14.5%,較上週增加0.8個百分點,示攻擊者積極運用關閉或清除指令紀錄、利用合法工具執行惡意命令等技術,企圖規避資安防護機制的偵測。其次為「偵測刺探」階段佔比14.1%,較上週上升1.2個百分點,反映攻擊者持續進行目標環境的資訊蒐集與弱點探測活動。第三高為「初始入侵」階段佔比11.3%,雖較上週下降1.9個百分點,但仍維持在高位,顯示攻擊者持續嘗試突破防線建立初步據點。<br />
值得注意的是,「衝擊影響」階段從上週的6.1%大幅下降至2.5%,降幅達3.6個百分點,顯示本週破壞性攻擊活動有所減緩。然而,「惡意執行」、「維續存取」及「權限提升」等中後期攻擊階段均呈現微幅上升趨勢,提醒各單位應持續關注攻擊行為是否由初期偵測刺探逐步演進至更具威脅性的階段,及早採取對應防護措施。<br />
<br />
防護建議:<br />
建議機關採取下列防護措施:<br />
針對「防禦迴避」攻擊手法<br />
.導入端點偵測與回應(EDR)解決方案,強化對異常行為的即時監控與告警能力<br />
.落實指令紀錄稽核機制,確保系統日誌完整性,避免攻擊者清除入侵痕跡<br />
.限制高風險工具的使用權限,建立白名單機制管控合法工具的濫用風險<br />
.強化特權帳號管理,實施最小權限原則,定期檢視帳號權限配置的合理性<br />
.部署行為分析技術,識別利用合法工具執行惡意命令的異常模式<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 漏洞通報統計與趨勢資安訊息保安警察第一總隊115-04-17115-04-20<div class="ed_model01 clearfix">
<div class="ed_txt"> 本季漏洞通報統計顯示,市面常見系統與軟體產品仍以「輸入驗證不足」為主要安全問題來源,同時於身分鑑別、授權機制及系統設定等面向,亦持續存在一定程度之資安風險。<br />
為進一步了解漏洞分布情形,TWCERT/CC TVN平台公告共計51筆漏洞,依其成因可進一步歸納為四大類別,包含輸入驗證、身分鑑別與授權、設定與環境及記憶體破壞<br />
。 <br />
<strong>一、輸入驗證為主要漏洞類型(占比62.7%)</strong><br />
此類別漏洞占總數超過六成,顯示多數系統開發時,尚未建立完善之驗證與過濾機制,無法有效過濾或驗證使用者輸入的資料。<br />
路徑遍歷(Path Traversal)與SQL注入(SQL Injection)各6件,為最主要類型,顯示檔案路徑與資料庫操作相關參數未妥善控管,易遭攻擊者利用以存取敏感資訊或竄改資料內容。<br />
任意檔案上傳(Arbitrary File Upload)共5件,若未妥善檢查檔案內容與副檔名,可能導致攻擊者上傳後門程式,進而取得伺服器控制權,風險相對較高。<br />
整體而言,輸入驗證不足仍為多數應用系統最基礎且關鍵之資安弱點。<br />
<br />
<strong>防護建議:</strong><br />
應採用「預設拒絕」原則,僅允許符合預期格式之輸入資料,防止任何非預期的輸入。 <br />
使用參數化查詢機制,以降低SQL Injection風險。<br />
<br />
<strong>二、身分管理機制不健全(占比27.4%)</strong><br />
此類別漏洞主要集中在缺乏身分鑑別(Missing Authentication)類型,共計8件,占此類漏洞之多數。<br />
身分鑑別包含管理介面、API及內部功能,即使管理介面已設置身分驗證機制,若驗證流程設計不佳,仍可能遭攻擊者透過不同面向繞過驗證檢查,進而直接存取特定功能。<br />
授權管理亦為重要環節,包含不當授權(Incorrect Authorization)、缺乏授權(Missing Authorization)及本機提權(Local Privilege Escalation)等類型,共計4件。此類漏洞可能導致攻擊者提升權限,進而存取機敏資訊或遠端執行任意程式碼。<br />
整體而言,此類問題多源於系統功能設計未完整考量權限邊界,或驗證邏輯存在缺陷。<br />
<br />
<strong>防護建議:</strong><br />
落實最小權限原則,確保每個帳號僅有執行任務所需之最小權限。<br />
確保每項功能僅有對應權限帳號可以存取,並停用不必要之帳號。<br />
<br />
<strong>三、設定與環境管理不當(占比7.9%)</strong><br />
此類漏洞多與系統部署與設定管理不當有關,通常因開發者為了便利或減少開發成本而導致,常見情境包括使用預設設定、未加密或儲存機敏資料,或直接採用第三方套件而未根據自身環境進行適當安全設定與調整等。<br />
上述問題多非技術困難所致,而是源於安全設定與管理機制未落實所導致。<br />
<br />
<strong>防護建議:</strong><br />
嚴禁將金鑰、通行碼寫在程式碼或設定檔中,並避免使用預設密碼。<br />
建立軟體清單(SBOM),定期比對已知漏洞公告(CVE),並及時更新第三方函式庫。<br />
確保所有機敏資訊於儲存與傳輸之過程中,皆採取加密或其他適當措施。<br />
<br />
<strong>四、記憶體使用不嚴謹(占比2%)</strong><br />
此類漏洞成因為記憶體操作未妥善控管邊界,導致實際使用超出原配置範圍,進而影響到其他記憶體空間,嚴重時可能造成程式執行流程異常或遭惡意控制。<br />
此類漏洞比例雖低,惟一旦被利用,可能對系統穩定性與安全性造成重大影響,仍需謹慎因應。<br />
<br />
<strong>防護建議:</strong><br />
建議確保開啟編譯器安全防護功能,如位址空間配置隨機化(ASLR)、資料執行防止(DEP/NX)及堆疊金絲雀(Stack Canaries)。<br />
採用相對安全版本之記憶體操作函式,請勿使用舊版函式。<br />
妥善限制輸入的資料大小,以防超過配置之記憶體空間。<br />
<br />
<strong>五、結語</strong><br />
本次統計數據顯示,我國市面系統與軟體產品廠商在「輸入驗證」與「身分鑑別與授權機制」等基礎安全面向,仍有明顯的改善空間,相關問題多屬開發與設定階段即可預防之類型,顯示基礎資安實務尚未全面落實。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資通安全網路月報(115年3月)資安訊息保安警察第一總隊115-04-17115-04-20<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>一、資安長話短說</strong><br />
當AI進化為專屬助理,享受高效便利時,不可不知的五大資安防線<br />
隨著人工智慧(AI)技術快速發展,具備自主執行能力的代理型AI(AI Agent)逐漸成為焦點。近期廣受社群熱烈討論的開源專案 OpenClaw(俗稱小龍蝦或龍蝦),正展現了這股浪潮。這類工具不僅能主動完成任務、串接外部服務,甚至操作作業系統,讓AI從單純的輔助工具,蛻變為無所不能的全能數位管家。<br />
<br />
<strong>代理型AI聰明與高效率,更得防範其潛在風險</strong><br />
與一般生成式AI不同,OpenClaw可以自主連接外網、變更電腦設定,甚至安裝程式,權限與風險極高,因此該名受訪者將龍蝦安裝於雲端虛擬機(VM),與實體環境區隔,且僅用於處理一般性事務。<br />
這類型的AI代理工具,風險是全面性的。攻擊者不需要駭入主機,只要在AI會讀取的網頁或社群留言中埋入惡意指令,就可能誘騙AI幫駭客開啟後門、刪除檔案或進行格式化;網路上供人下載的第三方技能包(Skill),也可能暗藏惡意程式的下載連結或惡意指令。更別提AI在24小時運作後,為了節省記憶體,經常會觸發「記憶壓縮」而引發「失憶症」,遺忘使用者最初設定的安全守則。<br />
<br />
<strong>導入代理型AI之五大安全防護建議</strong><br />
為了在極致便利與資安防線間取得平衡,資安署建議大家在導入這類新型AI工具時,可參考下列幾項做法:<br />
(一) 落實環境隔離:安裝於獨立環境,不要把AI代理安裝在存放機密或日常辦公的主力電腦上,而是將它養在全新、格式化過的另一部電腦,或是專屬虛擬機(VM)、容器(Container)中。<br />
(二) 只給「臨時通行」:為AI代理註冊專屬的獨立帳號(包含專用電子郵件及社群平臺帳號),避免將個人日常使用的帳號與密碼直接提供給AI代理。若AI代理必須登入外部服務,建議設定具有時效性的臨時授權憑證,時間一到權限即自動失效,避免日後因疏於管理而導致帳號遭竊。<br />
(三) 設置人類「煞車」機制:針對高風險操作(如存取憑證、發送郵件或執行系統指令),應於系統設定中強制啟用人工審核,要求每次執行前必須經由人員手動確認方可放行。<br />
(四) 將安全守則寫入「長期記憶」:定期檢視且備份AI的長期記憶檔。務必將重要的安全限制(例如:刪除郵件前必須經過人員同意)直接寫入「核心記憶檔案」(如:龍蝦的MEMORY.md)中,確保每次運作時都會強制載入安全守則,避免因記憶壓縮而遺忘設定好的防護設定。<br />
(五) 審慎檢查技能包:在安裝任何第三方技能擴充套件前,應先對其內容說明與程式碼進行完整的安全掃描。若發現內容中有要求下載不明檔案、連線至不明網站等可疑行為,應立即停止安裝,並向平台檢舉。<br />
<br />
在使用新型態軟體或服務時,皆可以掌握一個原則:「如果不能掌控或確定能避免風險的工具就要謹慎使用,在做任何事的時候都要有資安意識」。目前代理型AI強大的自主學習與操作能力無疑能有效提升工作效率,但唯有妥善規劃防護機制,才能真正安心享用AI帶來的數位便利。<br />
<br />
<strong>二、近期資安事件分享</strong><br />
專案系統權限控管失效,獨立網段未納監控成資安死角<br />
機關接獲外部情資,指出其轄內某專案系統存在權限控管失效(Broken Access Control)漏洞,非授權人員可讀取、修改或刪除專案參與者資料。經查該系統為自行開發應用,因權限驗證機制不足所致,且該專案使用之獨立網路未納入機關資安監控範圍,以致資訊單位未能即時掌握系統風險。機關已緊急中斷對外連線,並進行影響範圍釐清及修補作業。<br />
<br />
<strong>經驗學習(Lessons Learned) </strong><br />
單位因業務或專案需求申請獨立網路,若未同步落實機關資安責任等級之防護要求,易形成資安監控與管理盲區。建議機關將獨立網路與專案系統納入整體資安治理範圍,並透過定期檢視與制度化管理,降低整體防護弱點:<br />
1.強化獨立網路納管與監控機制<br />
各單位申請獨立網路專線時,應依機關資安責任等級要求配置必要防護措施(如防火牆、入侵偵測),並納入機關資安監控(SOC)範圍;同時定期檢視網路架構與對外連線情形,確保所有網路均在納管範圍內。<br />
2.落實安全開發與權限控管檢核<br />
針對自行開發或委外建置系統,應於開發與上線過程納入資安檢核,特別強化權限驗證機制設計;上線後定期進行弱點掃描或檢測,並持續追蹤修補情形。<br />
3.建立盤點與內部稽核機制<br />
定期盤點對外線路與連網設備,避免未經核准之連線存在;並將使用獨立網路之專案納入內部稽核與定期檢視範圍,確保其防護措施持續有效並符合機關資安要求。<br />
<br />
<strong>三、資通安全趨勢</strong><br />
(一)我國政府整體資安威脅趨勢<br />
<strong>【事前聯防監控】</strong><br />
本月蒐整政府機關資安聯防情資共7萬3,093件(較上月增加1萬2,329件),分析可辨識的威脅種類,第1名為資訊蒐集類(49%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵嘗試類(24%),主要係嘗試入侵未經授權的主機;以及入侵攻擊類(11%),大多是系統遭未經授權存取或取得系統/使用者權限。<br />
從釣魚信件到記憶體執行:PowerShell隱蔽攻擊剖析<br />
經進一步彙整分析聯防情資資訊,發現近期駭客透過社交工程郵件誘導使用者執行捷徑檔,進而觸發多階段 PowerShell 腳本,從合法雲端服務下載並在記憶體中執行惡意程式,以降低被偵測的風險,駭客所使用之離地攻擊手法,使惡意程式可直接於記憶體中執行,可避免檔案落地至硬碟,從而降低被防毒軟體或資安設備偵測之機率,相關情資已提供各機關聯防監控防護建議。<br />
<strong>【事中通報應變】</strong><br />
本月資安事件通報數量共55件,為去年同期的0.67倍,通報類型以非法入侵為主,占本月通報件數65.45%。本月持續發現多個機關因安裝冒牌軟體而遭植入惡意程式之情形。過往相關案例多以冒牌通訊軟體為主要手法,惟近期觀察攻擊者已逐步擴展至其他類型軟體,肇因為「使用/下載來源不明之應用程式/套件」的事件總數占總通報件數10.90%。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 隱私強化技術與應用—資料時代下安全釋放資料價值的全新路徑資安訊息保安警察第一總隊115-04-10115-04-13<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>一、緒論</strong><br />
在人工智慧與大數據技術加速演進的全球浪潮下,公部門、研究機構乃至私人企業對資料應用的需求與日俱增,資料已成為當代最具戰略價值的核心資源之一。人工智慧系統的開發與優化高度仰賴海量資料的驅動,資料的規模與多樣性直接決定模型的效能上限;然而,如何在推動資料創新應用的同時兼顧個人隱私保護,始終是這場技術躍進中難以迴避的核心議題。於合規前提下有效運用個人資料(以下簡稱個資),確保隱私不受侵害,安全實踐資料去識別化處理與流程,為隱私強化技術(Privacy-Enhancing Technologies, PETs)發展目標。<br />
<br />
<strong>二、去識別化核心概念</strong><br />
(一) 法遵合規需求<br />
我國參酌歐盟《一般資料保護規則》(GDPR)相關規範,修訂《個人資料保護法》(下稱個資法),就個人資料的蒐集、處理及利用建立完整規範架構,旨在防範人格權遭受侵害,同時促進個人資料的合理流通與應用。依個資法第 2 條第一款,個人資料係指涵蓋一切能與特定個人建立連結的多元形式資訊。個資法亦明定公務機關於蒐集、處理及利用個資時,除須明確告知當事人資料蒐集標的與使用目的外,應採行適當的去識別化措施,切斷資料與特定個人之關聯,並遵循相關法規的稽核要求。尤其,公務機關若欲基於業務需要將機敏資料另作統計分析或學術研究,依個資法第 16 條目的外利用規定,其第五款明確要求資料須經處理至「無從識別特定當事人」,方得應用於上述用途。<br />
(二) 去識別化目標與技術層次<br />
為達上述「無從識別特定當事人」之要求,去識別化旨在透過明確目的導向的資料處理,在保留資料分析效用的同時,最大程度降低資料與特定個人之間的可連結性。實務上,去識別化技術依其保護強度,大致可區分為假名化與匿名化兩大類別,假名化(pseudonymization)係將個人機敏資料以替代識別符號取代,雖能降低資料與真實個體直接連結,但仍存在透過串接其他資料集而間接還原個人身份的可能性。<br />
匿名化(anonymization)則進一步破壞或移除資料中足以辨識真實個體的資訊,使資料在理論與實務上均無從回溯至特定當事人。<br />
(三) 重新識別風險<br />
值得注意的是,假名化在法規定義上並不等同於匿名化,即便已採行去識別化處理,資料仍可能因外部資訊的串接而遭到重新識別,因此法規要求應竭盡所能降低此類風險,方能達到匿名化的法遵效力。為系統性量化去識別化後資料的重新識別風險,實務上可採用 Anonymeter 工具,依據歐盟匿名化技術評估標準,從三個核心面向進行保護力評估:<br />
1. 指認性(singling out):資料集是否存在足以唯一鎖定特定個體的欄位組合<br />
2. 連結性 (linkability):是否能跨資料集串接並歸因至同一當事人<br />
3. 推斷性(inference):是否能由現有欄位推導出當事人未揭露的隱藏資訊<br />
<br />
<strong>三、隱私強化技術 (PETs)</strong><br />
(一) 技術範疇與核心理念<br />
若說去識別化概念奠定了個資保護的法遵基礎,PETs 則將這一基礎進一步延伸,構築出更全面的資料保護框架。PETs 泛指一系列旨在保護個人隱私的技術集合,其核心價值不僅在於防範資料洩漏,更在於使跨機構資料分析成為可能,將資料最小化原則的效益發揮至最大。<br />
聯合國對 PETs 的定義,精準揭示了其三大核心特質:資料最小化使用(僅處理達成目的所必要的最少量資料)、最大化資料安全(在整個資料生命週期中維持高強度保護)、以及個人資料賦權(還原當事人對自身資料的自主掌控能力)。這三項特質共同構成 PETs 有別於傳統去識別化技術的關鍵優勢,不僅消極地「降低風險」,更積極地「創造安全流通的條件」。<br />
(二) 資料生命週期的多重防護<br />
資料從蒐集、處理到結果發布,貫穿完整的生命週期,隱私風險亦隨之在不同節點以不同形式浮現。PETs 依據保護介入的時機,將隱私保護需求區分為輸入隱私與輸出隱私兩大類別,分別對應資料生命週期的上下游,形成首尾呼應的雙重防護機制。<br />
輸入隱私(input privacy)強調「資料可用但不可見」,目的是確保個人原始資料在參與運算的過程中,不會以任何形式暴露於非授權方,使資料的分析價值得以實現,而原始內容始終受到屏障。輸出隱私(output privacy)則聚焦於資料生命週期的末端,著重於實踐「結果可用但不可逆推」,即便分析結果對外發布,非預期使用者亦無法從中反推出原始機敏資訊,防止資料價值的釋放成為隱私洩漏的缺口。<br />
(三) PETs 綜合比較<br />
四個常用 PETs 特點、適用場景與優缺點整理、比較如表1,各 PETs 因應不同資料特性、資料分析與隱私需求而有不同特性。<br />
<br />
表1 PETs綜合比較表<br />
<img alt="PETs比較表" src="/userfiles/ch1spc/images/20260413091146900.png" /><br />
<br />
<br />
<strong>四、PETs 的實證部署與應用推展</strong><br />
開發 PETsARD(Privacy Enhancing Technologies Analysis, Research, and Development)程式套件,針對合成資料的產製與評估流程提供自動化支援,將原本高度仰賴人工判斷的技術流程,轉化為可重複、可驗證的標準化作業,合成資料可產生貼近真實之資料,又可避免侵犯隱私,如內政部統計處以合成資料技術,重塑人房地資料模擬資料產製流程方式,釋出「人口、建物與地利資訊模擬資料」,提供產官學界作為分析基礎。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄、數位發展部(2024)。隱私強化技術應用指引<br />
</div>
</div>
- 資安週報-第 35 期(115/3/2 - 115/3/8)資安訊息保安警察第一總隊115-04-10115-04-13<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
<strong>事件通報:</strong><br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
完善的日誌管理與保存機制是確保資安事件可追溯性的重要基礎<br />
本週總計接獲10件公務機關與特定⾮公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。其中有機關遭偵測發現與 Android 殭屍網路Vold相關連線特徵,經查該連線係透過機關無線AP對外連線。然而,由於該設備未建立完整的連線日誌紀錄與保存機制,無法回溯實際連線設備與使用者來源,導致事件調查過程缺乏佐證資訊,影響後續追蹤與處置作業。<br />
當網路設備缺乏適當的日誌紀錄與保存機制時,將影響事件調查的可追溯性(Traceability),使異常行為難以進一步確認來源設備或責任範圍。特別是在無線網路或共用網路環境中,若未保存連線紀錄與設備識別資訊,事件發生後往往難以回溯實際來源。建議機關應建立日誌管理制度,將重要網路設備(如防火牆、無線基地台、VPN、網路閘道等)之連線紀錄納入日誌管理範圍,確保能記錄來源 IP、設備識別資訊(如 MAC 位址)、連線時間與存取紀錄等資訊。同時應訂定適當的日誌保存期限與集中管理機制,以確保於資安事件發生時,能透過歷史紀錄進行追蹤分析,提升事件調查能力與整體資安治理效能。<br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險<br />
‧攻擊者利用無線網路匿名連線滲透內網<br />
‧惡意裝置連線建立殭屍網路控制通道<br />
針對潛在風險執行相應改善<br />
‧建立無線網路設備連線日誌紀錄機制,保存來源IP與MAC位址資訊<br />
‧導入集中式日誌管理平台,統一蒐集防火牆與網路設備連線紀錄<br />
‧強化無線網路身分驗證機制,避免未授權設備接入內部網路環境<br />
‧定期監控與分析異常連線行為,及早發現殭屍網路相關可疑活動<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
<br />
<strong>防禦迴避攻擊持續居高不下 資安專家籲強化端點防護與指令稽核</strong><br />
本週資安聯防監控顯示,整體攻擊態勢呈現多元化發展,其中「防禦迴避」以13.7%持續位居首位,雖較上週16.2%略有下降,但仍是攻擊者最常採用的手法,主要透過關閉或清除指令紀錄、利用合法工具執行惡意命令等技術來規避偵測。其次為「初始入侵」階段,本週佔比13.2%,較上週11.3%明顯上升,顯示攻擊者持續嘗試突破組織防線。第三高為「偵測刺探」階段,佔比12.9%,較上週14.7%有所下降,但仍維持在高位。<br />
<br />
<strong>防護建議:</strong><br />
建議機關採取下列防護措施:<br />
強化防禦迴避偵測能⼒<br />
‧導入端點偵測與回應(EDR)解決方案,即時監控異常行為模式<br />
‧強化指令紀錄稽核機制,確保所有系統操作留有完整記錄<br />
‧限制高風險工具的使用權限,防止合法工具遭濫用執行惡意命令<br />
‧落實特權帳號管理,定期審查並限縮管理權限範圍<br />
<br />
<strong>加強初始入侵防護</strong><br />
‧定期更新系統與應用程式漏洞修補,減少攻擊面<br />
‧實施多因素驗證(MFA),提高帳號安全性<br />
‧強化電子郵件安全閘道,過濾釣魚郵件與惡意附件<br />
‧加強員工資安意識訓練,提升社交工程攻擊辨識能力<br />
<br />
<strong>近期重大弱點提醒</strong><br />
近⼀週資安院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:<br />
Google Chrome、Microsoft Edge、Vivaldi及Brave等以Chromium為基礎之瀏覽器存在10個高風險安全漏洞(CVE-2026-3536、CVE-2026-3537、CVE-2026-3538、CVE-2026-3539、CVE-2026-3540、CVE-2026-3541、CVE-2026-3542、CVE-2026-3543、CVE-2026-3544及CVE-2026-3545),類型包含整數溢位(Integer Overflow)、越界寫入(Out-of-bounds Write)及沙箱逃逸(Sandbox Escape)等,攻擊者可透過特製HTML網頁或擴充程式存取記憶體或執行任意程式碼。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 34 期(115/2/23 - 115/3/1)資安訊息保安警察第一總隊115-03-31115-04-01<div class="ed_model01 clearfix">
<div class="ed_txt">資安儀表板<br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<strong>事件通報:</strong><br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
<br />
防範偽冒軟體風險 應以必要性與可信來源為原則 強化軟體安裝安全<br />
本週總計接獲10件公務機關與特定非公務機關事件通報,公務機關非法入侵事件中以異常連線占多數。近期觀察到偽冒軟體散布手法出現變化,除過往以偽冒通訊軟體為主外,攻擊者開始利用遊戲平台及官方模擬器名義散播惡意程式。攻擊者透過仿冒下載網站或偽裝合法安裝程式,誘使使用者下載執行,進而於端點設備植入惡意程式,並建立後續之遠端控制通道。<br />
鑑於攻擊者偽冒軟體手法持續演變,端點防護除惡意程式偵測外,亦應涵蓋軟體下載與安裝行為控管;技術面建議限制來源不明程式執行並強化新安裝程式與異常連線監控,管理面上,應明確規範公務設備僅限安裝業務必要軟體,避免於公務設備安裝非業務用途之應用程式,以降低惡意程式透過偽冒軟體進入機關環境之風險。<br />
<br />
<strong>防護建議:</strong><br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險<br />
‧留意偽冒官方軟體名義誘導下載與安裝之資安風險<br />
‧警覺惡意程式植入後建立遠端控制通道之威脅<br />
針對潛在風險執行相應改善<br />
‧建立來源驗證機制限制未知程式執行<br />
‧強化新安裝軟體與異常行為監控機制<br />
‧落實端點對外異常連線即時告警機制<br />
‧建立公務設備軟體安裝白名單制度<br />
<br />
<strong>聯防監控:</strong><br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
攻擊手法轉向深層滲透! 橫向擴散與C2通訊活動雙雙攀升<br />
本週資安聯防監控顯示,整體攻擊態勢呈現多元化發展趨勢。與上週相比,「偵測刺探」階段從17.2%下降至14.7%,「攻擊整備」也從13.8%降至11.1%,顯示攻擊者在初期探測階段的活動有所減緩。然而值得關注的是,「防禦迴避」仍維持最高佔比達16.2%,攻擊者持續運用關閉或清除指令紀錄、利用合法工具執行惡意命令等技術來規避偵測。其次為「偵測刺探」與「初始入侵」,後者從9.5%上升至11.3%,顯示攻擊者正積極嘗試突破防線。此外,「惡意執行」佔比11.4%位居第三,反映出成功入侵後的惡意程式執行活動頻繁。<br />
特別需要留意的是「橫向擴散」從1.47%增加至2.44%,以及「C2通訊」從1.4%上升至2.6%,這些數據顯示部分攻擊已從初期偵測階段進入更具破壞性的內網滲透與遠端控制階段。整體而言,雖然初期探測活動減少,但攻擊者正朝向更深層的網路滲透發展,組織應提高警覺並強化縱深防禦機制。<br />
<br />
防護建議:<br />
建議機關採取下列防護措施:<br />
<br />
<strong>強化偵測刺探防護</strong><br />
‧導入端點偵測與回應(EDR)解決方案,即時監控異常行為模式<br />
‧強化指令紀錄稽核機制,確保所有系統操作留有完整記錄<br />
‧限制高風險工具的使用權限,防止合法工具遭濫用執行惡意命令<br />
‧落實特權帳號管理,定期審查並限縮管理權限範圍<br />
<br />
<strong>加強初始入侵防護</strong><br />
‧定期更新系統與應用程式修補程式,減少可利用的漏洞<br />
‧實施多因素驗證機制,提高帳號安全性<br />
‧強化電子郵件安全閘道,過濾釣魚郵件與惡意附件<br />
<br />
<strong>監控橫向擴散與C2通訊</strong><br />
‧部署網路流量分析工具,偵測異常的內網通訊行為<br />
‧實施網路區隔,限制不同網段間的橫向移動<br />
‧建立威脅情資整合機制,即時阻擋已知的C2伺服器連線<br />
<br />
<strong>近期重大弱點提醒</strong><br />
近⼀週資安院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:<br />
Google Chrome、Microsoft Edge、Vivaldi、Brave及Opera等以Chromium為基礎之瀏覽器存在高風險安全漏洞(CVE-2026-2441),類型為使用釋放後記憶體(Use After Free),未經身分鑑別之遠端攻擊者可利用特製HTML頁面觸發記憶體錯誤,進而於瀏覽器沙箱環境執行任意程式碼。<br />
<br />
Cisco Catalyst SD-WAN存在高風險安全漏洞(CVE-2026-20127與CVE-2026-20129),類型為身分鑑別繞過(Authentication Bypass),前者因對等連線(peering)驗證機制運作異常,導致未經身分鑑別之遠端攻擊者可透過發送特製請求,取得高權限帳號;後者因API使用者驗證機制不當,致使未經身分鑑別之遠端攻擊者可透過發送特製請求,以netadmin角色權限執行任意程式碼。<br />
<br />
Microsoft Windows與Office存在5個高風險安全漏洞,類型包含安全功能繞過(Security Feature Bypass)漏洞(CVE-2026-21510、CVE-2026-21513及CVE-2026-21514)與本機提權(Local Privilege Escalation)漏洞(CVE-2026-21519與CVE-2026-21533),前者可使未經身分鑑別之攻擊者於使用者互動情境下繞過系統安全機制;後者可使已通過身分鑑別之攻擊者在既有權限基礎上提升權限。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- ASRC 對於2026年社交工程技術趨勢預測資安訊息保安警察第一總隊115-03-31115-04-01<div class="ed_model01 clearfix">
<div class="ed_txt">AI驅動的「超仿真」社交工程(AI-Powered Social Engineering) 隨著生成式AI技術的成熟,在2026年釣魚郵件將徹底擺脫「語意不通」、「簡體字混雜」的刻板印象。攻擊者將利用AI生成語氣完美且完全符合在地文化用語的信件。<br />
更甚者,攻擊將升級為「多模態(Multimodal)」形式,結合AI生成的深偽(Deepfake)語音(如假冒老闆的語音指令)、視訊、圖片與高度逼真的商業文件,讓詐騙場景無懈可擊。<br />
<br />
<strong>QR Code釣魚(Quishing)的常態化</strong><br />
QR Code將成為攻擊者規避偵測的利器。加上行動裝置掃描後往往缺乏完整的網址檢視介面,這形成了完美的防禦破口。 預期攻擊者將更頻繁地將惡意連結轉為QR Code,夾帶於PDF附件或文件中,迫使使用者改用防護較弱的手機進行存取。<br />
<br />
<strong>供應鏈攻擊深化(Supply Chain & VEC)</strong><br />
在直接入侵目標企業日益困難的情況下,攻擊者轉而鎖定其供應商。透過潛伏於供應商的郵件系統,長期監控業務往來。一旦偵測到付款關鍵時刻,便利用真實的歷史郵件串發動「回信攻擊(Reply-chain Attack)」,插入詐騙匯款資訊。這類手法極難察覺,將是企業財務損失的最大風險源。<br />
<br />
<strong>瀏覽器即戰場(Browser-based Threats)</strong><br />
攻擊重心將進一步移往瀏覽器層面。包括惡意擴充套件(Extensions)的濫用,或是利用PWA(漸進式網頁應用程式)技術,將惡意程式偽裝成合法App誘導使用者安裝,藉此繞過作業系統的安全機制。<br />
<br />
<strong>防禦策略與建言</strong><br />
面對上述威脅,企業與個人應採取以下主動防禦措施:<br />
1. 建立「查證斷點」機制:收到任何涉及金錢、個資或法律訴訟的緊急通知,請強制自己「暫停」。切勿直接點擊信中連結,應自行搜尋官方網站的客服電話進行查證。<br />
2. 強化供應商風險管理:針對財務匯款流程建立嚴格規範。任何帳戶變更通知,絕不可僅憑電子郵件執行,必須透過「郵件以外」的第二管道(如電話)進行雙重確認。<br />
3. 對「免費信箱」保持絕對懷疑:真正的律師函、法院傳票或企業官方通知,絕不會使用Gmail、Hotmail或Outlook.com等免費信箱發送。見此類來源,應立即提高警覺。<br />
4. 拒絕執行不明指令:瀏覽網頁時,若頁面要求開啟「執行(Run)」視窗、終端機或PowerShell並貼上代碼,百分之百是惡意攻擊,請立即關閉網頁。<br />
5. 演練「新型態」釣魚:企業內部的社交工程演練不應再侷限於簡單的連結點擊測試,應加入「QR Code掃描」、「假冒供應商」或「ClickFix誘騙」等新型劇本,以提升員工面對真實威脅的防禦力。<br />
2026年,資訊安全不僅是技術與技術的對抗,更是對人性的考驗。在信任崩解的網路世界中,唯有保持高度警覺與適度的懷疑,才能有效保全資產與數據安全。<br />
<br />
資料來源:網管人</div>
</div>
- 郵件可信特徵不再可信 超仿真釣魚恐席捲2026資安訊息保安警察第一總隊115-03-31115-04-01<div class="ed_model01 clearfix">
<div class="ed_txt">在ASRC 2025年全年度監測約40億封郵件流中,以偽造攻擊(Forgery)為主流,超過六成的攻擊透過偽冒身分(Spoofing)、變臉詐騙(BEC)來欺騙收件人,其中有不少透過註冊與知名公司相似的網域來發送釣魚信。而在郵件中,試圖以文件夾帶的方式進行宣傳或規避偵測的部分,以PDF格式成長最顯著;在惡意附檔攔截統計中,Office文件格式仍為最主要的利用對象。<br />
除此之外,回顧2025年,電子郵件資安攻防戰大規模利用「合法服務」與「心理操弄」。傳統的資安邊界,以區分黑名單與白名單的機制,正面臨失效。<br />
<br />
<strong>合法服務武器化</strong><br />
攻擊者透過「寄生」於合法的網路基礎設施,使惡意郵件在外觀與技術指標上呈現「無害」的假象,藉此繞過資安閘道器。<br />
1. 濫用「連結置換(URL Rewriting)」防護機制:攻擊者利用遭駭的企業帳號發信,其內含的惡意連結已被微軟或資安廠商的防護機制改寫(如Safelinks)。使用者看到連結帶有資安廠商網域,誤以為經過掃描確認安全,反而降低戒心。<br />
2. 短網址與開放轉址(Open Redirect):利用知名網站未修補的轉址漏洞(如legitimate.com/redirect?url=evil.com),讓郵件過濾器誤判為合法網站,實則將使用者導向釣魚頁面。<br />
3. 合法網站淪為跳板:攻擊者入侵維護不善的WordPress等合法網站植入惡意頁面。由於這些網站域名信譽(Domain Reputation)良好,極難被攔截。<br />
<br />
<strong>社交工程在地化與精細化</strong><br />
攻擊劇本不再通用化,而是針對台灣使用者的生活習慣、常用軟體與法律恐懼進行高度客製化。<br />
1. 跨平台引流詐騙:攻擊者多半利用Gmail、mail.ru、AOL、Hotmail、Yahoo等免費信箱寄送郵件。郵件僅作為誘餌,郵件中不含惡意連結或附件,因此不易被資安防護設備檢出,目的是將受害者都引導至封閉的LINE群組,後續的社交工程攻擊對象皆瞄準群組內的財務人員。此類詐騙發送者經常偽裝成公開可查的企業負責人、高階主管,藉此提高信任感與威權壓力。<br />
2. 權威機構與生活服務偽冒:在公部門方面,假冒健保局、國稅局或法院傳票,利用民眾對公權力的敬畏;而生活應用上,則針對PX Pay等在地支付工具,發送「資料確認」通知竊取憑證。<br />
3. 高度仿真的「侵權警告」:攻擊者寄送內容詳盡的版權侵害通知,雖舉證歷歷但發信源多為Gmail等免費信箱。此手法利用受害者害怕法律糾紛的心理,誘騙點擊連結。<br />
4. ClickFix手法的技術演變:2025年年初,透過郵件的ClickFix主要於郵件內容中誘導使用者手動「複製貼上」PowerShell指令。<br />
2025年年末,還發現另一種特殊的ClickFix攻擊。ClickFix整體改用HTML附件的方式寄送ClickFix攻擊<br />
其特殊之處在於受害者打開HTML檔時,瀏覽器會先出現一個Google reCAPTCHA的假驗證畫面,實際上並沒有任何驗證功能<br />
事實上,受害者打開這個惡意的HTML檔時,就已經被寫在其中的document.execCommand ('copy');強制將惡意代碼寫入受害者電腦的剪貼簿中,接下來會要求受害者以〔Win〕+〔R〕呼叫出Windows的「執行」功能,再令其以〔Ctrl〕+〔V〕貼上剪貼簿中的惡意程式碼並按下〔Enter〕執行。主要的惡意程式碼及惡意程式的下載連結,皆以Base64編碼增加偵測的難度<br />
<br />
<strong>防禦的核心困境</strong><br />
<br />
「人」是最後,也是最脆弱的防線,儘管SPF、DKIM、DMARC等技術層面的郵件驗證機制已相當普及,有效地墊高攻擊門檻,卻也迫使攻擊者將目標轉向「人的認知」。未來的防禦重點已無法單純依賴攔截技術,而必須著重於提升使用者的識別能力。 然而,我們正面臨一個嚴峻的「教育困境」:過去教導使用者識別安全的特徵,如「檢查網址」、「確認HTTPS鎖頭圖示」或「依賴防毒掃描結果」,如今卻反被攻擊者利用。攻擊者透過合法服務與加密憑證,讓惡意郵件具備了所有「被教導過」的安全特徵。因此,使用者必須重建思維,從「信任合法特徵」轉向建立「零信任(Zero Trust)」的數位習慣。<br />
<br />
資料來源:網管人</div>
</div>
- 資通安全網路月報(115年2月)資安訊息保安警察第一總隊115-03-17115-03-17<div class="ed_model01 clearfix">
<div class="ed_txt">一、近期資安事件分享<br />
資料庫連線池耗盡導致服務效能異常事件說明<br />
機關提供全國各級機關人員使用之共同性系統,發生服務效能異常,使用者於登入及操作時出現明顯延遲。經查,起因於該系統上線後資料量持續增?,但資料庫的搜尋語法並未隨之最佳化,導致查詢資料極度耗時且佔?資料庫連線,當較多使用者同時上線操作時,資料庫連線數(Connection Pool)被全數耗盡進而影響效能。機關立即聯繫維護廠商,調高資料庫連線數上限,並緊急安排人員修改資料庫搜尋語法與效能,始逐步降低整體服務延遲時間,恢復系統運作。<br />
經驗學習(Lessons Learned) <br />
系統於長期運作過程中,隨資料量與使?人數持續成?,若未同步檢視與調整系統效能設計,可能因資源使用效率下降而影響整體服務穩定性。建議機關於系統上線後,應建立持續性的效能監控與定期檢視機制、定期辦理容量與效能評估、將效能測試納入維運流程,以及系統變更時同步檢視效能設計:<br />
1.建立持續性效能監控機制,系統上線後應持續監控服務效能與資源使用情形,如登入回應時間、資料庫連線使用率及系統負載,並設定告警門檻,以即早發現效能下降徵兆,避免問題累積影響服務運作。<br />
2.定期辦理容量與效能評估,隨系統使??數與資料筆數成?,應定期評估系統承載能?與資源配置,例如檢視尖峰登入?數與資料成?趨勢,並透過壓力測試模擬較高使用量情境(如同時登入人數提升至既有規模的兩倍),提前確認系統是否仍具備足夠處理能力,以避免於實際高使用期間發生服務壅塞。<br />
3.將效能測試納入維運流程,例如定期檢視執?時間過長的資料查詢並強化效能,或建立效能檢查清單作為改版前必要程序。<br />
4.於系統變更時同步檢視效能設計,當系統新增功能、改版或資料量增加時,應同步檢視資料存取與查詢?式,例如避免?次載入過多歷史資料、改採分頁查詢機制,或依需求建立資料庫索引以提升搜尋效率。<br />
二、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共 6 萬 0,764 件(減少 1 萬 1,979件),分析可辨識的威脅種類,第 1 名為資訊蒐集類(54%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵嘗試類(18%),主要係嘗試入侵未經授權的主機;以及入侵攻擊類(15%),大多是系統遭未經授權存取或取得系統/使用者權限。<br />
駭客偽冒行政院法規會發動社交工程郵件攻擊之資安警訊<br />
經彙整分析聯防情資資訊,發現近期駭客偽冒行政院法規會名義並以「修正就業安定基金收支保管及運用辦法第 5 條條文」為由,針對政府機關與國營企業發動社交?程電?郵件攻擊。駭客利??間企業之域名,並偽冒行政院(executive-yuan)作為寄件者帳號,於寄件人名稱與信件內容中署名「行政院法規會」,以提升郵件可信度,誘導收件者點擊釣魚連結並下載惡意附檔,查閱所謂「條文修正內容」等相關資料,進而植入惡意後門程式(Cobalt Strike)以達成遠端控制收件者電腦之目的,相關情資已提供各機關聯防監控防護建議。<br />
【事中通報應變】<br />
本月資安事件通報數量共 54 件,為去年同期的 0.9 倍,通報類型以非法入侵為主,占本月通報件數 72.22%。本月除偵測到疑似駭客利用路由器散佈 PeerBlight 惡意程式情形外,亦持續發現多個機關因安裝冒牌軟體而遭植入惡意程式之情事,占總通報件數 25.93%。<br />
<br />
(二)重要漏洞警訊<br />
警訊內容說明<br />
漏洞警訊<br />
類別<br />
電子目錄服務系統研究?員發現葳橋資訊單?簽入暨電??錄服務系統存在作業系統指令注入(OS Command Injection) 漏 洞 (CVE-2026-1427 與 CVE-2026-1428)。<br />
葳橋資訊單?簽入暨電子目錄服務系統已通過身分鑑別之遠端攻擊者可注入任意作業系統指令並於設備上執行,請更新至電子目錄服務系統(V4)至 IFTOP_P4_181(含)以後版本。<br />
嚴重程度:CVSS 8.8請使用者儘速連繫葳橋資訊技術支援團隊,取得適用之修正版本,並完成系統升級。<br />
(CVE-2026-1427 與 CVE-2026-1428)<br />
電子郵件系統研究人員發現桓基科技 C&Cm@il 存在 3個高風險安全漏洞(CVE-2026-2234、CVE-2026-2235 及 CVE-2026-2236)。<br />
C&Cm@il 郵件協同系統類型包含缺乏身分鑑別(Missing Authentication)與 SQL 注入(SQL Injection),最嚴重可使未經身分鑑別之遠端攻擊者讀取與修改任意使用者信件內容。<br />
嚴重程度: 官方已提供安全公告,請參考官方說明儘速確認並採取相關緩解措施。<br />
(CVE-2026-2234: CVSS 9.1)、(CVE2026-2235 : CVSS 6.5 )及(CVE-2026-2236 : CVSS 7.5 )<br />
流程管理系統研究人員發現華苓科技開發的 Agentflow存在多項安全漏洞 ( CVE-2026-2095 ~2099 )。<br />
AgentFlow類型包含身分鑑別繞過與不安全的反序列化,遠端未經身分鑑別之攻擊者可藉此登入系統或執行任意程式碼 (RCE),威脅等級評定為極高 (CVSS 9.8)。<br />
嚴重程度:請使用者儘速連繫華苓科技技術支援團隊,取得適用之修正版本,完成系統更新或採取應對緩解措施。<br />
( CVE-2026-2095:CVSS 9.8 )、( CVE2026-2096:CVSS 9.8 )、( CVE-2026-2097:CVSS 8.8 )、( CVE-2026-2098:CVSS 6.1 )、(CVE2026-2099:CVSS 5.4 )<br />
已知遭駭客利用之漏洞<br />
通訊設備研究人員發現 Cisco Catalyst SD-WAN Controller and Manager 軟體存在極嚴重之身分驗證繞過漏洞。<br />
Cisco Catalyst SDWAN 未經身分鑑別之遠端攻擊者可發送特製請求,繞過驗證程序並取得管理權限,進而完全控制設備。<br />
嚴重程度:CVSS 10.0官方已提供安全建議,請參考官方說明進行軟體版本更新。<br />
( CVE-2026-20127 )<br />
文書處理軟體研究人員發現 Microsoft Office 存在安全功能繞過(Security Feature Bypass)漏洞(CVE-2026-21509)。<br />
Microsoft Office 未經身分鑑別之攻擊者可透過發送惡意Office 文件並誘使用戶開啟,進而繞過元件物件模型(Component Object Model,COM)與物件連結與嵌入(Object Linkingand Embedding, OLE)防護機制,使原本應該被阻擋之 COM/OLE 控制元件仍能執行。<br />
嚴重程度:CVSS 7.8官方已針對漏洞釋出修復更新,請參考官方說明進行更新。<br />
(CVE-2026-21509)<br />
網頁瀏覽器研究人員發現 Google Chrome、Microsoft Edge、Vivaldi、Brave 及Opera 等以 Chromium 為基礎之瀏覽器存在使用釋放後記憶體(Use After Free)漏洞(CVE-2026-2441)。<br />
Chromium 為基礎之瀏覽器未經身分鑑別之遠端攻擊者可利用特製HTML 頁面觸發記憶體錯誤,進而於瀏覽器沙箱環境執行任意程式碼。<br />
嚴重程度:CVSS 8.8 建議管理人員儘速針對受影響服務進行安全更新。<br />
(CVE-2026-2441)<br />
網路安全設備研究人員發現 Fortinet 多項產品存在身分鑑別繞過(Authentication Bypass)漏洞(CVE-2026-24858)。<br />
Fortinet 多項產品設備啟用 FortiCloud SSO 之情況下,擁有FortiCloud 帳號且已註冊設備之遠端攻擊者可登入任意他人帳號註冊之設備,請儘速確認並進行修補。<br />
嚴重程度:9.8 官方已針對漏洞釋出修復更新,請參考官方說明進行更新。<br />
(CVE-2026-24858)<br />
警訊說明:<br />
「漏洞警訊」:為已驗證漏洞但尚未遭攻擊者大量利用,修補速度建議儘快安排更新。<br />
「已知遭駭客利用之漏洞」:已知有漏洞成功攻擊情形,建議即刻評估修補。<br />
<br />
三、國際資安新聞<br />
攻擊者透過偽造 PDF 誘餌竊取 Dropbox 登入訊息<br />
(資料來源:Dark Reading)<br />
根據 Forcepoint 的研究報告指出,近期針對企業的網路釣魚攻擊活動呈現上升趨勢。攻擊者採用複雜的多階段混淆技術,試圖誘騙受害者輸入Dropbox 帳號憑證並加以竊取。在此攻擊活動中,攻擊者會利用偽造或遭入侵的內部電?郵件帳號發送郵件,誘導?標使?者查看?份偽造的「訂單請求」。郵件內附帶?個連結? PDF 文件的連結。當使用者點擊後,會先被導向?個託管於合法雲端服務平台 Vercel 的模糊化 PDF 文件,接著再被重新導向??個外觀與官???極為相似的偽造 Dropbox 登入頁面。在該頁面中,受害者會被要求輸入其工作帳號與密碼。實際上,這些憑證在頁面顯示「使用者名稱或密碼錯誤」提示之前就已被攻擊者竊取。隨後,竊得的憑證與相關使用者資訊會透過 Telegram 機器人即時傳送給攻擊者,使其能夠進?步進?帳?接管、內部系統存取,甚?發動後續詐欺?為。<br />
為降低此類攻擊風險,建議使用者遵循反釣魚安全最佳實務,例如對來源不明的電子郵件與 PDF 附件保持警覺,並在開啟或點擊連結前仔細確認其真實性。<br />
微軟:Windows Admin Center 嚴重漏洞導致權限提升<br />
(資料來源:Tech Republic)<br />
微軟警告,Windows Admin Center(WAC) 存在?項?風險安全漏洞CVE-2026-26119(CVSS 評分:8.8),可能在企業環境中被利用以進行權限提升攻擊。該漏洞源於身分驗證機制處理不當,使具備合法存取權限的攻擊者在無需使用者互動的情況下,即可透過網路提升其權限。若成功利用此漏洞,攻擊者可能取得管理員層級控制權,進而修改系統設定、建立或變更特權帳戶、停用安全防護機制、存取敏感資料,甚至在企業網路中進行橫向移動。由於 Windows Admin Center 為集中式伺服器與基礎架構管理平台,?旦遭到利?,可能影響多台受管理主機,進?步放?整體安全風險。目前該漏洞影響 Windows Admin Center 2.6.4 版本。截至目前為止,尚未有公開資訊顯示此漏洞已遭到實際利用。<br />
組織應透過以下方式降低風險:修補到最新版本、強制執行最小權限原則、限制網路暴露、加強主機系統、啟用日誌紀錄,以降低風險。<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資安週報-第 33 期(115/2/16 - 115/2/22)資安訊息保安警察第一總隊115-03-16115-03-16<div class="ed_model01 clearfix">
<div class="ed_txt">資安儀表板<br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
事件通報:<br />
近半年非法入侵事件發生原因統計與分析,同時市場產業別公告次數統計<br />
<br />
遠端存取應落實「原則禁止、例外允許」及短期授權控管<br />
本週總計接獲3件公務機關與特定⾮公務機關事件通報,其中僅1件為非法入侵事件,調查發現攻擊來源為網站之維護廠商IP,駭客以廠商帳號遠端登入網站主機並植入內網滲透工具,嘗試進行後續內部橫向移動與滲透行為。<br />
鑑於供應鏈風險可能成為入侵跳板,遠端作業應遵循「原則禁止、例外允許」之資安管理原則,僅於確有業務必要時經審核後方可開放,採短天期授權與任務期間啟用機制,完成即關閉,避免長期開放存取權限。技術面上,應搭配多因子驗證、最小權限設計及存取行為監控,並透過網路區隔與來源限制,降低遠端帳號遭濫用時之影響範圍;管理面上,則應建立遠端例外申請與審核流程,明確規範開放期間、權限範圍及責任歸屬,並定期盤點與檢核遠端帳號使用情形,確保遠端維護行為均在可控範圍內,以降低供應鏈相關風險。<br />
<br />
聯防監控:<br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
<br />
攻擊鏈前期活動頻繁 組織應提高警戒 防範深度滲透<br />
本週資安聯防監控顯示,攻擊活動主要集中於攻擊鏈的前期與中期階段。其中「偵測刺探」階段佔比最高達17.2%,顯示攻擊者持續透過掃描、探測等手法尋找潛在目標與系統弱點。其次為「防禦迴避」階段佔16.7%,攻擊者常利用關閉或清除指令紀錄、濫用合法系統工具執行惡意命令等技術,企圖規避資安防護機制的偵測。第三高的「攻擊整備」階段則佔13.8%,反映攻擊者正積極準備攻擊工具與基礎設施。<br />
值得注意的是,「惡意執行」階段亦達12.8%,顯示部分攻擊已進入實際執行惡意程式的階段。相對而言,後期的「橫向擴散」、「資訊蒐整」、「C2通訊」及「資料滲出」等階段佔比較低,均在2%以下,顯示多數攻擊尚未發展至深度滲透或資料竊取階段。整體而言,本週監控數據提醒組織應持續關注攻擊趨勢變化,特別留意攻擊活動是否由初期的偵測刺探逐步演進至更具破壞性的後期階段。<br />
<br />
蜜罐誘捕:<br />
近半年誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢<br />
<br />
Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成攻擊熱點<br />
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比62.01%、「遠端控制」服務攻擊占比32.34%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達59.26%。「遠端控制」服務亦有35.40% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。<br />
<br />
防護建議:<br />
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。 <br />
<br />
近期重大弱點提醒<br />
近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:<br />
微軟釋出2月份安全性更新,共修補包含Azure SDK、Azure Front Door(AFD)、Windows Shell及Windows Notepad App等共72個漏洞,其中包含9個CVSS達8.8分之高風險漏洞與6個已遭利用之漏洞。<br />
<br />
外部曝險分析:<br />
經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險<br />
擴大檢測範圍:100個A、B級公務機關之外部曝險分析<br />
本次針對曝險程度較⾼之100個A、B級公務機關進⾏EASM檢測,前10⼤風險項目累計達8,810項(包含重⼤與⾼⾵險)。檢測結果顯⽰,「元件⾼⾵險漏洞」共計3,762項,為最主要的資安威脅,反映出多數單位系統系統元件⽼舊且未及時修補。「過時或弱加密協定」共計2,080項,「TLS憑證不受信任」共計1,460項,顯⽰傳輸加密安全亦為主要防護破⼝之⼀,以上三項指標合計佔總風險項目的82.9%。整體而言,受測單位普遍⾯臨多重風險威脅,建議⽴即採取修復與防護措施。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 32 期(115/2/13 - 115/2/19)資安訊息保安警察第一總隊115-02-23115-02-23<div class="ed_model01 clearfix">
<div class="ed_txt">資安儀表板<br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
事件通報:<br />
近半年非法入侵事件發生原因統計與分析,同時市場產業別公告次數統計<br />
當攻擊建立於被允許的行為上 傳統以漏洞為核心的防護將難以及時介入<br />
透過近半年非法入侵事件發生原因統計,可發現「使用/下載來源不明之應用程式或套件、弱密碼/密碼遭暴力破解、社交工程」等可歸因於使用者行為之因素,合計占比約70.5%。此一結果顯示,多數事件並非源自重大系統漏洞或高深攻擊技術,而是發生於「看似正常」的日常操作情境,異常狀況多半直到端點出現對外異常連線後,才被監控機制所偵測與揭露。<br />
此類事件並非單純的偶發性人為疏失,而是攻擊者刻意將初始存取(Initial Access)隱藏於日常工作流程中,使合理且被允許的操作轉化為可被穩定利用的入侵路徑,進而形成可在機關內部持續複製、反覆發生的結構性風險。然而,部分事件於後續處置時,僅止於受駭設備的重建或隔離,未同步檢視帳號、憑證與權限是否可能外洩,致使攻擊者仍可能利用既有身分再次進入系統。<br />
面對此一趨勢,資安治理重點應由事後應變前移至風險成形前的管理。除系統防護與權限管控外,更應將下載、附件、外部網站、可攜式媒體與遠端存取等高風險使用情境納入控管,使日常必要行為在被允許的同時,維持可控與可追溯;並將防護視角由對外連線偵測前移至端點行為觀測,掌握程序執行與檔案行為脈絡,於異常連線發生前即介入處置。對已偵測的異常連線,亦應預設具有身分與存取風險,切斷再次入侵能力納入結案條件,以避免風險反覆發生。 <br />
依市場產業別公告次數統計,近半年資安事件重訊通報以通信網路業及生技醫療業占比最高(各16.1%),為主要受影響對象。整體而言,資安風險不再集中於特定產業,建議各產業持續強化端點防護、帳號存取管理及供應鏈與委外控管,以降低事件發生與擴散風險。<br />
聯防監控:<br />
近?週以MITRE ATT&CK Matrix 分析攻擊者?為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進?影響層?更?竊取資料與破壞資通系統<br />
政府聯防監控顯示攻擊行為持續聚焦入侵後控制 防禦迴避占比居各階段之首<br />
本期(2025年7月至2026年1月)政府資安聯防監控事件依 MITRE ATT&CK 戰術架構統計,整體趨勢顯示攻擊行為明顯集中於入侵後之控制與隱匿階段,各階段分布詳見圖3;其中防禦迴避為占比最高之攻擊階段,約占整體事件的15.8%,顯示攻擊者在取得初步存取後,持續透過削弱或規避稽核機制、清除命令歷程及採用間接執行方式,以降低被偵測風險並延長在受害環境中的存續時間;其次為偵測刺探(11.7%)與惡意執行(11.2%),反映攻擊活動同時涵蓋入侵前之系統性偵蒐行為與入侵後之實際操作行為,前者多見於網段掃描及 DNS相關情資蒐集,顯示對外部資產曝露面的持續探測,後者則大量濫用Visual Basic、PowerShell 與 Python 等腳本語言,作為執行指令與操控系統的主要手段。初始入侵階段占比約為9.5%,仍以對外服務弱點利用、預設帳號及供應鏈相關風險為主要途徑,而攻擊整備階段亦占9.1%,顯示攻擊者在實際入侵前,已具備可規模化之攻擊資源與基礎設施。<br />
整體而言,惡意執行、維續存取、權限提升、防禦迴避與憑證竊取等入侵後相關階段合計占比已接近整體事件的一半,顯示威脅型態已由單純突破防線,轉為著重於隱匿性、持續性與橫向操作能力,建議防禦策略除持續強化對外服務、帳號與弱點治理外,應進一步提升命令與腳本執行行為之可視性與稽核完整性,並針對防禦迴避、間接執行及憑證濫用等高風險行為建立具關聯性的偵測與應處機制,以強化對入侵後活動的整體掌握能力。<br />
蜜罐誘捕:<br />
近半年誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利?的弱點趨勢<br />
Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成這半年內的攻擊熱點<br />
於2025/07/07至2026/01/25之半年內透過部署於國內外之蜜罐系統觀測攻擊行為動態,各類服務之平均偵測攻擊比例結果顯示「網頁應用」服務為攻擊主軸,占比高達83.25%。「遠端控制」服務亦有14.39%的誘捕比例,反映攻擊者積極針對公開遠端連線介面進行入侵行動。<br />
防護建議:<br />
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。<br />
近期重?弱點提醒<br />
利用之「漏洞利用預測評分系統」(Exploit Prediction Scoring System, EPSS)為FIRST組織提出之項目,利用機器學習模型評估漏洞被利用之可能性,EPSS分數可視為漏洞被利用的機率(範圍為0至100%),表示未來30天內可能會被利用的機率,因此根據評估時間不同,分數亦可能有所改變。<br />
外部曝險分析:<br />
經由近半年外部曝險檢測結果,分析公部門與關鍵基礎設施業者現況,及早發現曝露於外部之風險,並提出改善方向與防護建議<br />
半年期回顧:整體風險總量下降 惟憑證、加密與元件漏洞仍為長期主軸<br />
綜整114年7月至115年1月之EASM(外部攻擊面管理)檢測結果,涵蓋公部門與關鍵基礎設施(CI)兩類受測對象。整體數據顯示,兩類對象在曝險量級上存在明顯差距:如表3所示,CI單位的平均風險項目數為2,042項,約為公部門405項的5倍,且最高曾出現單期3,283項之紀錄。此一差異反映 CI 因系統架構規模較大、對外服務範圍較廣,其外部攻擊面亦相對更為複雜,爰宜建立規模化之管理機制,並依標準作業流程推動風險管控與改善措施。 <br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資安週報-第 31 期(115/2/6 - 115/2/12)資安訊息保安警察第一總隊115-02-23115-02-23<div class="ed_model01 clearfix">
<div class="ed_txt">資安儀表板<br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
事件通報:<br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
搜尋引擎索引污染可能導致網站搜尋結果呈現異常內容 進而影響對外形象與信任觀感 <br />
本週總計有27件公務機關與特定⾮公務機關事件通報,公務機關⾮法⼊侵事件中以異常連線占多數。本週發現有機關網站於Google搜尋引擎查詢時,搜尋結果出現多筆疑似廣告連結,經調查確認,該現象並非網站實際遭植入廣告頁面,而係搜尋引擎索引機制遭濫用,針對可公開存取且具參數之功能介面進行大量自動化請求,誘使搜尋引擎誤將非官方內容納入索引,並因搜尋結果歷史快取殘留而呈現異常連結,其目的在於借用政府網域之可信度,提高廣告或詐騙內容於搜尋結果中的曝光度與點擊率。<br />
建議檢視並控管網站中可公開存取之參數型介面,透過設定搜尋引擎爬蟲規則(如 robots.txt、noindex)限制非正式或動態頁面被索引,並加強對異常大量請求之流量監控與必要存取限制,以降低搜尋引擎索引污染風險,降低誤解與對外觀感影響。<br />
防護建議:<br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險,如:<br />
●公開參數介面遭濫用,導致搜尋引擎索引污染<br />
●政府網域遭借用,產生詐騙與廣告曝光效果<br />
針對潛在風險執行相應改善,如:<br />
●清查並限制可公開存取之參數型功能介面<br />
●設定 robots.txt 與 noindex 阻擋非正式頁面<br />
●強化異常大量請求與自動化流量行為監控<br />
●建立存取頻率限制,降低索引濫用風險<br />
<br />
聯防監控:<br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
「偵測刺探」與「初始入侵」雙雙攀升 防禦迴避仍居首位 <br />
本週資安聯防監控顯示,整體攻擊態勢呈現多元化發展趨勢。其中「防禦迴避」階段雖較上週下降1.71個百分點,但仍以14.88%居首位,攻擊者持續透過關閉或清除指令紀錄、利用合法工具執行惡意命令等手法規避偵測機制。<br />
值得關注的是「偵測刺探」階段明顯上升至13.48%,較上週增加2.06個百分點,顯示攻擊者正積極進行目標環境的資訊蒐集與弱點探測。此外,「初始入侵」階段亦大幅攀升至12.87% ,增幅達3.17個百分點,反映攻擊行動已從前期偵察逐步轉向實質入侵階段。<br />
另一方面,「維續存取」階段則大幅下降至5.33%,降幅近5個百分點,可能顯示攻擊者策略調整或防護措施奏效。整體而言,本週監控數據顯示攻擊活動正從初期探測階段逐漸進入更具威脅性的入侵與迴避階段,企業組織應提高警覺,強化相應的防護措施與監控機制。<br />
防護建議:<br />
建議機關採取下列防護措施:<br />
強化防禦迴避偵測能力<br />
●導入具備行為分析功能的端點防護解決方案,即時偵測異常指令執行模式<br />
●建立完整的指令紀錄稽核機制,確保所有系統操作留存完整日誌且無法輕易清除<br />
●限制高風險工具的使用權限,對PowerShell、WMI等合法但易被濫用的工具實施嚴格管控<br />
●落實特權帳號管理制度,定期檢視管理權限使用情況並實施多因素驗證<br />
強化防禦迴避偵測能力<br />
●部署網路流量監控系統,及時發現異常掃描與探測行為<br />
●定期進行弱點掃描與修補作業,降低攻擊者可利用的入侵途徑<br />
●強化邊界防護機制,包含防火牆規則優化與入侵防禦系統更新<br />
<br />
蜜罐誘捕:<br />
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢<br />
<br />
Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成攻擊熱點<br />
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比78.81%、「遠端控制」服務攻擊占比18.00%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達66.20%。「遠端控制」服務亦有29.37% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。<br />
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。<br />
另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。而網通設備管理介面比例大幅下降主因為華為HG532存在遠端程式碼執行漏洞的CVE-2017-17215,遭攻擊次數大幅下降導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。<br />
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、特權提升、程式碼注入及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、Cisco IOS XE網通設備作業系統、GeoServer開放源碼伺服器、PHP及Ivanti資安軟體,顯示此類系統已成為高風險熱點。 <br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- 資通安全網路月報(115年1月)資安訊息保安警察第一總隊115-02-23115-02-23<div class="ed_model01 clearfix">
<div class="ed_txt">一、政策重點<br />
配合資通安全管理法修正,《資通安全法施行細則》、《資通安全維護計畫實施情形稽核辦法》、《資通安全通報應變及演練辦法》及《資通安全情資分享辦法》等4項子法,已於115年1月7日修正施行。《資通安全責任等級分級辦法》已於115年1月9日修正施行。《公務機關所屬人員辦理資通安全事項作業辦法》於115年1月15日修正施行。<br />
二、近期資安事件分享<br />
外部網站潛藏惡意指令,明碼資訊恐遭竊取<br />
機關人員於執行公務期間瀏覽外部企業網站,惟該網站已遭駭客植入惡意指令,使人員於瀏覽該網站時,被自動導向至其他惡意網站,進而觸發惡意程式背景下載,並誘導安裝執行。該惡意程式啟動後,將電腦資料打包上傳至中繼站,造成資訊外洩<br />
經驗學習(Lessons Learned) <br />
本案駭客利用竄改網站腳本方式,誘導使用者連線下載並安裝惡意程式。顯示端點防護機制應強化對異常指令特徵、程式載入及行為控管之偵測及阻擋機制。建議各機關評估採取下列強化防禦措施:<br />
1.應用程式下載及安裝管控:<br />
使用者下載及安裝應用程式應建立管控機制,並由機關內部管理政策統一規範,並加強使用者資安意識,避免下載不明或可疑程式。<br />
2.建立端點偵測及應變機制(EDR):<br />
持續監控端點設備之可疑行為,即時偵測駭客活動跡象,降低後續可能引發之資安風險。<br />
<br />
三、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共7萬2,743件(增加1萬1,163件),分析可辨識的威脅種類,第1名為資訊蒐集類(41%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵嘗試類(24%),主要係嘗試入侵未經授權的主機;以及入侵攻擊類(17%),大多是系統遭未經授權存取或取得系統/使用者權限。<br />
假冒行政訴訟通知之社交工程郵件攻擊<br />
經進一步彙整分析聯防情資資訊,發現近期駭客以「行政訴訟」為誘因,針對政府機關發動社交工程電子郵件攻擊。駭客於寄件人顯示名稱中標示為「行政訴訟起訴狀」,以營造具法律效力與急迫性假象,藉此提高收件者開啟郵件之意願;同時,駭客於郵件主旨中刻意使用收件者所屬機關名稱,並將郵件內容偽裝為「法院通知書」,包含案件編號、案件名稱等看似正式之資訊,以提升郵件可信度,進而引導收件者點擊郵件內所附連結,查閱所謂「相關資料」,進而下載並植入惡意後門程式(ValleyRAT)以達竊取電腦機敏資料目的,相關情資已提供各機關聯防監控防護建議。<br />
【事中通報應變】<br />
本月資安事件通報數量共84件,是去年同期的1.79倍,通報類型以非法入侵為主,占本月通報件數66.67%。本月份仍以接獲機關因安裝冒牌軟體以致植入惡意程式之通報最多,占總通報件數16.67%。近1年資安事件通報統計詳見圖2。<br />
(二)重要漏洞警訊<br />
警訊內容說明<br />
漏洞警訊<br />
類別<br />
監控攝影機研究人員發現利凌部分監控主機與監控攝影機型號分別存在作業系統指令注入(OS Command Injection)漏洞(CVE-2026-0854與CVE-2026-0855)。<br />
利凌監控主機與監控攝影機已通過身分鑑別之遠端攻擊者可注入任意作業系統指令並於設備上執行,請儘速確認並進行修補。<br />
嚴重程度:CVSS 8.8官方已提供安全公告,請參考官方?明儘速確認並採取相關緩解措施<br />
(CVE-2026-0854、CVE-2026-0855)<br />
應用程式研究人員發現QNAP NAS應用程式存在高風險安全漏洞,請儘速確認並進行修補。<br />
QNAP NASQfiling存在路徑遍歷(Path Traversal)漏洞(CVE-2025-59384),未經身分鑑別之遠端攻擊者可利用此漏洞讀取未授權之檔案或系統資料。<br />
嚴重程度:CVSS 8.1MARS(Multi-Application Recovery Service)存在SQL注入(SQL Injection)漏洞(CVE-2025-59387),未經身分鑑別之遠端攻擊者可注入並執行未授權指令。<br />
(CVE-2025-59384、CVE-2025-59387)官方已提供安全公告,請參考官方說明進行更新:(CVE-2025-59384)、 (CVE-2025-59387)<br />
集中式管理平台研究人員發現Trend Micro Apex Central存在遠端執行程式碼(Remote Code Execution)漏洞(CVE-2025-69258)。<br />
Trend Micro Apex Central未經身分鑑別之遠端攻擊者可促使系統載入惡意DLL檔案並執行任意程式碼,請儘速確認並進行修補。<br />
嚴重程度:CVSS 9.8官方已提供安全公告,請參考官方說明儘速確認並採取相關緩解措施。<br />
(CVE-2025-69258)<br />
<br />
已知遭駭客利用之漏洞<br />
郵件管理系統研究人員發現Cisco Secure Email Gateway (SEG)與Secure Email and Web Manager (SEWM)所使用之AsyncOS作業系統存在不當輸入驗證(Improper Input Validation)漏洞(CVE-2025-20393)。<br />
Cisco AsyncOS軟體在垃圾郵件隔離功能(Spam Quarantine) 啟用且可由網際網路存取時,未經身分鑑別之遠端攻擊者可利用此漏洞以root權限於受影響設備底層作業系統執行任意指令,該漏洞已遭駭客利用,請儘速確認並進行修補。<br />
嚴重程度:CVSS 10.0官方已提供安全公告,請參考官方說明儘速確認並採取相關緩解措施。<br />
( CVE-2025-20393)<br />
整合通訊研究人員發現Cisco整合通訊多項產品存在程式碼注入(Code Injection)漏洞(CVE-2026-20045)。<br />
Cisco整合通訊未經身分鑑別之遠端攻擊者可透過傳送特製HTTP請求至受影響設備以執行任意指令,進而提升至root權限。<br />
嚴重程度:CVSS 9.8該漏洞已遭駭客利用,請儘速確認並進行修補。<br />
( CVE-2026-20045)官方已提供安全公告,請參考官方說明儘速確認並採取相關緩解措施。<br />
警訊說明:<br />
「漏洞警訊」:為已驗證漏洞但尚未遭攻擊者大量利用,修補速度建議儘快安排更新。<br />
「已知遭駭客利用之漏洞」:已知有漏洞成功攻擊情形,建議即刻評估修補。<br />
<br />
四、國際資安新聞<br />
數十款 Chrome 擴充功能遭駭客攻擊,數百萬用戶面臨資料外洩風險<br />
(資料來源:The Hacker News)<br />
一項新的攻擊行動鎖定了多個知名的Chrome瀏覽器擴充功能,至少有35個擴充功能遭到入侵,導致超過260萬名使用者 面臨資料外洩及帳密遭竊的風險。該攻擊透過網路釣魚手法鎖定Chrome Web Store上的擴充功能開發者,利用其存取權限,將惡意程式碼植入原本合法的擴充功能中,以竊取使用者的Cookie及存取權杖。114年12月27日,網路安全公司Cyberhaven披露,攻擊者入侵了其瀏覽器擴展程序,並註入惡意代碼,與外部指揮與控制伺服器進行通訊,下載額外的設定檔,並將使用者資料外傳。這封釣魚郵件偽裝成來自 Chrome線上應用程式商店開發者支援團隊,聲稱擴充功能因違反開發者政策而面臨即將下架的風險,刻意營造高度急迫感。受害者會被重新導向至一個授權頁面,誘導他們授予惡意OAuth應用程式相關權限。<br />
<br />
廣泛使用的惡意擴充功能竊取ChatGPT和DeepSeek對話<br />
(資料來源:Security Boulevard)<br />
OX Security 的研究人員發現了兩款惡意擴充功能偽裝成合法工具,被不法分子用來竊取用戶的瀏覽資料以及他們與 ChatGPT 和 DeepSeek 等 AI 模型的對話。這兩款擴充功能分別是:ChatGPT for Chrome with GPT-5、Claude Sonnet & DeepSeek AI(使用者超過60萬)和AI Sidebar with DeepSeek, ChatGPT, Claude and more(使用者超過30萬)。這些擴充功能每30分鐘就會將專有原始碼、商業策略、個人識別資訊(PII)、機密公司通訊、完整的Chrome標籤頁URL、搜尋查詢等資訊洩露到遠端命令與控制(C2)伺服器。攻擊者偽裝成 AITOPIA的合法側邊欄擴展程序,利用其廣泛的權限即時監控和提取敏感資料。如果使用者卸載了某個擴充程序,惡意軟體會提示使用者安裝另一個擴充程序,從而持續存在。OX Security於114年12月29日通知Google有關惡意擴充功能的問題,Google於同年12月30日回應正在審查該問題。<br />
<br />
jsPDF 嚴重漏洞:駭客可透過產生的 PDF 檔案竊取機密資訊<br />
(資料來源:Bleeping Computer)<br />
此漏洞的編號為CVE-2025-68428 (CVSS: 9.2),用於在 JavaScript 應用程式中產生PDF文件的jsPDF,被發現存在一個嚴重漏洞,透過將本機檔案內容納入產生的文件中,進而竊取本機檔案系統中的敏感資料。該漏洞利用本機檔案包含和路徑遍歷漏洞,允許在jsPDF4.0之前的版本中,將未經過濾的路徑傳遞給loadFile方法。當使用者可控的輸入被當作檔案路徑傳遞時,就會出現此問題,導致jsPDF將檔案內容合併到產生的PDF輸出中。其他檔案載入方法亦受到影響,包括"addImage"、"html"和"addFont"。CVE-2025-68428已於jsPDF 4.0版中修復,透過預設限制檔案系統存取權限,並改為依賴Node.js權限模式來強化安全性。不過,Endor Labs的研究人員指出,該權限模式在Node 20中仍屬實驗性功能,因此建議使用22.13.0、23.5.0或24.0.0以上版本。<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資安週報-第 30 期(115/1/30 - 115/2/5)資安訊息保安警察第一總隊115-02-13115-02-13<div class="ed_model01 clearfix">
<div class="ed_txt"><strong>資安儀表板</strong><br />
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標<br />
<br />
<strong>事件通報:</strong><br />
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息<br />
無線網路設備亦可能遭惡意利用 衍生資安風險 <br />
本週總計接獲27件公務機關與特定非公務機關事件通報,公務機關非法⼊侵事件中以異常連線占多數,其中進一步查證,疑似為 Wi-Fi 無線分享器遭駭客入侵後,被植入惡意程式成為殭屍網路(Botnet)之一環。多數皆已針對該設備進行隔離處置與設定檢視,並持續加強相關連線行為之監控。<br />
建議將 Wi-Fi 無線分享器等網路基礎設備納入資訊資產盤點與資安管理範圍,定期檢視並更新韌體與安全設定,停用不必要之遠端管理功能並強化帳密管理,同時納入網路監控以偵測異常對外連線行為,並透過網路區隔降低設備遭入侵後之橫向影響風險,另建立設備建置與維運之資安檢核與查核機制,以確保相關防護措施持續落實。<br />
防護建議:<br />
除修補漏洞外,應:<br />
以攻擊為出發評估潛在風險,如:<br />
●無線分享器遭入侵成為殭屍網路節點<br />
●異常連線導致橫向移動與資料外洩風險<br />
針對潛在風險執行相應改善,如:<br />
●將無線分享器納入資訊資產盤點與管理範圍<br />
●定期更新韌體並停用不必要之遠端管理功能<br />
●建置網路流量監控以即時偵測異常連線行為<br />
●實施網路區隔與設備隔離降低橫向擴散風險<br />
聯防監控:<br />
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統<br />
防禦迴避居冠 攻擊整備與惡意執行雙雙攀升 <br />
本週資安聯防監控顯示,整體攻擊態勢呈現從初期偵測轉向更具威脅性階段的趨勢。與上週相比,「偵測刺探」階段從13.76%下降至11.42%,而「防禦迴避」則從15.35%上升至16.59%,成為,本週最主要的攻擊手法,顯示攻擊者正積極嘗試繞過既有防護機制。<br />
其次為「惡意執行」階段,從9.40%顯著提升至11.62%,反映攻擊者已成功植入惡意程式並開始執行破壞性操作。第三高為「攻擊整備」階段,從7.98%增加至11.18%,表示攻擊者正在為後續攻擊行動做準備。值得注意的是,「防禦迴避」階段攻擊者常採用關閉或清除指令紀錄、利用合法系統工具執行惡意命令等技術,企圖規避資安監控。<br />
此外,「維續存取」階段也從9.14%上升至10.26%,顯示攻擊者試圖在受害環境中建立長期據點。整體而言,本週監控數據顯示攻擊活動已從初期的偵測刺探階段,逐步進入到更具破壞性的執行與迴避階段,企業組織應提高警覺,強化縱深防禦能力。<br />
防護建議:<br />
建議機關採取下列防護措施:<br />
強化防禦迴避偵測能力<br />
●導入端點偵測與回應(EDR)解決方案,即時監控異常行為模式<br />
●強化指令紀錄稽核機制,確保所有系統操作留有完整軌跡<br />
●建立應用程式白名單政策,限制高風險工具的濫用<br />
●落實特權帳號管理,定期檢視並限縮管理權限範圍<br />
提升惡意執行防護<br />
●部署進階威脅防護系統,攔截已知與未知惡意程式<br />
●實施應用程式控制政策,防止未經授權的程式執行<br />
●定期更新防毒軟體與威脅情資,確保防護機制與時俱進<br />
強化防禦迴避偵測能力<br />
●建立24小時資安監控中心(SOC) ,即時回應安全事件<br />
●定期進行弱點掃描與滲透測試,主動發現潛在風險<br />
●強化員工資安意識訓練,降低社交工程攻擊成功率<br />
蜜罐誘捕:<br />
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢<br />
Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成攻擊熱點<br />
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比78.37%、「遠端控制」服務攻擊占比18.41%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達78.81%。「遠端控制」服務亦有18.00% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。<br />
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。<br />
另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。而網通設備管理介面比例大幅上升主因為Palo Alto Networks PAN-OS 中存在權限提升漏洞的CVE-2024-9474,遭攻擊次數大幅上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。<br />
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、特權提升、程式碼注入及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、Cisco IOS XE網通設備作業系統、GeoServer開放源碼伺服器、PHP及Atlassian Confluence Server,顯示此類系統已成為高風險熱點。<br />
<br />
資料來源:國家資通安全研究院資安週報重點節錄</div>
</div>
- LINE全程加密通訊存在弱點,可被用於訊息重送、表情符號洩露、假冒用戶資安訊息保安警察第一總隊114-11-21115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 在臺灣、日本、泰國,以及印尼受到廣泛使用的即時通訊軟體LINE,有研究人員針對專屬的全程加密(E2EE)機制Letter Sealing v2進行分析,結果發現,此機制存在嚴重弱點,恐導致數十億筆訊息外洩或是遭到濫用的情況。<br />
<br />
根據資安新聞網站Dark Reading報導,奧胡斯大學研究員Thomas Mogensen與Diego De Freitas Aranha揭露多個重大弱點,主要可被用於3種型態的攻擊,分別是:訊息重放攻擊、貼圖與網址預覽造成的明文洩露,以及冒充用戶的攻擊行動。為驗證上述發現,他們也在iOS裝置對LINE應用程式發動中間人攻擊(MitM)。兩名研究員將於12月11日,針對這項議題於歐洲黑帽大會(Black Hat Europe 2025)進行相關演說。<br />
<br />
由於LINE在臺用戶數達到2200萬,滲透率高達93%,使用者平均每天開啟應用程式多達14次,且有五成為重度使用者,平均每人會加入60個官方帳號,涵蓋零售電商、教育、媒體,以及餐飲等產業,是臺灣最具生活黏著度的通訊平臺,因此相關的資安弱點,在臺灣造成的影響,將會極為廣泛。<br />
<br />
究竟研究人員發現那些弱點?首先他們發現Letter Sealing v2的通訊協定採用無狀態(stateless)的設計,使得攻擊者能透過惡意伺服器,在任何時間重送已經存在的加密訊息,而有機會誤導對話內容的意義。Mogensen對此進一步說明,這樣的弱點能讓攻擊者在一週甚至是一年後,重送特定的訊息,儘管惡意伺服器無法掌握訊息的實際內容,然而,只要能夠重新傳送曾發出的加密訊息(ciphertext),可能造成對話內容混淆,並導致特定用戶洩露敏感資料。<br />
<br />
再者他們發現LINE的貼圖系統與網址預覽機制,也有可能造成明文資料外洩。一般而言,使用者在LINE輸入訊息的過程裡,應用程式會提示可用的貼圖,而這個機制是透過本機的字典比對而得,然而該字典會檢查裝置上是否有這些貼圖,並下載到電腦或行動裝置。所以實際上用戶輸入的文字還是會傳送到LINE的伺服器,並進行貼圖的傳遞;另一方面,用戶若是想要傳送連結,LINE就會顯示預覽內容,這代表伺服器也同樣會掌握完整的網址,假若網址帶有會議ID、密碼,或是憑證,就有可能隨之曝險。<br />
<br />
最後最危急的資安缺陷在於,是攻擊者能透過惡意伺服器及特定內容,加入任意聊天室冒充任何成員,不過研究人員並未透露更多細節。<br />
<br />
值得留意的是,研究人員向LINE通報相關發現,並得到確認,不過LINE目前僅提供有限的緩解措施,部分甚至沒有處理的計畫。針對這樣的現象,Aranha認為,根本問題在於LINE自行打造專屬加密通訊協定,這在密碼學是大忌,原因是開發人員在試圖著手打造的過程,往往會重現許多已知問題。他特別提及,特定國家的政府很可能會試圖利用LINE的資安弱點,危害臺灣用戶的安全。<br />
<br />
12月1日報導補充說明:<br />
<br />
針對奧胡斯大學研究人員的上述發現,LINE也進一步提出說明,他們表示,經由內部資安專家重新驗證研究人員的發現,指出本次找到的問題,都是在極端且不太可能發生的情況下,才會出現,這些情況包括:LINE伺服器遭到入侵,或是用戶通訊的過程出現中間人攻擊(MitM)。對於這些攻擊,LINE表示已採取多層防護措施因應,包括IDS與IPS偵測系統,以及嚴格的存取控管機制,因此該公司認為,實際發生的可能性極低。再者即使攻擊者成功利用這些弱點,用戶對話內容仍受到全程加密保護,攻擊者無法讀取內容。<br />
<br />
資料來源:iThome</div>
</div>
- LINE如何與詐騙集團攻防資安訊息保安警察第一總隊114-11-21115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 從這個授權釣魚運作流程來看,涉及的中間業者非常多,包括了合法的網域域名商、網站代管業者、甚至也有合法的CDN服務業者來分散流程,中間可能還有用來接受簡訊處理的業者,這些業者都以為自己處理的是正常、合法的內容,殊不知已經淪為詐騙產業鏈的一環。<br />
<br />
LINE一開始也是採取檢舉釣魚網站的做法,但後來發現找到的釣魚網址越來越多,無法有效阻止詐騙集團的釣魚行為。其中高達7成釣魚網站連結域名,來自同一個新加坡的域名商,因為在GDPR實施之後,域名商需要提供更透明化的資訊,LINE會監控這些可疑的域名,只要掛上網站,發現是與盜用LINE帳號有相關的釣魚網頁,就可以向域名商或CDN業者提出檢舉,要求下架。<br />
<br />
根據LINE觀察,一個釣魚網站域名,大概只存活約一天就會換新,改用別的網址來釣魚。域名商對於有顧客購買域名,沒有太大限制,詐騙集團可以購買、取得大量域名用來釣魚。<br />
<br />
雖然購買網域和代管主機都很簡單,但是切換網域名稱只需要幾秒鐘,而切換釣魚網頁主機,需要實際搬遷主機伺服器,相較比較花時間,因此詐騙集團雖然會不斷更換新的釣魚域名,但是背後的釣魚網頁伺服器,更換的頻率很低。<br />
<br />
<strong>釣魚網站主機IP特性和網頁程式碼客製化特徵,成為偵測關鍵</strong><br />
<br />
而這些釣魚網頁所在的主機,需要有實體IP才能對應到域名。LINE發現所監測的釣魚網站主機,來自香港特定業者,而代管主機所用的IP位址,來自同一批某家域名廠商倒閉後釋出的非洲IP,這就成了LINE用來偵測詐騙集團的其中一項特徵。<br />
<br />
不只根據IP和域名,從所監測的釣魚網頁HTML程式碼內容來分析,同一個釣魚IP會產生不同的釣魚網頁,甚至是不只是LINE授權釣魚,也有電商、物流等其他臺灣知名服務的釣魚網頁,這些釣魚網頁有一些共同的程式碼特徵。來自特定的釣魚網頁設計工具(Phishing Kit)或來自類似暗網釣魚網頁設計服務的成品。<br />
<br />
LINE每天會監控上百萬的可疑網址,只要從網址所對應的網頁的程式碼和錯誤代碼訊息,若有釣魚網頁設計工具的特徵,就可以很快的判斷出這是不是一個釣魚網頁。<br />
<br />
除了釣魚網站之外,在這個授權釣魚流程中,還有一個重要環節是用來取得移轉後帳號的手機裝置,詐騙集團要取得帳號,自己手上也得有一個用來移轉帳號的裝置,早期,詐騙集團使用虛擬機器來模擬用戶手機環境來註冊,後來,LINE發現了這個行為後,阻擋了透過虛擬機器的申請,迫使詐騙集團開始購買真實手機來接受帳號轉移。<br />
<br />
根據LINE的觀察,用來申請可疑帳號移轉用的手機,從過去的虛擬機器模擬,曾有一度改用安卓手機,到了現在,詐騙集團主要使用最新款的iPhone手機來申請移轉,來避開LINE對於VM申請作業的管制。<br />
<br />
從釣魚網域的檢舉、釣魚網站可疑IP的辨識、海外帳號移轉申請的複雜化、虛擬機器模擬用戶的管制,LINE採取了多種做法,與詐騙集團展開了多次的攻防。<br />
<br />
資料來源:iThome</div>
</div>
- 從授權釣魚流程架構來看,涉及多方合法中間業者資安訊息保安警察第一總隊114-11-21115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 從這個授權釣魚運作流程來看,涉及的中間業者非常多,包括了合法的網域域名商、網站代管業者、甚至也有合法的CDN服務業者來分散流程,中間可能還有用來接受簡訊處理的業者,這些業者都以為自己處理的是正常、合法的內容,殊不知已經淪為詐騙產業鏈的一環。<br />
<br />
LINE一開始也是採取檢舉釣魚網站的做法,但後來發現找到的釣魚網址越來越多,無法有效阻止詐騙集團的釣魚行為。其中高達7成釣魚網站連結域名,來自同一個新加坡的域名商,因為在GDPR實施之後,域名商需要提供更透明化的資訊,LINE會監控這些可疑的域名,只要掛上網站,發現是與盜用LINE帳號有相關的釣魚網頁,就可以向域名商或CDN業者提出檢舉,要求下架。<br />
<br />
根據LINE觀察,一個釣魚網站域名,大概只存活約一天就會換新,改用別的網址來釣魚。域名商對於有顧客購買域名,沒有太大限制,詐騙集團可以購買、取得大量域名用來釣魚。<br />
<br />
雖然購買網域和代管主機都很簡單,但是切換網域名稱只需要幾秒鐘,而切換釣魚網頁主機,需要實際搬遷主機伺服器,相較比較花時間,因此詐騙集團雖然會不斷更換新的釣魚域名,但是背後的釣魚網頁伺服器,更換的頻率很低。<br />
<br />
<strong>釣魚網站主機IP特性和網頁程式碼客製化特徵,成為偵測關鍵</strong><br />
<br />
而這些釣魚網頁所在的主機,需要有實體IP才能對應到域名。LINE發現所監測的釣魚網站主機,來自香港特定業者,而代管主機所用的IP位址,來自同一批某家域名廠商倒閉後釋出的非洲IP,這就成了LINE用來偵測詐騙集團的其中一項特徵。<br />
<br />
不只根據IP和域名,從所監測的釣魚網頁HTML程式碼內容來分析,同一個釣魚IP會產生不同的釣魚網頁,甚至是不只是LINE授權釣魚,也有電商、物流等其他臺灣知名服務的釣魚網頁,這些釣魚網頁有一些共同的程式碼特徵。來自特定的釣魚網頁設計工具(Phishing Kit)或來自類似暗網釣魚網頁設計服務的成品。<br />
<br />
LINE每天會監控上百萬的可疑網址,只要從網址所對應的網頁的程式碼和錯誤代碼訊息,若有釣魚網頁設計工具的特徵,就可以很快的判斷出這是不是一個釣魚網頁。<br />
<br />
除了釣魚網站之外,在這個授權釣魚流程中,還有一個重要環節是用來取得移轉後帳號的手機裝置,詐騙集團要取得帳號,自己手上也得有一個用來移轉帳號的裝置,早期詐騙集團使用虛擬機器來模擬用戶手機環境來註冊,後來,LINE發現了這個行為後,阻擋了透過虛擬機器的申請,迫使詐騙集團開始購買真實手機來接受帳號轉移。<br />
<br />
根據LINE的觀察,用來申請可疑帳號移轉用的手機,從過去的虛擬機器模擬,曾有一度改用安卓手機,到了現在,詐騙集團主要使用最新款的iPhone手機來申請移轉,來避開LINE對於VM申請作業的管制。<br />
<br />
從釣魚網域的檢舉、釣魚網站可疑IP的辨識、海外帳號移轉申請的複雜化、虛擬機器模擬用戶的管制,LINE採取了多種做法,與詐騙集團展開了多次的攻防。<br />
<br />
資料來源:iThome</div>
</div>
- 換角度思考如何打詐?LINE從提高帳號竊取難度下手資安訊息保安警察第一總隊114-11-21115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 2024年授權投票釣魚通報事件頻傳,詐騙集團非常猖獗,為了減少這類帳號社交攻擊,LINE思考換一個角度來,思考能不能提高詐騙集團竊取帳號的難度,來降低民眾受害的情況。<br />
<br />
但是真正的困難是,一方面要阻止詐騙集團,另一方面還不能影響到正常的用戶,LINE對授權投票釣魚的運作,進行了系統性的研究,繪製出一個架構圖,來呈現出使用者遭誘騙點擊了投票釣魚網站後,到詐騙集團引誘取得使用者轉移帳號的過程。<br />
<br />
在授權投票釣魚運作架構中,使用者拿到的釣魚投票連結網址,來自某些域名商提供的網址,打開連結後,會將使用者導向部署在網站代管業者上的釣魚網站伺服器。設計成投票活動的釣魚網頁,要求使用者先登入LINE帳號才能投票,使用者不疑有他開始進行登入授權作業,輸入LINE帳號密碼,這時候詐騙集團的釣魚網站取得這組帳號密碼後,會用話術告訴使用者,等等會收到登入驗證的簡訊。<br />
<br />
其實是釣魚網站暗中用這組使用者輸入的帳密,轉而登入LINE帳號驗證伺服器,不是要求登入,而是偽裝成使用民眾,要求進行帳號轉移,轉移到另一隻詐騙集團的手機上。<br />
<br />
為了轉移帳號,除了帳號密碼,LINE還會啟動雙因素驗證,透過簡訊來進行第二道驗證。此時LINE帳號伺服器會發送簡訊到使用者本人的手機上,希望本人來驗證。但是,釣魚網站事先透過話術來說服使用者,這個驗證是為了「登入」,使用者不知道其實自己是在進行「帳號轉移」的行為。<br />
<br />
因為所有與帳號轉移的說明,都在釣魚網站背後進行,提供帳號的使用者,以為自己是為了投票而驗證,殊不知這是為了轉移帳號的竊取行為。<br />
<br />
所以使用者不疑有他的輸入驗證碼到釣魚網頁,詐騙集團取得這組驗證碼,就用來通過帳號轉移的雙因素驗證程序(密碼與簡訊驗證),成功將使用者帳號轉移到另一隻手機上。<br />
<br />
LINE所調查出來的這個授權投票釣魚流程,詐騙集團用的是正確的帳號密碼,也獲得雙因素驗證的簡訊驗證碼,看起來就像是合法的使用者帳號轉移過程。直到使用者發現自己的帳號被盜取,提出了檢舉通報。<br />
<br />
資料來源:iThome</div>
</div>
- 深入授權投票釣魚運作流程,LINE臺灣如何找出阻斷詐騙活動的關鍵資安訊息保安警察第一總隊114-11-21115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> LINE臺灣資安長劉威成指出,分析過去案件發現,許多帳號盜用發生在LINE平臺外的環境。為了偵測LINE帳號遭到外部網路釣魚鎖定的情況,LINE從2023年開始監控網路廣告上的投資詐騙,2024年則轉向分析釣魚網站,尤其深入研究2024年最常發生的投票釣魚。<br />
<br />
為了阻止使用者帳號遭到盜用,LINE每天會偵測網路上的廣告內容,是否意圖誘導使用者加入LINE帳號。發現了這類廣告後,LINE就會通報廣告平臺來檢舉。每一天掃描的網路廣告連結數量超過百萬個。<br />
<br />
2024年,在政府強力要求下,一些平臺商配合下架了大量投資型廣告,詐騙集團便開始改變竊取帳號的手法,轉向了「釣魚」廣告,其中一種常見的盜取帳號手法就是投票釣魚。<br />
<br />
<strong>2024年投票釣魚手法暴增,帳號遭盜通報數量是2023的5.5倍</strong><br />
投票釣魚手法是詐騙集團舉辦各式各樣的假投票活動,像是抗癌活動醫生票選,選美比賽票選、台灣旅遊活動票選、小孩舞蹈比賽票選,新人活動票選等,提供連結要求民眾參加,民眾若不疑有他點開連結,就進一步要求民眾用LINE帳號登入來投票,詐騙集團會開始透過種種社交工程的話術,來誘騙民眾會收到「投票驗證碼」,提供驗證碼給投票釣魚網站後,就可以完成投票,但其實,這組驗證碼是LINE帳號轉移的驗證碼。<br />
<br />
<strong> 當受騙民眾提供了驗證碼,就等於無意間將自己的帳號控制權,授權到另一臺詐騙集團控制的手機</strong>,詐騙集團再進一步變更這個帳號的帳密,導致原始用戶無法用原本的帳密或手機登入,詐騙集團透過這樣的手法,來取得所竊取帳號的控制權。<br />
<br />
這是2024年最常見的投票釣魚手法,不少人因為這個活動連結來自親友分享,而點開了釣魚投票而上當。根據LINE臺灣統計,民眾來通報自己帳號遭到盜用與網路詐騙的數量,在2024年足足是2023年的5.5倍,其中大宗就是投票釣魚手法。<br />
<br />
LINE主要透過用戶檢舉,來找出可能遭詐騙集團濫用的帳號。由於檢舉量龐大,一方面透過機器學習分析檢舉內容特徵,另一方面也搭配人工檢視,綜合判斷哪些帳號有高度可疑。<br />
<br />
可是就算找到了可疑帳號,LINE也無法直接給予停權。因為消費者保護的《通訊軟體定型化契約應記載與不得記載事項》規定,除非有犯罪行為,甚至得先通知帳號當事人改善而沒有改善的情況下,才能給予帳號停權。就算是高度可疑的帳號,LINE還是得通知這個帳號的當事人,給予對方說明。<br />
<br />
從2023年5月到2024年10月底,一年半來,LINE最後只處置了1萬1千多個涉詐帳號,疑似詐騙帳號的使用者經常辯解說,自己只是分享投資經驗而沒有犯罪,來避免帳號遭到停權,LINE當時也無權直接關閉這些帳號,直到打詐新四法通過,才能多了一種管道,在相關執法機關要求下直接停權。<br />
<br />
資料來源:iThome</div>
</div>
- LINE如何防治釣魚和帳號盜用資安訊息保安警察第一總隊114-11-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 公私產業聯手通報可疑帳號,只是LINE數位安全網的其中一環,LINE每天掃秒百萬筆網址,來偵測冒用LINE名義的釣魚網站,快速通報相關窗口。<br />
<br />
像是透過國際反釣魚組織通報機制來下架釣魚網域,或是主動通報主機代管業者來下架釣魚網站所在的伺服器或網域,LINE也會通報給Google列入Chrome瀏覽器的攔阻清單,還會與在地TWNIC、三大電信業者合作交換這些反詐情資。<br />
<br />
累計至今,LINE下架超過了1,000 個釣魚網域,偵測釣魚網域到下架的時間,從原本平均長達一周的時間,現在可以縮短到只要24小時,就可以完成。<br />
<br />
<strong>對外積極聯防,對內加強帳號盜用的防範</strong><br />
<br />
不只對外積極聯防,LINE對內早就積極採取多種防範使用者帳號遭盜用的機制,避免淪為網路詐騙之用。<br />
<br />
LINE臺灣資安長劉威成指出,分析過去案件發現,許多帳號盜用發生在LINE平臺外的環境。為了偵測外部網路釣魚鎖定LINE帳號盜用的情況,LINE從2023年開始監控網路廣告上的投資詐騙,去年轉向分析釣魚網站,尤其深入研究2024年最常發生的投票釣魚。<br />
<br />
LINE製作出授權投票釣魚系統研究架構,呈現出使用者遭誘騙點擊了投票釣魚網站後,到詐騙集團引誘取得使用者轉移帳號的過程。<br />
<br />
研究後發現,從申請帳號移轉的來源路徑下手最有效。所以LINE陸續累積出一套涵蓋帳號盜用事前、事中和事後的防範機制。<br />
<br />
事前除了每天掃描百萬筆網址和通報下架之外,更關鍵的做法就是,<strong>禁止海外IP網址透過簡訊進行臺灣帳號的移轉</strong>,只開放臺灣IP,也強化簡訊提醒使用者。<br />
<br />
事中防範對策則是針對剛移轉的帳號,<strong>禁止在短期內變更使用者資訊,避免盜用者變更密碼</strong>,使用者只要及時發現,還有機會搶回帳號。<br />
<br />
若不幸遭到盜用,<strong>LINE也在移轉帳號的驗證碼簡訊中,增加了IP資訊</strong>,一旦發現遭到盜用,可快速提供警方調查之用。另外也新增加了帳號取回功能,讓使用者第一時間取回被盜帳號。<br />
<br />
這些做法明顯降低了用戶帳號遭盜用的風險,不過劉威成也觀察到,詐騙集團的做法也開始改變,像是轉而積極取得大量而且分散的臺灣IP,來申請帳號移轉,避免遭到LINE系統的攔阻。<br />
<br />
劉威成認為,可以從防詐層次,提升一步從最根本的數位治理角度來改善問題。<br />
<br />
像是建立快速分享機制打擊詐騙基礎設施,透過第三方通報平臺和下架機制來促進跨組織的合作,或是採取更多降低行政與法遵成本的做法,如發展開放型第三方驗證機制等。<br />
<br />
從對內多種強化帳號保護的防範,到對外的公私協力產業聯防,都是為改善更安全的外部環境。<br />
<br />
LINE臺灣公共事業副總林若凡認為,還要加上提高用戶的「防詐抵抗力」,像LINE現在投入更多宣導,要來增強用戶對于詐騙的認知和理解。「<strong>從對抗網路不實資訊,到詐騙問題,這永遠不會是一個單點可以解決的問題。</strong>」<br />
<br />
資料來源:iThome</div>
</div>
- 封鎖可疑帳號的兩難資安訊息保安警察第一總隊114-11-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 去年11月,LINE臺灣更提供了一套自動化異常帳號通報和處置系統。這套系統由第三方電腦公會負責維運,開放給合作的政府單位、執法單位、產業協會或民間機構等獲得信任的節點來通報,做到了1秒完成可疑帳號通報作業,全年無休24小時通報不打烊的成果。<br />
<br />
過去LINE有一套帳號檢舉機制,可讓使用者檢舉像是疑似詐騙行為的帳號,但是,要用來對涉詐帳號停權,是一件高度依賴人工,而且相當漫長的作業,光是要求檢舉當事人驗證自己的身分就相當費工。<br />
<br />
尤其像LINE這樣的平臺業者過去面臨了兩難,一方面消保法要求業者不能隨便停用帳號,得經過一番查證作業,另一方面犯罪偵查和預防又希望能盡快停用詐騙的帳號,直到去年9月,打詐專法的訂定,才提供了避風港條款。<br />
<br />
因為在消費者保護的《通訊軟體定型化契約應記載與不得記載事項》規定中,除非有犯罪行為,甚至得先通知帳號當事人改善而沒有改善的情況下,才能給予帳號停權。就算是高度可疑的帳號,LINE也無法直接停用,還得先通知當事人。<br />
<br />
從2023年5月到2024年10月底,一年半來,LINE只處置了1萬1千多個涉詐帳號,疑似詐騙帳號的使用者經常辯說,自己只是分享投資經驗而沒有犯罪,來避免帳號遭到停權。<br />
<br />
資料來源:iThome</div>
</div>
- 因應大規模LINE帳號停權計畫的準備資安訊息保安警察第一總隊114-11-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 在大規模停權計畫啟動之前,LINE臺灣公共事務副總經理林若凡表示,LINE非常小心翼翼,甚至可以說是,膽戰心驚地進行所有準備工作。<br />
<br />
若是發生了大量誤封事件,相當考驗客服團隊的能力,LINE不只訂定了詳細的執行時程表,還有一整套的應變劇本。另一方面,再加上考量帳號封鎖後,用戶可能一段時間後才會客訴的延遲效應,若是誤封事件少,停權客訴案件的申訴,可能被龐大的日常客服事件所淹沒,在一段期間內,要求客服團隊會特別留意這項打詐停權專案的相關申訴,優先處理。<br />
<br />
不只被動等待使用者透過客服反應,在停權計畫執行期間,LINE媒體團隊也特別留意網路社群和媒體輿論,像是觀察社群平臺是否出現LINE帳號無法使用的訊息。<br />
<br />
因為要停權7.3萬個帳號,擔心詐騙集團滋事,刑事局也指示最近的派出所,加強到LINE總部巡邏。<br />
<br />
內湖分局港墘派出所接到派令後,當天下午所長就帶人來勘查環境,很快就在出入口立牌設立了巡邏點,保證一旦有事,最快時間就會抵達。<br />
<br />
LINE設立了一個工作小組,每天向高層回報當天客訴帳號不能用的數量,平時一天只會有數起這類客訴,若突然暴增,出現大量客訴,就會立即中斷後續分批停權作業。<br />
<br />
若有誤封帳號的情況,刑事局有權在查證後,通知平臺業者恢復帳號。在這次專案中,刑事局也提供了一個專用申訴信箱,作為官方的統一回應窗口。一旦LINE客服接到申訴,只需告訴使用者,可以透過這個刑事局信箱來查證,刑事局查證後,就會通知LINE恢復該帳號的權限。<br />
<br />
在帳號停權執行期間的帳號客訴最終不到一百件,經由刑事局查證後,最後需要恢復權限的只有1名,這也代表了刑事局這批高風險帳號的資料篩選準確度非常高,很精準地阻斷了詐騙集團所用的帳號。<br />
<br />
這是LINE臺灣公私協力、聯手打詐的成果之一,統計從2023年的5月到今年9月,LINE成功處置了超過11萬個涉詐帳號,包括了這次刑事局大規模停權專案的7.3萬個異常帳號。<br />
<br />
資料來源:iThome</div>
</div>
- LINE帳號異常更換門號暴露了詐騙行為模式資安訊息保安警察第一總隊114-11-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 刑事局歸納,詐騙集團可能有一套快速更換門號的行為模式,隨即要求三大電信業者盤點出符合此模式的關聯門號來比對,彙整出多達4萬5千多個高風險門號。<br />
接著刑事局找來多家臺灣知名平臺業者共享這批可能用於詐騙的門號情資,說明如何發現這些高風險門號,要求業者進一步清查各自平臺上,與這批高風險門號有關的可疑帳號,這是LINE參與這波大規模停權行動的開端。<br />
LINE很快就展開行動,分析官方依法提供的高風險門號資料。因為電信門號是稀缺資源,往往會回收再使用,LINE馬上遇到第一個挑戰是,同一個門號可能很多人用過,不容易比對出關聯帳號,希望刑事局能進一步標記出高風險期間,來聚焦更精確的比對範圍。<br />
刑事局專案小組很快標記出每一個門號的高風險期間,再次清洗後,又排除了1千多個門號。<br />
因為LINE內部有一套嚴格的用戶資料存取規範和操作環境要求,凡是要存取到用戶資料的行為,得經過一定審查和核可流程,而且只能日本總部的環境中才能進行。<br />
雖然LINE已有一套現成的檢舉異常帳號的人工下架作業機制,但要從數萬個門號來比對出帳號,需要批次或自動化操作方式,才能更有效率。<br />
從四月取得高風險門號,花了1個多月,在LINE臺灣與日本總部合作下,花了一番工夫,合規地在最小風險考量下,從四萬五千個門號中,依據高風險期間的限制,找出了7.3萬個異常LINE帳號。<br />
<br />
<strong>採取金絲雀策略分批停權,降低誤封衝擊</strong><br />
為了預防詐騙,在刑事局要求下,LINE決定將這批高風險帳號停權,但不是一口氣全面下架所有帳號。因為LINE在臺灣普及率超過9成,對於新版發布都更為審慎。每當要釋出一個新版本,會採取金絲雀部署策略(Canary Deployment),先部署給少量用戶來測試,若有出錯,可以馬上中斷後續部署,避免災情擴大。<br />
LINE考慮到這一批高風險的帳號,可能有誤封到正常,非詐騙帳號的情況,決定同樣採取金絲雀部署的策略,分批進行停權,分散在五月底到六月初之間執行。<br />
LINE資安團隊也訂定了一個詳細的分批停權計畫,哪一天要封鎖多少帳號,這些帳號符合哪些條件。也評估若有1%出錯率,可能影響的人數規模,來推估客服部門的處理量,來規畫每一批停權的規模。LINE也同步通知刑事局,讓警方掌握當天有多少帳號遭到封鎖。<br />
<br />
資料來源:iThome</div>
</div>
- LINE如何從源頭斬斷詐騙鏈條資安訊息保安警察第一總隊114-11-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 刑事局與LINE聯手,分析了數千個詐騙帳號的資料,歸納出了4萬5千隻高風險的電話門號,再進一步排查出了7萬3千多個涉詐帳號。<br />
<br />
根據去年9月通過的打詐新四法,刑事局可以依法要求LINE,對這批高風險帳號停權,等於關閉了許多投資詐騙活動用的溝通群組,從源頭阻斷了詐騙集團用來行騙的管道。<br />
<br />
LINE是第一家與刑事局聯手展開大規模停權的平臺業者,但不是唯一一家,刑事局也與其他平臺共享情資來聯防,就是要盡可能找出不同平臺上的詐騙帳號來阻止。<br />
<br />
刑事局首度公布了這個「以數據為引導,以合作為基石」跨業聯防模式的成果,不只是限縮了詐騙集團濫用網路平臺的範圍,更可以切斷詐騙集團的犯罪鏈條。<br />
<br />
LINE如何找出7萬3千個高風險帳號?<br />
如何一口氣找出這麼多的高風險帳號?要從今年4月說起,這項官民合作行動早默默地展開。<br />
<br />
過去兩、三年來,網路詐騙事件暴增,臺灣帳號盜用的情況也一年比一年嚴重,LINE觀察自家客服資料,2024年一整年用戶反映帳號盜用的通報數,暴增到前一年的5.5倍之多,LINE更推估,2025年,帳號盜用的通報災情可能再增加5成。詐騙集團更是猖獗地到處收購LINE帳號,開價高達數千元,就是要用來行騙。<br />
<br />
所以今年初刑事局成立專案小組分析了數千個用於詐騙的帳號註冊資料後,發現了一個可疑的模式。許多遭通報盜用的帳號,來自同一群重複的電話門號,專案小組進一步向電信業者查證,竟然有許多門號的持有人名重複,甚至有200個門號曾出現在同一個人名下。<br />
<br />
根據電信法規規定,每人最多同時擁有5個門號,而且,更換門號需要負擔費用,一般人正常使用情況下,無法同時持有上百個門號。這批可疑門號的用戶,不斷更換門號,甚至一天可能更換數十次門號,同一人名下,才能取得這麼大量的門號。<br />
<br />
資料來源:iThome</div>
</div>
- 解析韓國政府資料中心大火三項關鍵疏失資安訊息保安警察第一總隊114-10-30115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 今年9月底,韓國國家資訊資源管理院(National Information Resources Service,NIRS)的資料中心發生嚴重的火災,導致韓國政府將近1/3資訊服務系統停擺,還造成大量公務資料損毀。<br />
<br />
雖然韓國官方尚未提出正式調查報告,不過從目前官方訊息與各界評論,我們可將這次火災事故,歸因於3項顯而易見的疏失,這些疏失彼此連環相扣,共同導致嚴重後果。<br />
<br />
第1層疏失,是逾期使用UPS鋰電池,若依原廠保固週期定時汰換電池,或許根本不會發生這起火災。<br />
<br />
第2層疏失,是NIRS引進基於鋰電池的UPS,但未同步採取足以因應鋰電池風險的資料中心架構與維運措施,以致鋰電池失火時,未能有效控制災情。<br />
<br />
第3層疏失,是NIRS備份備援機制不足,當大田資料中心因火災而關閉服務時,未能由備援系統及時接替,或透過備份迅速還原。<br />
<br />
前述3個環節,若有其一能發揮作用,便不致造成今日這般嚴重後果。現實中這3層機制卻是接連失效,最終釀成這起導致韓國政府1/3資訊服務癱瘓、遲遲未能恢復的事故,<br />
<br />
<strong>電池逾期使用</strong><br />
<br />
這次火災起火源,是1組LG Energy Solution(LGES)製造的鋰電池,依韓國行政安全部說法,LGES是在2012到2013年間為大田資料中心的UPS提供鋰電池,這些電池早已超過原廠10年保固期,原廠雖曾建議更換,但這些電池還是在今年6月通過NIRS檢查,並繼續使用,最終讓老化的鋰電池釀成巨災。<br />
<br />
事實上,NIRS逾期使用設備是個老問題,2023年時便曾因此引發嚴重事故。韓國審計監察院(Board of Audit and Inspection,BAI)在9月29日發布的報告指出,2023年11月發生大規模網路故障,導致189個政府行政資訊系統癱瘓的事故,便是NIRS的路由器老化失效造成。而BAI將逾期使用設備的原因,歸因於預算問題,以致NIRS在2022年調整了關鍵IT設備的汰換週期,將原本的4至5年延長到6至9年,若以舊標準為基準,NIRS恐有1/3設備都已逾期使用。<br />
<br />
<strong>資料中心因應鋰電池風險能力不足</strong><br />
<br />
此次事故發生之初,許多人都認為資料中心UPS不應使用鋰電池。但事實上,鋰電池在當前資料中心UPS架構已有相當比重,而且仍在迅速擴大。依市調機構Frost & Sullivan兩年前的資料,鋰電池在資料中心UPS電池中的市場份額,在2020年就已有15%,在2025年將成長到38.5%。<br />
<br />
挾著體積小、能量高、壽命長、維護相對簡單等優勢,資料中心UPS使用鋰電池已是難以逆轉的趨勢,火災風險疑慮可能會暫時減緩某些單位引進鋰電池的腳步,例如在大田火災事故的同一天稍早,英國網路服務營運商Openreach便發布通知,要求承租的通訊業者移除交換機房中的鋰電池,只允許使用鉛酸電池。<br />
<br />
但AI應用對於高容量、高密度的需求,最終還是會促使鋰電池在UPS應用中的持續擴大。<br />
<br />
既然鋰電池的應用不可避免,因此,關鍵便在於資料中心的架構能否承受鋰電池失效的風險。回顧過去5年來,全球已經發生過至少3起資料中心鋰電池失火的嚴重事故,包括2021年3月歐洲雲端服務商OVHcloud斯特拉斯堡(Strasbourg)資料中心火災,韓國SK集團C&C板橋資料中心在2022年10月的火災,還有2023年3月法國Maxnod資料中心火災等。因而如何有效控制鋰電池風險,採取適當預防對策,也成為近年來資料中心安全的一大重點。<br />
<br />
但如同韓國總統李在明的質疑,不過兩年多前,韓國才發生SK資料中心鋰電池失火、影響數百萬電信用戶的前例,當時韓國政府內外曾有過許多強化資料中心鋰電池使用監管的討論,卻顯然未帶來實質改變,NIRS依然重蹈覆轍。<br />
<br />
NIRS大田資料中心的UPS配置架構,缺乏因應鋰電池的物理與熱隔離設計——UPS與伺服器設於同一機房,鋰電池距伺服器機架僅60公分,缺乏可以減緩熱傳播的屏蔽機構,無法避免鋰電池失火後的災情蔓延。<br />
<br />
美國電池儲能系統製造商EticaAG對此的評論是:這是一個高科技的基礎設施,安全容限卻很低的典型案例。<br />
<br />
除此之外,外界也質疑NIRS的承包商執行更換鋰電池作業時,可能沒有遵照標準的斷電程序。<br />
<br />
<strong>效能不彰的備份備援機制</strong><br />
<br />
在這起事故中,即便電池老化、資料中心失火損毀,如果NIRS的備份備援措施得當,仍能依靠這道最後防線維持線上服務的存續,或是短期內恢復服務,不致對終端用戶造成嚴重衝擊。<br />
<br />
舉例來說,1年前的2024年9月10日,阿里雲新加坡資料中心也發生一起鋰電池爆炸起火事故,雖然30多個小時後才撲滅,但阿里雲成功透過備援機制,即時遷移高可用性雲端服務,將對用戶的影響控制在較低程度。<br />
<br />
但這次韓國大田資料中心事故中,除了G-Drive外,數百項服務都依重要性分別建置備援、每日或每月備份,卻未能實現服務不中斷、或短期恢復服務的目標。即便是列為最高優先、短暫中斷就會造成重大衝擊,理應透過備援機制維持服務不中斷的第一級系統,頭3天也只能復原其中一半(38個中的21個),顯示備援措施沒有發揮應有作用,更遑論其他優先度較低的系統了。<br />
<br />
這次受影響的647個系統中,除了完全損毀的96個需要花費較長時間重建外,其餘系統都只是暫時關閉,並未直接受損,理應可在短時間內重啟服務,但事故發生迄今已過3週時間,仍只有50%左右的系統復原,以現代資料中心關鍵服務的還原時間目標(RTO)標準來看,是不合格的表現,也暗示了實際受損情況,可能比官方公開訊息顯示的更為複雜。<br />
<br />
韓國官方其實早已注意到這個問題,審計監察院(BAI)去年的調查報告就指出,NIRS的備援與冗餘措施不足,指示NIRS為所有1級或2級高優先度系統建置災難復原系統,但這項要求顯然並未獲得落實。<br />
<br />
<strong>缺乏保護的關鍵服務G-Drive</strong><br />
<br />
大田資料中心在備份備援機制方面最大的問題,在於G-Drive這項關鍵服務,居然沒建置任何外部備份,脆弱的程度讓人難以想像。<br />
<br />
G-Drive這類雲端磁碟服務的後臺底層,應該是大型的儲存叢集,具備承受個別儲存裝置或節點失效的冗餘能力,但無法抵禦火災這類可能涵蓋整個機房或站點的事故,原則上必須搭配遠端複製(Remote Replication),定期將資料複製到異地站點作為備份或備援,最不濟也可透過磁帶備份,再將磁帶保存於隔離機房或建築,從而可在機房或站點層級事故中,保有可用於復原的複本,但是G-Drive在這方面完全付之闕如。<br />
<br />
韓國官方提出的解釋,如G-Drive容量過大、速度過慢,以致無法備份等理由,在我們看來都是不成立的。G-Drive這次損失的858 TB資料,無論以現在或2017年這套系統剛建置時的標準來看,頂多只是中等規模,並沒有大到無法備份的程度,事實上,對許多大型企業或服務商而言,PB等級的資料量都能實施備份。<br />
<br />
就算使用效率較低的磁帶進行備份,以目前最新、每卷18TB容量的LTO-10磁帶計算,不到50卷磁帶就能容納這858TB資料,若回推到8年前這套系統建置之初,當時的LTO-8磁帶也只需70餘卷就能容納800多TB資料(而且當時G-Drive總容量應遠低於此)。另外中大型磁帶櫃也能透過多讀寫頭同步作業,提供每小時數十TB的資料吞吐能力,只要制定好分批、分階段的備份計畫,將800多TB資料備份到磁帶是可行的。若使用效能更高、基於磁碟、整合了重複資料刪除功能的備份儲存設備,還能更有效率地處理備份工作。<br />
<br />
我們推測G-Drive未建置備份的原因,應該不是技術因素,有可能是建置之初,在經費有限與緊迫時程的雙重壓力下,尚未建置好備份機制,就被迫匆匆啟用所致。而後在營運過程中,又受預算限制與官僚慣性的影響,遲遲未能補上缺乏備份這個漏洞,最終造成機房失火、8年份資料全毀、無法復原的後果。<br />
<br />
<strong>亡羊補牢的措施</strong><br />
<br />
事發的這幾週,已有多位專家與機構針對韓國這次的資料中心火災事故,提出種種改善建議,我們總結起來,可以歸納為這兩點:<br />
<br />
首先是資料中心的安全設計,必須要因應鋰電池的引進而調整。<br />
<br />
在法規與政策上,可參照建築儲能系統的固定式鋰電池安全規範(如美國NFPA 855標準),規範資料中心的鋰電池應用,明確規定鋰電池安裝、使用、檢查與壽限管理,承包商與相關人員也須接受管理與處理鋰電池的培訓。<br />
<br />
在實務上Uptime公司建議應避免採用分散式UPS架構(即將電池分散配置在個別機架內),Everest Group機構、EticaAG、Uptime等廠商都強調隔離鋰電池的必要性,也就是將電池集中設置於獨立防火區域加以隔離,隔離區域有足夠的耐火極限,與其他設備保持足夠安全距離,並配備即時電池監控系統,以及引進針對鋰電池的專用滅火系統。目前市場上已有一系列針對鋰電池的防火抑制技術與產品,例如浸沒式電池技術或持續冷卻系統,中和有毒氣體的系統等。<br />
<br />
其次是資料中心關鍵服務的分散化。有鑑於大田資料中心1間機房失火,即導致數百項政府關鍵服務中斷,凸顯了集中式設施的弱點,如IDC便認為集中式設施雖能帶來經濟規模效益,但風險也集中,而分散式架構則能增強彈性並減少單點故障,建議分散資料中心位置,以降低區域風險,並結合模組化與移動式資料中心技術,來提供靈活配置與快速復原能力。<br />
<br />
總的來說,這次事故儘管衝擊巨大,但我們應該學到教訓,並將其視為重新檢視資料中心架構的契機,以迎接將全面到來的鋰電池UPS時代。<br />
<br />
資料來源:iThome</div>
</div>
- 韓國國家資料中心大火善後與究責資安訊息保安警察第一總隊114-10-30115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 接下來幾天,受影響的647個系統仍以緩慢的速度逐漸復原,10月2日復原系統達到112個,復原率17.3%,10月4日增加到115個,復原率17.8%,10月5日復原系統總數134個,復原率20.7%。<br />
<br />
時間進入10月第2週後,恢復速度有所加快,在中秋節假期期間,搶修團隊一口氣復原47個系統,截至10月7日下午6點,已有163個系統恢復運行,復原率達25.2%,稍後在10月10日時達到217個,復原率30.6%。<br />
<br />
到了火災過後第3週的當下,依韓國政府發布的最新消息,截至10月20日中午,已復原375個系統,復原率終於超過50%(52.9%)<br />
<br />
至於在火災中完全受損的96個系統,行政安全部在10月2日說明的處理對策,是遷移到NIRS大邱分部的資料中心另行重建,包括退伍軍人事務部網站、e-People國家民事請願入口網站、國家法律資訊中心,以及Onnara電子公文系統等,最初預計在2週內完成重建工作,但進一步評估後,認為至少需耗費4週的時間,目標是爭取在10月28日之前完成相關作業。<br />
<br />
為了加快復原速度,韓國政府將動用預備資金,行政安全部已就此在10月1日與財政部商討資金事宜。<br />
<br />
與此同時,韓國檢警也展開調查行動。依韓國中央日報10月1日的報導,大田地方警察廳宣布逮捕4名火災相關人士,包括1名NIRS官員,3名在火災發生時負責監督電池遷移工作的外部工作人員。調查人員先前已經訊問12名證人,包括遷移計畫經理,以及現場其他工作人員。<br />
<br />
韓國時報(Korea Times)則在隔天10月2日報導,警方突襲檢查NIRS與3家承包廠商,調查火災相關疏失情況。<br />
<br />
在火災次日,今年6月新上任的韓國總統李在明(Lee Jae Myung)向國民公開道歉,批評緊急復原機制的缺失,並指出兩年前就曾發生類似的大火導致線上服務中斷事件,但政府竟未設立完整因應機制感到相當驚訝,承諾會調查並追究相關責任。<br />
<br />
韓國數位政府創新辦公室也承認,G-Drive缺乏外部備份是個錯誤,誓言建立不會出現此類問題的新系統。<br />
<br />
從目前官方訊息與各界評論,我們可將這次火災事故,歸因於3項顯而易見的疏失,這些疏失彼此連環相扣,共同導致嚴重後果。<br />
<br />
韓國NIRS大田資料中心火災事故時序<br />
<br />
9月26日 <br />
● 承包商拆卸UPS電池時於20點15分引發火災,當地消防單位於20點20分接獲火災通報,滅火工作延續至次日<br />
● 緊急關閉647個線上服務系統<br />
<br />
9月27日 <br />
● 火災於上午6時30分初步撲滅,但8時復燃,至傍晚18時徹底撲滅火災,共歷時22小時<br />
<br />
9月28日 <br />
● 核心系統部分重啟<br />
● 未直接受災樓層重啟<br />
● 韓國總統李在明就災情公開向全國致歉<br />
<br />
9月29日 <br />
● 復原46個受影響系統(復原率7%)<br />
<br />
9月30日 <br />
● 復原91個受影響系統(復原率13.5%)<br />
● 第1級系統過半復原(38個中的21個)<br />
● 總統李在明下令檢查政府網路基礎設施<br />
<br />
10月1日 <br />
● 復原101個受影響系統(復原率15.6%)<br />
● 官方確認G-Drive服務完全損壞無法復原<br />
● 警方逮捕4名火災涉案官員與包商員工<br />
● NIRS大田資料中心停車場車輛起火<br />
<br />
10月2日 <br />
● 復原112個受影響系統(復原率17.3%)<br />
● 警方突襲檢查NIRS與3家承包商<br />
<br />
10月4日 <br />
● 復原115個受影響系統(復原率17.8%)<br />
● 1名參與災後修復的官員跳樓輕生<br />
<br />
10月5日 <br />
● 復原134個受影響系統(復原率20.7%)<br />
<br />
10月7日 <br />
● 復原163個受影響系統(復原率25.2%)<br />
<br />
10月10日 <br />
● 復原217個受影響系統(復原率30.6%)<br />
<br />
資料來源:iThome</div>
</div>
- 韓國國家資料中心大火暴露出參差不齊的系統備份情況資安訊息保安警察第一總隊114-10-30115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 到了隔天(10月1日)上午,復原的系統只增加到98個系統,佔全部的15.1%,當天下午4點復原系統略為增加到101個,不過復原的一級系統仍只有21個,沒有進一步進展。<br />
<br />
在10月1日中央災難安全對策本部說明會上,韓國行政安全部(Ministry of the Interior and Safety,MOIS)進一步說明受影響系統的備份與備援情況。依NRIS的統計,關閉的647個線上業務系統中,47個系統擁有伺服器主機或儲存層級的災難復原系統(前者27個,後者19個),352個系統有每日備份,每天都會備份並傳送到光州資料中心保存,剩餘248個系統則只有按月備份,在月底時將備份傳送到光州儲存。<br />
<br />
也就是說,停擺的647個系統中,62%(399個)擁有災難備援或每日備份,相對較容易恢復服務,其餘38%則只有每月備份,而且部分系統的最後1次備份,是在8月31日,這意味著即便透過備份複本還原系統,也會損失整個9月份的資料。<br />
<br />
<strong>最大受災對象:G-Drive政府檔案儲存系統</strong><br />
<br />
在10月1日的記者會中,韓國行政安全部還宣布一項令人震驚的消息:在大田資料中心火災完全受損的96個系統中,有95個可透過線上或離線備份復原,但G-Drive政府檔案儲存系統由於沒有外部備份,因而無法復原。<br />
<br />
G-Drive是韓國政府公務員專用的雲端線上硬碟,「G」源自於「政府(Government)」之意,這項服務創立於2017年,目的是為公務員提供安全的線上共享檔案儲存空間,為每位公務員提供30 GB儲存空間,可隨時上傳、檢索檔案、照片等資料。行政安全部發布的G-Drive使用指導方針,是建議將所有工作資料儲存在 G-Drive 上,而不儲存在辦公室個人電腦上。<br />
<br />
截至去年8月為止,韓國全國超過75萬名公務員中,使用G-Drive的比例為17%左右,約12.5萬人註冊使用(另有19.1萬人的說法),涵蓋74個政府部會,儲存的資料量達858 TB。公共服務局局長林正圭(Lim Jeong-gyu)在10月1日記者會表示,由於G-Drive未進行外部備份,儲存的所有資料均已遺失,他們判斷已無法恢復。<br />
<br />
至於G-Drive未進行外部備份的原因,韓國中央日報(Korea Joongang Daily)引述行政安全部官員的說法是:「G-Drive容量大、效能低下的儲存結構不允許外部備份」,朝鮮日報(The Chosun Daily)所引述的官員說法也很相似超過50%網路設備:「G-Drive的容量巨大,無法備份系統」。<br />
<br />
由於韓國政府各部會引進G-Drive的程度不一,受影響情況也有異。受創最大的單位,是唯一遵循行政安全部指示,將所有公務資料都儲存在G-Drive的人事管理部。相較下,較少使用該服務的政府政策協調辦公室,沒受到多少損失。<br />
<br />
這也造成弔詭的結果——越遵循指示、導入G-Drive程度越高的單位,在這次事故中卻受到更大的「懲罰」;而無視指示,很少使用G-Drive單位反而不受影響。<br />
<br />
韓民族日報(The Hankyoreh)引述人事管理部官員說法,差勤、晉升等人事相關資料,是由NIRS光州資料中心獨立的e-Person系統管理,但其他工作業務資料,都存儲在G-Drive上。由於G-Drive損毀,導致該部8年來的工作資料全部損失,包括內部會議資料、國會文件,公務員的個人資訊、人事認證資料與獎懲記錄等。<br />
<br />
G-Drive的損毀,不僅導致人事管理部運作陷入停滯,還可能影響這個月的國會審計工作,無法提交國會要求的文件。該部表示正設法從其他管道復原一部分資料,包括過去一個月在個人電腦上保存的本地端檔案、電子郵件與紙本記錄等。<br />
<br />
除此之外,進入正式審批流程的官方文件,也會另外儲存在Onnara電子公文簽署系統上,雖然這套系統也在這次火災中受損,但保有備份,一旦系統復原,就能取回這些資料,藉此恢復一部分在G-Drive上損失的原始資料。<br />
<br />
資料來源:iThome</div>
</div>
- 韓國國家資料中心大火 受影響的政府業務與服務資安訊息保安警察第一總隊114-10-30115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt">這次火災所造成的損失,我們可以從設備直接燒毀,以及線上業務服務停擺等兩個方面,來進一步檢視與探討。<br />
<br />
火災發生當下,由於空調與除濕系統中斷,機房溫度上升到160度以上,為了預防伺服器過熱受損,NIRS管理單位決定暫停該資料中心所有系統的運作,結果造成一共647個韓國政府的線上業務系統中斷。<br />
<br />
火災結束後的清查顯示,總計有384組UPS電池,以及電池周圍的740臺伺服器燒毀,受此影響,而在火災當時關閉的647個線上業務系統中,有96個系統完全損毀。<br />
<br />
因火災關閉的線上業務系統中,436個是公共服務系統,另211個是政府內部業務系統。而依重要性區分,韓國政府將其線上服務系統分為4個等級,這次火災事故停擺的系統中,一級系統占38個,二級系統86個,三級系統294個,四級系統229個。<br />
<br />
在這些系統當中,對全國運作造成較大影響的服務,包括:韓國政府用於民事登記、稅務文件,以及政府通知等服務的Government24入口網站;位居韓國郵政營運核心的郵政與物流服務系統;119緊急救援服務定位系統,這是韓國消防與救護服務單位,用於定位呼叫位置與調度的系統;以及用於政府與金融服務登入驗證的數位身分與憑證驗證平臺。<br />
<br />
另外還有韓國政府的Onnara電子公文簽署系統,KONEPS韓國政府招標採購系統,G-Drive政府線上檔案儲存系統,海關通關系統,線上警政案件登錄系統,線上郵局購物中心,以及用於支付兒童保育費等的「國民幸福卡」等。<br />
<br />
<strong>緩慢的復原工作</strong><br />
<br />
韓國行政安全部次官金敏載在火災當天(9月27日)的緊急記者會,說明韓國官方採取的復原對策,是優先恢復資料中心的冷卻系統,然後逐步重新啟動伺服器,先行恢復郵政、銀行與快遞等重要服務。行政安全部也在同日上午發出緊急通報,告知政府服務使用受限,並要求相關機構延長納稅與文件提交期限,直到系統恢復正常。<br />
<br />
依行政安全部說法,截至9月28日上午7點為止,超過50%的網路設備已恢復正常,核心安全系統已有99%以上復原,相關的767臺設備當中,有763臺恢復運作,避開火災的2至4樓系統也於28日陸續重啟。<br />
<br />
在被迫關閉的647個線上業務系統方面,依行政安全部9月29日的說明,完全受損的96個系統需耗費4週重建,其餘551個未受火災直接損毀的系統,也因國家綜合操作平臺系統(National Total Operating Platform System,nTOPS)的受損與關閉,以及現場清理尚未完成之故,復原速度十分緩慢,最初72小時內(至9月29日),只有46個系統復原。<br />
<br />
截至9月30日下午2點,停擺的647個線上業務服務中已復原91個,佔總數13.5%。最重要的38個第一級系統中,則有21個復原,佔55.3%。<br />
<br />
在9月30日下午的記者會中,根據行政安全部次官金敏載的解釋,NIRS是透過國家綜合操作平臺系統(nTOPS)來管理這647個系統,nTOPS系統的伺服器並不在這次發生火災的5樓,而是在6樓另一間機房,但由於切斷資料中心電源之故,該系統部分受損,雖然並非直接損壞,但暫時離線無法運作。韓國政府今年才剛開始nTOPS備援系統的測試,預定到12月才能全面啟用,當前仍無法派上用場。<br />
<br />
從這裡也可看出,原本是基於集中管理便利目的而建置的nTOPS系統,此時反倒成了單點故障來源,一旦受損無法運作,就連帶影響到大量其他系統的運行。<br />
<br />
另一方面,將近一半受影響的系統(330個),是位於發生火災的大田資料中心5樓,該樓層仍然斷電,清理也尚未完成,因而拖慢了復原進度。行政安全部長兼中央災難安全對策本部負責人尹浩正(Yun Ho-jung),前一天在國務會議上表示,他們目標是在10月12日完成火災現場清理,然後依序復原與重啟燒毀的機房。<br />
<br />
金敏載表示,常用的Government24等行政服務已經基本穩定下來,不過房地產交易、社會安全資訊系統部分功能中斷,仍暫停線上服務,民眾必須親自前往各地辦事處手動處理文件。尹浩正也提醒,可能會出現與火災有關、冒充政府機構的簡訊與網路釣魚詐騙,呼籲民眾保持警惕。<br />
<br />
資料來源:iThome</div>
</div>
- UPS鋰電池火災引發國家級危機資安訊息保安警察第一總隊114-10-30115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 在今年的9月底,韓國國家資訊資源管理院(National Information Resources Service,NIRS)的資料中心發生嚴重的火災,導致韓國政府將近1/3資訊服務系統停擺,迄今仍只恢復5成,還造成大量公務資料損毀。<br />
<br />
這起事故除了暴露電子化政府的弱點,也為全球IT基礎設施的安全性帶來一系列重要教訓——從鋰電池不斷電系統(UPS)的配置與管理,到資料中心消防設施,以及備份與復原架構的建置與管理等,都需重新審視與調整。<br />
<br />
<strong>UPS鋰電池起火致災</strong><br />
<br />
NIRS負責管理大約1,600個政府部門的資訊系統與服務,總部位於大田,另在光州與大邱設有分部,這次事故是發生在NIRS大田資料中心的5樓。<br />
<br />
火災發生在2025年9月26日晚上8點15分左右,大田當地消防單位於8點20分接獲NIRS報案,隨即出動消防人員與消防車前往滅火。10小時後,在9月27日上午6點30分初步撲滅火勢,但8點過後又復燃,直到當天傍晚6點才徹底撲滅,整起火災歷時大約22小時。<br />
<br />
9月27日舉行的緊急記者會上,韓國中央災難安全對策總部副部長兼行政安全部次官金敏載(Kim Min-jae)解釋,事故發生起因於UPS的電池搬遷作業,當時13名外包商正在資料中心5樓更換UPS鋰電池,預定將卸下來的電池送至地下1樓,但其中一組卸下的電池突然起火,引發火災。<br />
<br />
<strong>鋰電池滅火的難題</strong><br />
<br />
這場火災之所以耗時22小時方得以撲滅,主因在於鋰電池本身的特性,以及NIRS資料中心的UPS配置。<br />
<br />
美國電池儲能系統製造商EticaAG公司,在10月6日針對此事發表的部落格文章中,指出鋰電池火災在滅火方面的困難。鋰電池起火屬於熱失控(thermal runaway)現象,也就是溫度升高、引發電池內部出現不受控的持續化學反應,導致溫度再次升高,進而起火或爆炸。<br />
<br />
鋰電池起火後,不僅燃燒溫度高於傳統鉛酸電池,還會產生有毒氣體,即便撲滅明火,電池內部的化學反應仍可能持續進行,從而反覆復燃,而且,由於鋰電池儲存能量高,燃燒時間也更長,一般滅火手段難以應對鋰電池火災。<br />
<br />
日本IT媒體Gigazine則在9月30日報導中,披露更詳細的滅火現場情況。火災發生後8小時,消防人員才於9月27日凌晨3點20分左右,使用雲梯車砸毀機房窗戶與內壁,成功排出有毒煙霧。但機房佈置又給滅火工作帶來阻礙,據稱數百組電池堆放在機房中,電池與伺服器之間的距離僅60公分,而韓國消防協會要求至少需間隔90公分,因此造成滅火時的兩難。<br />
<br />
當前資料中心普遍使用的二氧化碳滅火系統(如FM-200環保氣體滅火系統),對鋰電池這種起火源的效果有限,必須大規模灑水澆灌該區域,或將電池浸入水中冷卻;但大量灑水澆灌電池,又會導致緊鄰的伺服器損壞。這迫使消防員一開始只嘗試使用少量灑水,加上二氧化碳氣體來滅火,從而影響到滅火效率。<br />
<br />
資料來源:iThome</div>
</div>
- UEFI韌體漏洞威脅主流主機板資安訊息保安警察第一總隊114-10-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 華碩(ASUS)、技嘉(GIGABYTE)、微星(MSI)與華擎(ASRock)等主要主機板製造商的部分產品,被發現存在UEFI(統一可延伸韌體介面)漏洞,使系統容易遭受早期開機階段的直接記憶體存取(DMA)攻擊。此漏洞影響採用英特爾與 AMD 多個世代晶片組的主機板產品。<br />
<br />
<strong>漏洞成因:IOMMU 初始化失效</strong><br />
這項安全問題由 Riot Games 公司的研究人員 Nick Peterson 與 Mohamed Al-Sharifi 發現。漏洞的核心在於:UEFI 韌體雖然向作業系統回報 DMA 保護機制已啟動,但輸入輸出記憶體管理單元(IOMMU)在關鍵的開機階段實際上並未正確初始化與啟用。<br />
<br />
IOMMU 的功能類似記憶體防火牆,負責控制周邊裝置能存取的記憶體區域。正常情況下,IOMMU 應該在 UEFI 韌體初始化階段就開始運作,防止惡意 DMA 裝置任意讀寫系統記憶體。然而,受影響的主機板韌體錯誤地告知作業系統保護機制已完整啟動,實際上 IOMMU 在早期開機階段並未正確運作。<br />
<br />
卡內基美隆大學 CERT 協調中心(CERT/CC)在公告中指出,這個缺口讓具備實體存取權限的攻擊者能夠透過惡意 PCIe 裝置,在作業系統載入前讀取或修改系統記憶體。攻擊者可藉此存取敏感資料、影響系統初始狀態,進而破壞開機程序的完整性。<br />
<br />
<strong>四組 CVE 編號涵蓋多款產品</strong><br />
由於各廠商實作方式不同,此漏洞獲得四個 CVE 編號,嚴重性評分(CVSS)皆為 7.0:<br />
CVE-2025-14304:影響華擎、華擎伺服器與華擎工業級主機板,涵蓋採用英特爾 500、600、700 與 800 系列晶片組的產品。<br />
<br />
CVE-2025-11901:影響華碩主機板,涵蓋英特爾 Z490、W480、B460、H410、Z590、B560、H510、Z690、B660、W680、Z790、B760 與 W790 系列晶片組產品。<br />
<br />
CVE-2025-14302:影響技嘉主機板,涵蓋英特爾 Z890、W880、Q870、B860、H810、Z790、B760、Z690、Q670、B660、H610、W790 系列晶片組,以及 AMD X870E、X870、B850、B840、X670、B650、A620、A620A 與 TRX50 系列晶片組產品。TRX50 系列的修補程式預計於 2026 年第一季釋出。<br />
<br />
CVE-2025-14303:影響微星採用英特爾 600 與 700 系列晶片組的主機板產品。<br />
<br />
<strong>攻擊情境與遊戲產業發現契機</strong><br />
攻擊者需要實體接觸目標系統,在開機前連接惡意 PCIe 裝置執行 DMA 攻擊。在作業系統啟動前的短暫時間窗口內,惡意裝置可自由讀寫記憶體內容、注入惡意程式碼並取得高權限。由於攻擊發生在作業系統載入前,整個過程不會觸發任何安全警示或權限提示。<br />
<br />
Riot Games 的研究人員 Al-Sharifi 表示,雖然 BIOS 設定中顯示開機前 DMA 保護(Pre-Boot DMA Protection)已啟用,但底層硬體在開機最初幾秒內並未完整初始化 IOMMU。當系統完全載入時,已無法確保開機過程中沒有透過 DMA 注入惡意程式碼。<br />
<br />
研究人員原本是為了對抗遊戲外掛而進行調查,發現硬體外掛可能利用這個漏洞在不被察覺的情況下注入程式碼。Riot Games 的反作弊系統 Vanguard 在核心層級運作,若外掛在 Vanguard 之前載入,就有更高機會隱藏而不被偵測。該公司已更新 Vanguard 系統,當偵測到系統存在此 UEFI 漏洞時,會阻止《特戰英豪》(Valorant)遊戲啟動,並顯示彈出視窗告知使用者需要採取的措施。<br />
<br />
影響範圍超越遊戲產業<br />
儘管這項漏洞是從遊戲產業角度發現的,但安全風險遠超過外掛問題。任何能取得實體存取權限的攻擊者都可能利用此漏洞注入惡意程式碼,包括進行針對性攻擊、資料竊取或系統滲透。<br />
<br />
CERT/CC 特別強調,在無法完全控制實體存取的環境中,及時修補與遵循硬體安全最佳實務格外重要。IOMMU 在虛擬化與雲端環境中扮演隔離與信任委派的基礎角色,這項漏洞凸顯了一個重點:即使在非資料中心的系統上,確保韌體正確配置同樣至關重要。<br />
<br />
<strong>修補建議與防護措施</strong><br />
各受影響廠商已陸續釋出韌體更新,修正 IOMMU 初始化順序,並在整個開機程序中強制執行 DMA 保護。使用者與系統管理員應採取以下措施:<br />
檢查主機板型號是否在受影響清單中,可參考各廠商安全公告<br />
更新韌體前先備份重要資料<br />
盡快套用製造商提供的 UEFI 韌體更新<br />
若實體安全無法完全控管,應優先處理修補作業<br />
虛擬化與雲端環境的管理者應特別注意此漏洞對系統隔離機制的影響<br />
<br />
TWCERT/CC 已協助協調各廠商的回應措施。由於漏洞涉及硬體初始化層級,作業系統更新無法解決問題,必須透過韌體更新才能徹底修補。<br />
<br />
資料來源:資安人</div>
</div>
- 數據機常見的三種漏洞類型資安訊息保安警察第一總隊114-10-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt">趨勢科技資深威脅研究員游照臨此次研究涵蓋多種臺灣常用的數據機型號,包括D-Link(友訊)、Nokia(正文代工)、Zyxel(合勤)以及Billion(盛達電業),而他發現的漏洞,主要集中於三種致命類型。<br />
<br />
第一種就是認證繞過(Authentication Bypass),駭客可以找到某種方法,在無需帳號密碼的情況下,即可控制設備的設定網頁。他表示,這通常是使用了舊軟體或設計不良所致。<br />
<br />
第二種則是隱藏後門(Hidden Backdoors),通常是設備存在大量的隱藏後門。游照臨分析,若理性來看,這些後門可能是用於維修的通道、廠商測試時不小心留下的程式,或是ISP業者為了方便管理而要求加入的功能。<br />
<br />
但無論設計存在任何初衷,這些後門都可能導致駭客更便於控制全世界的裝置。例如,在Billion(盛達電業)的案例中,就發現了寫死的後門帳號密碼,甚至使用了公司總部的地名「新店」(HsinDian)來命名帳號。<br />
<br />
遠端程式碼執行(Remote Code Execution,RCE)便是第三種常見的漏洞類型,他表示,這也被視為最嚴重的漏洞類型,因為,一旦利用成功,駭客可以直接完整控制整個裝置。以D-Link(友訊)的案例顯示,駭客可以透過RCE取得設備的完全控制權。<br />
<br />
游照臨表示,除了上述常見的三種漏洞外,其他還包括Command Injection(命令注入)、CGI Abuse(CGI程式濫用攻擊)、Console Abuse(主控臺濫用),以及其他能夠繞過ISP電信業者監控或預設功能限制的功能。<br />
<br />
游照臨的這項研究成果極為豐碩,共揭露了超過三十個CVE編號,涵蓋2024年至2025年間的多個高風險漏洞。他強調,這些漏洞橫跨家用、企業用,甚至是一些關鍵基礎設施所使用的裝置,不僅是單純的漏洞發現,形同對整個物聯網(IoT)供應鏈安全的一次重新審視。<br />
<br />
資料來源:iThome</div>
</div>
- 定時炸彈「小烏龜」引爆國安危機,政府、金融、軍方網路門戶洞開資安訊息保安警察第一總隊114-10-14115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 一場靜謐的資安風暴,正從你我家中不起眼的小小數據機(俗稱「小烏龜」)悄然引爆。這場危機並非來自遙遠的駭客組織,而是臺灣社會對這些網路「守門員」長期忽視,以及廠商系統性的「退而不休」所累積的惡果。<br />
那臺由網際網路服務供應商(ISP)提供、默默地閃著燈號的灰色或黑色盒子——我們俗稱的「小烏龜」或數據機(Modem)——常被視為家庭網路的基石,更是「Tier 0」級別的設備。<br />
但是這些家庭和企業廣泛使用的「小烏龜」,根本就是一顆定時炸彈,因為駭客從任何地方,都可以直接存取並完整控制這些裝置,它不僅危及數萬臺灣家庭的網路安全,更驚動了警調單位,因為這些漏洞百出的裝置,早已被不法集團利用,成為詐騙集團的犯罪跳板,甚至被發現潛伏於臺灣的關鍵基礎設施之中。<br />
趨勢科技資深威脅研究員游照臨(Steven Meow)今年稍早於美國DEF CON大會上提出警告,這些電信業者配發的數據機,無論是光纖、有線電視、電話線或行動通訊連線類型,都可能是一枚「定時炸彈」,因為駭客可以從任何地方,直接存取並完整控制它們。<br />
<br />
<strong>廠商拒絕修復EoL的數據機,成為漏洞研究的起點</strong><br />
游照臨透露,這一切的契機,只是源自於他在2023年搬家時,請中華電信拉了新的網路線。基於白帽駭客的職業習慣,他決定「駭一駭」自己的新設備,確認是否安全。<br />
他沒想到,這一下班後的「個人研究」,竟挖出了超過30個CVE(通用漏洞揭露編號)漏洞編號,這些漏洞數量龐大,橫跨多家知名製造商,包括 D-Link(友訊)、Zyxel(合勤)、Billion(盛達電業)、Nokia、韓國DASAN,以及臺灣HITRON(仲琦科技)等。<br />
這項研究並非游照臨首次發現漏洞,但讓他意識到問題嚴重性的是在2023年,聽到TXOne資安研究員Ta-Lun Yen在日本Code Blue資安會議分享的中華電信「小烏龜事件」,因該起事件的後續處理曾遭到壓制,也讓他決心揭露這潛藏的系統性風險。<br />
他指出企業和政府往往花費重金在內網部署多種資安防護設備,像是EDR(端點偵測與回應)或企業網路的命名與位址中樞(DDI)設備來監控流量。然而,駭客發現,這些俗稱小烏龜的數據機,卻擋在所有防火牆和防護設備的外面,成為最容易被忽視的「第一線」攻擊入口。<br />
游照臨強調,這些漏洞多數存在臺灣製造的產品,「他買來市面上的小烏龜,經過測試,全部都發現漏洞,這就是最可怕的地方。」他說,這個研究揭示的影響範圍,包含關鍵基礎設施,去年十一月有五萬多臺,今年七月至少還有二萬三千多臺有問題的數據機,仍在網路上提供服務,到十一月則剩下八千多臺。<br />
游照臨表示,這些數據機很多都是使用多年的舊設備,有一定程度的自然汰換,變少是正常的,但他對於這樣的汰換速度並不滿意。<br />
他強調這次數據機的漏洞等級是閘道器(Gateway)端的CVSS 9.8的WAN端RCE漏洞,若是以他任職的趨勢科技為例,會列為P0(Priority 0)等級,也就是輪班工程師或資安事件處理的工程師,必須要在5分鐘內給予回應;通常在30分鐘內有舊會有temporary fix(暫時性修補方式)或workaround(變通的權宜之計),大概2~8小時需要完全修復。他認為,從這個等級來看,事件發生迄今滿一年仍未處理完畢,對電信業者或企業甚至使用者而言,顯然是完全不合格的處理方式。<br />
當然他也可以理解相關電信業者遇到的困難,例如無法聯絡到客戶、無法安排時間等。但他認為這些電信業者仍有兩種方式,對這些事情有替代方案(workaround),第一,可以直接遠端將相關的服務端口關閉,畢竟他們對裝置擁有控制權;第二,可以比照瓦斯公司監測到家裡有瓦斯漏氣,以安全為由使用更強烈積極的態度與客戶聯繫,至少要讓客戶知情,當前他們所使用的設備具有嚴重風險。<br />
若是站在網軍駭客角度,想要駭入國家關鍵基礎設施的話,他表示就算掃不到任何漏洞,也會盡可能從沒有漏洞的環境挖出漏洞;而剩下的這八千多臺裝置,只要有任何一個是隸屬關鍵基礎設施,或是具有重大機敏資料的公司行號的話,對於駭客而言,就是唾手可得的目標。<br />
他說這有點像是大門直接開著,只是在看小偷要不要進去而已,完全不用任何高端技術。他認為或許駭客早已駭入這些裝置且已埋好後門,從技術上來評估是完全辦得到,但有沒有發生並不得而知,但可以肯定的是,無論是竊取機敏資訊,還是成為Botnet,都是有可能的。<br />
但游照臨認為,這場危機帶來更深一層的問題在於,「許多製造商聲稱,這些發現漏洞的小烏龜們,產品已達EoL(End-of-Life,終止產品生命週期)時,因此拒絕修補這些致命漏洞。」<br />
更嚴峻的挑戰是臺灣的ISP業者,例如中華電信,並不主動幫使用者更換這些已經停止支援和更新的EoL的數據機等設備,形同將資安的責任,轉嫁給缺乏專業技能的消費者。<br />
他憂心這件事情已經不僅是單純的資安漏洞問題,更是涉及廠商責任、ISP營運策略,以及全球網路安全的系統性失敗。<br />
<br />
資料來源:iThome</div>
</div>
- 英國推新網路安全法案 ! 強制MSP通報,擴大監管供應鏈資安訊息保安警察第一總隊114-11-20115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 面對每年147億英鎊攻擊損失,英國於11月12日向國會提出《網路安全與韌性法案(Cyber Security and Resilience Bill)》,以更新2018年的《網路與資訊系統法規 (Network and Information Systems Regulations , NIS)》。此項法案首次將託管服務供應商與資料中心納入強制監管,要求24小時內通報重大網路事件,並授予科技大臣(Technology Secretary)在國家安全受威脅時的緊急介入權力,全面強化關鍵基礎設施數位防禦能力。<br />
<br />
英國科學創新暨科技部 (Department for Science, Innovation and Technology)於11月12日宣布,政府已向國會提出《網路安全與韌性法案》,這是繼2018年《網路與資訊系統法規》後,英國首次進行跨部門網路安全法規的重大更新。新法直接回應2024年發生的多起重大網路攻擊事件,包括駭客透過託管服務供應商入侵國防部薪資系統,以及國民保健署(NHS)事件導致超過1.1萬筆醫療預約與程序中斷,估計損失達3,270萬英鎊。<br />
<br />
<strong>MSP與資料中心首次納入強制監管範圍</strong><br />
新法案最關鍵的變革在於大幅擴展監管對象範圍。除了既有的醫療、供水、運輸、能源供應商及數位服務供應商(雲端運算、線上市集等)外,本法案首次將託管服務供應商(MSP)、特定資料中心營運商,以及提供負載控制服務的組織納入強制合規對象。<br />
英國科技部特別強調,提供IT管理、IT服務台支援及網路安全服務的公司,無論服務對象是公部門或私部門組織,都將首次受到監管。由於這些MSP握有跨政府、關鍵國家基礎設施及企業網路的信任存取權限,新法要求它們必須符合明確的安全義務,包括建立完善的事件應變計畫,並在遭遇重大或潛在重大網路事件時,立即向政府及客戶通報。<br />
此外監管機構將有權指定對關鍵服務營運商至關重要的供應商為「關鍵供應商」,例如醫療診斷服務供應商或自來水公司的化學品供應商,這些供應商也必須符合最低安全標準要求,藉此解決供應鏈安全的薄弱環節。<br />
<br />
<strong>建立嚴格24小時通報機制</strong><br />
法案建立了嚴格的事件通報時限要求。受監管組織必須在24小時內向所屬監管機構及國家網路安全中心(NCSC)通報較嚴重的網路事件,並於72小時內提交完整報告,確保政府能更快速提供支援,並建立更完整的國家級威脅情資圖像。<br />
新法特別針對資料中心、數位服務供應商及託管服務供應商,要求這些業者在面臨重大或潛在重大攻擊時,必須立即通知可能受影響的客戶,使客戶能快速採取行動保護其業務、人員與服務。<br />
<br />
<strong>罰則機制與緊急介入權力</strong><br />
法案更新了網路安全規則的執法方式,針對嚴重違規行為引進更高額的罰款機制,確保合規成本低於違規風險。更重要的是,新法授予科技大臣新權力,當英國國家安全面臨嚴重網路威脅時,可直接命令監管機構及其監管的組織(如泰晤士水務公司或國民保健署信託機構)採取特定行動,以預防或遏制攻擊。<br />
英國政府引述的獨立研究顯示,英國平均每次「重大網路攻擊」造成超過19萬英鎊損失,全國每年總損失約達147億英鎊,相當於該國GDP的0.5%。今年9月Jaguar Land Rover遭駭被迫關閉系統的事件,更被形容為「英國史上損失最慘重的網路攻擊」,估計損失至少達19億英鎊。英國預算責任辦公室(Office for Budget Responsibility)更估計,關鍵基礎設施遭攻擊可能導致政府借款暫時增加超過300億英鎊。<br />
該法案目前已提交英國國會,但仍須在上下兩院經歷七個階段審查才能成為正式法律。立法過程將允許透過修正案進行調整與改進,因此最終法律形式可能在國會審議過程中持續演變。<br />
<br />
資料來源:資安人</div>
</div>
- 英國國家網路安全中心更新網路評估框架 強化關鍵基礎設施韌性資安訊息保安警察第一總隊114-09-17115-01-27<div class="ed_model01 clearfix">
<div class="ed_txt"> 英國國家網路安全中心(NCSC)發布網路評估框架(Cyber Assessment Framework, CAF)的最新版本,旨在協助關鍵基礎設施(CNI)供應商跟上威脅態勢的演進,能更有效保護能源、醫療、運輸、數位基礎設施和政府部門的關鍵服務。<br />
NCSC 指出:「針對英國關鍵基礎設施的網路威脅持續攀升。隨著攻擊手法不斷演進,關鍵服務面臨的網路威脅等級不斷升級,而我們的集體防禦能力卻未能同步提升,兩者間的差距正日益擴大。因此緊跟攻擊手法的發展趨勢,對縮小這一防護缺口至關重要。」<br />
<br />
<strong>網路評估框架 v4.0 四大重點更新</strong><br />
網路評估框架 v4.0 相較於前一版本包含四項重大更新:<br />
1. 深化攻擊者手法理解<br />
新增關於建立對攻擊者手法和動機更深層理解的章節,旨在協助關鍵基礎設施供應商改善其網路風險決策制定能力。<br />
2. 軟體安全開發與維護<br />
新增確保關鍵服務所使用軟體安全開發與維護的專門章節。<br />
3. 強化威脅偵測能力<br />
更新資安監控和威脅獵捕章節,以改善威脅偵測能力。<br />
4. 擴展 AI 相關風險涵蓋範圍<br />
在整個網路評估框架中擴大對 AI 相關網路風險的涵蓋範圍。<br />
<br />
<strong>廣泛採用與監管整合</strong><br />
NCSC 在制定最新版網路評估框架時,與多個使用該框架的監管機構和監督單位進行諮詢。該機構聲稱,網路評估框架目前已獲得「幾乎所有」英國網路安全監管機構採用,同時也被 GovAssure(評估英國關鍵基礎設施的網路安全保證計畫)所使用。<br />
NCSC 已著手開發框架的下一個版本,以配合即將推行的《網路安全與韌性法案》(Cyber Security and Resilience Bill)。該法案將更新 NIS 法規,預計將於今年稍晚正式立法。<br />
網路評估框架更新反映了英國政府對關鍵基礎設施網路安全的持續重視。先前,英國已將資料中心認定為關鍵國家基礎設施,顯示政府正積極擴大對數位基礎設施的保護範圍。<br />
<br />
<strong>對台灣廠商的影響分析</strong><br />
網路評估框架的更新對台灣外銷英國的製造商將產生深遠影響。特別是在能源設備、醫療器械、交通運輸和 ICT 設備等領域的台灣廠商,將面臨更嚴格的資安合規要求。新框架強調的軟體安全開發標準,意味著台灣廠商必須建立完整的安全軟體開發生命週期,並提供長期的資安更新支援。此外產品如涉及 AI 功能,還需符合擴展的 AI 資安標準,這將顯著增加研發成本和產品認證複雜度。<br />
不過這項挑戰也蘊含著市場機會。率先符合新標準的台灣廠商將在英國關鍵基礎設施市場中獲得競爭優勢,特別是在英國政府優先採購符合網路評估框架標準產品的政策導向下。建議相關廠商應立即評估現有產品的資安合規缺口,並考慮建立內部資安團隊或與專業資安公司合作,將此次框架更新視為提升產品競爭力和拓展歐洲市場的契機。<br />
<br />
資料來源:資安人</div>
</div>
- 假冒高層要求建立 LINE 群組的社交工程詐騙,手法解析與防範建議資安訊息保安警察第一總隊114-12-27115-01-23<div class="ed_model01 clearfix">
<div class="ed_txt"> 近年來,企業持續遭遇以「公司高層名義」發動的社交工程攻擊。在今年第四季,中華數位科技與 ASRC 研究中心發現有這種攻擊手法有大量氾濫的趨勢,主要是透過電子郵件要求員工加入指定的 LINE 群組。這類詐騙看似溫和,不含惡意連結或附件,因此不易被資安防護設備檢出,且利用威權作為社交攻擊手段,更容易降低收件者的警覺心,但背後的目的卻是引導財務人員匯款至境外帳戶,造成企業重大損失。<br />
詐騙手法解析<br />
這類詐騙郵件通常具備以下特徵:<br />
1. 寄件者使用免費信箱服務<br />
攻擊者多半利用 Gmail、mail.ru、AOL、Hotmail、Yahoo 等免費信箱寄送郵件。這些信箱任何人都能申請,因此非常容易冒用他人身分。<br />
2. 冒充公司高層或企業代表人<br />
寄件者名稱或郵件署名經常偽裝成公開可查的企業負責人、高階主管,藉此提高信任感。<br />
3. 鎖定外部暴露的群組郵件帳號<br />
目標多為「info@」「service@」「support@」等公開的公司群組信箱,讓詐騙者更容易接觸到財務或行政相關收件者。<br />
4. 引導加入 LINE 群組<br />
郵件內容通常要求協助建立或加入一個新的 LINE 群組,並回覆加入群組的超連結,這個超連結透過郵件回覆後10分鐘內,詐騙人員就會加入群組,並要求建立群組者將財務人員加入。需特別留意的是,後續的社交工程攻擊對話,都以該財務人員為目標。也因此階段未含惡意連結,收件者較不易警覺。<br />
5. 在 LINE 群組內施壓要求匯款<br />
在財務人員加入群組後,詐騙者會:<br />
以高壓、急迫的語氣要求查看公司存摺及目前存款餘額<br />
持續催促儘速進行海外匯款<br />
提供一組境外銀行帳號,要求立即匯款<br />
要求提供匯款水單作為證明<br />
此時若未及時識破,極可能造成金額龐大的損失。<br />
給您的防範建議<br />
1. 留意使用免費信箱寄出的「公務郵件」<br />
只要來自免費信箱,就需保持高度警戒,並應要求公司內部與外部合作對象在洽公時,避免使用免費信箱。搭配設定相關郵件過濾規則,根據公司郵件使用政策規範,將不該來自免費信箱的來信,先行攔截或標示為可疑郵件。<br />
2. 匯款前務必透過「第二聯絡管道」複核<br />
若收到任何匯款指示、財務資料要求或異常急迫的請求,務必透過:<br />
主管本人手機<br />
公司內線電話<br />
面對面確認<br />
進行再次確認,以避免落入冒名詐騙情境。<br />
3. 若發現可能為詐騙,立即通報<br />
若已收到相關詐騙郵件或遭遇類似情況,請儘速報警<br />
向 165 反詐騙專線或網站通報:https://165.npa.gov.tw/<br />
即時通報可協助其他企業避免落入相同陷阱。<br />
涉及財務指示的要求,一律以第二管道確認為原則<br />
詐騙手法持續演進,現今攻擊者傾向利用看似無害的社交工程來騙取企業信任。只要企業內部建立起正確的資安意識與流程,就能大幅降低受騙風險。最大重點:涉及財務指示的要求,一律以第二確認管道為原則,不因急迫而鬆懈。<br />
<br />
資料來源:iThome</div>
</div>
- 築起雙重防線,從「停、看、聽」防護社交工程攻擊資安訊息保安警察第一總隊114-12-27115-01-23<div class="ed_model01 clearfix">
<div class="ed_txt"> 面對如此層出不窮且日益複雜的社交工程威脅,資安署推出了「停、看、聽」資安防護三步驟口訣,作為民眾最簡單、最實用的識別與防範方法。蔡福隆呼籲,民眾不要讓自己的信任被不法人士冒用,畢竟目前駭客攻擊來源中,有高達三成的比例是來自社交工程。<br />
第一步:停——冷靜不點擊,阻斷信任的操控<br />
「停」的核心在於不輕信、不點擊任何可疑的內容,資安署主任李昱緯提醒,首先在行為上,要做到公務信箱不可用於私人用途。他解釋,一旦將公務信箱用於私人網站註冊,如果該網站遭駭,公務帳密也可能隨之曝光,使公務機關的資安暴露在風險之下。<br />
在電子郵件的軟體設定上,有幾項重要的功能必須「主動關閉」。首先李昱緯建議,使用者都要關閉郵件預覽功能。李昱緯解釋,如果預覽功能未關閉,一旦點擊信件標題,郵件所附帶的圖片中若夾帶惡意程式,就可能自動執行。<br />
第二,務必關閉自動下載功能。許多人認為下載了附件但沒有點開就沒事,這是不對的,因為一旦附件被下載,使用者的IP位址就會自動回傳給惡意的寄件者,寄件者就知道該帳號是「活的」且還在使用,未來就有更多機會發動攻擊。<br />
最後一個重要的動作是開啟純文字模式設定,因為現今許多電子郵件為了美觀,設計得如同網頁一般,但駭客會把惡意執行碼藏在這些網頁格式中;一旦開啟純文字模式,這些精美的網頁設計和後面的惡意程式都會全部失效,這是一個非常重要的防護動作。<br />
第二步:看——火眼金睛,辨識偽裝的細節與破綻<br />
「看」的核心是透過辨識、檢查和識破來洞察偽裝,讓謊言無所遁形。李昱緯表示,在辨識郵件內容時,民眾應確認寄件對象以及主旨與自身的關聯性,要警惕主旨是否訴諸恐懼(如「帳號異常登入」)、濫用信任(如「普發現金已開放登記」),或引發好奇心(如「會員限時降價!」)。<br />
他提醒若郵件語氣過於緊急或情緒化、出現文法錯誤、或夾帶可疑的網址或非必要的附件時,都應視為警訊;如果郵件內容與寄件者不相符,例如:銀行寄來的信,內容卻是關於交通罰單,或是同事寄來的信卻要求更新信用卡資料等,就是有問題的信件,應該提高警覺或立即刪除。<br />
在識破假政府機關網站破綻方面,民眾必須認明政府機關網址的兩大特徵。第一,政府機關網址的主機名稱必須以「.gov.tw」結尾;第二,政府專用短網址固定格式為「https://gov.tw/xxx」。<br />
此外若為政府官方發送的簡訊,會顯示專屬的短碼「111」(三個一)作為識別,因為只有政府機關和公營事業才能申請使用 111 短碼簡訊。<br />
對於有疑慮的附檔,民眾可以利用臺灣自行開發的「Virus Check臺灣惡意檔案檢測服務」(https://viruscheck.tw)進行檢測,確認其是否含有病毒或惡意程式。<br />
第三步:聽——冷靜查證,即時通報,尋求專業協助<br />
「聽」是尋求協助、冷靜查證與通報的關鍵步驟。李昱緯提醒,若對郵件或簡訊有疑慮,必要時,應以電話或電子郵件向寄件者確認郵件真偽,多一份查證,就多一份安全。<br />
若是一般民眾,遇到可疑的詐騙網頁或訊息,可利用「165反詐騙諮詢專線」,或利用「數發部網路詐騙通報查詢網」,將無法確定的可疑網址通報給數發部協助查證。對於所有無法確定的可疑郵件,李昱緯建議「一律刪除」,這是避免風險最直接有效的方式。<br />
<br />
資料來源:iThome</div>
</div>
- 駭客發動社交工程攻擊的四種武器資安訊息保安警察第一總隊114-12-27115-01-23<div class="ed_model01 clearfix">
<div class="ed_txt"> 儘管攻擊技術不斷進化,但數位發展部資安署主任李昱緯指出,社交工程的核心工具始終圍繞在四個主要樣態:釣魚郵件、惡意簡訊、偽冒網站以及偽冒檔案;最終目的不外乎「竊取資料」、「騙取金錢」,或進一步「控制電腦」。<br />
社交工程本身並不是技術上的攻擊,它攻擊的目標不是使用者的設備,而是攻擊使用者的信任,「社交工程的本質就是一場心理戰術。」他說。<br />
這些攻擊者會利用人性中最基本的三個弱點——包括對目標的信任、對事件的恐懼和對訊息的好奇心——來操控受害者的行為,讓受害者自己主動去交出金錢、資料,甚至電腦的帳號權限等。他認為,社交工程能夠成功的關鍵,就在於駭客控制了受害者的信任,進而控制了受害者的行為。<br />
這種將攻擊目標從技術轉向人心的戰術,帶來了驚人的高風險。特別是電子郵件作為社交工程最主要的傳播管道,其風險程度已達到駭人聽聞的地步。根據2025 年IBM Security X-Force威脅情報指標(Threat Intelligence Index)報告顯示,全球有超過九成的網路攻擊都是從社交工程郵件開始的。<br />
根據IBM X-Force團隊的觀察,網路攻擊者現在傾向於藉由社交工程等詐騙手段取得受害者的合法憑證,而非直接尋找系統弱點進行入侵。<br />
該報告指出,在2024 年,內建資訊竊取程式(infostealers)的電子郵件數量與上一年相比,增加了84%;而資訊竊取類網路釣魚電子郵件的數量,在2025年初的增長幅度已擴大到與 2023年相比,增加180%。<br />
由於駭客持續利用社交工程、釣魚郵件等方式,試圖竊取或破壞公司的敏感資料和系統,從這些數據發現,無論企業或政府機構的技術防線多麼堅固,只要單一員工或民眾的判斷失誤,一個點擊,就可能成為整個資安鏈條上的致命破口。<br />
手法一:偽冒政府簡訊,搭上時事竊取個資<br />
駭客擅長搭上最新的時事熱點,例如利用普發現金或還稅於民等議題,假借政府名義發送惡意簡訊,這就是典型的「惡意簡訊」(Smishing),當民眾相信是官方訊息而點擊簡訊中的連結,就會被導向刻意設計的惡意網站;這些網站會誘騙民眾輸入身分證字號、車牌號碼等個人資料,最終達到竊取資料的目的。<br />
李昱緯提醒,這些偽冒網站或簡訊往往存在破綻,例如網址有問題,或是簡訊內容出現簡體字,民眾務必冷靜查證,切勿貿然轉傳或點擊。<br />
手法二:偽冒網站連結,假罰單騙取金錢<br />
第二種常見的攻擊樣態是透過偽冒網站或連結,假冒政府或服務單位來騙取金錢。李昱緯以假冒監理站寄來的郵件或簡訊為例,通知民眾有交通罰款未繳,郵件會刻意營造一種過於緊急或情緒化的語氣,恐嚇如果不按時繳納,將會加罰甚至強制執行;民眾一旦感到緊張,失去理智,便會點擊進入惡意網站,並被引導輸入個人資料,甚至進一步被要求填入銀行信用卡資訊。在這種情況下,民眾不僅資料外洩,也遭受經濟損失。<br />
手法三:偽冒軟體下載,將電腦變成「殭屍網路」打手<br />
更具破壞性的是透過偽冒網站來散播惡意程式,以達到控制電腦的目的。駭客會利用民眾搜尋常用通訊軟體(如LINE、Skype或Teams等)的機會,事先購買搜尋引擎的廣告,將含有惡意程式的假網站推送到搜尋結果的最前面。這些假網站的網址往往與官方網址極為相似,例如在名稱中加入額外的字母以魚目混珠。<br />
李昱緯警告,一旦民眾下載並執行了這些虛假的通訊軟體,惡意程式就會在背景偷偷運行,進而控制使用者的電腦。<br />
假若使用者電腦一旦被控制,不僅個人的帳號密碼和所有資料會被駭客盜走,還可能面臨資料被勒索、無法使用的風險;更為嚴重的後果是,這些被控制的電腦將淪為駭客的「免費打手」——成為殭屍網路(Botnet)的一部分,駭客會集結數以萬計的受控電腦,下達指令同時攻擊其他網站或系統,導致服務癱瘓。<br />
手法四:惡意偽冒附檔,加密壓縮檔難以偵測<br />
最後一種是利用偽冒惡意的假附檔來控制電腦。李昱緯特別提醒,民眾應對那些夾帶加密壓縮檔並附上解壓縮密碼的郵件提高警覺。<br />
由於檔案經過密碼加密,許多資安防護系統在第一時間,無法直接判斷其中是否含有惡意程式。一旦使用者輕易解壓縮並點擊執行,裡面的惡意程式就會連線到駭客的中繼站,劫持個人設備,使電腦再次被駭客控制。<br />
若收到附件是壓縮檔且需要密碼解密,必須特別注意寄件者的身份,不認識的來源切勿輕易點擊。<br />
<br />
資料來源:iThome</div>
</div>
- AI助長詐欺,駭客攻擊手法進入超擬真時代資安訊息保安警察第一總隊114-12-27115-01-23<div class="ed_model01 clearfix">
<div class="ed_txt"> 時序進入2025年,資安戰場因生成式AI的普及發生更巨大的變革。2025年DBIR報告明確指出,生成式AI技術已成為推動社交工程攻擊複雜化的關鍵力量,為企業帶來了內外雙重威脅。<br />
資安署署長蔡福隆提醒,由於深偽(Deepfake)AI技術的快速發展,駭客在未來將更容易產製相關的圖像或影片,以錯誤的內容來詐騙民眾,由AI驅動的深偽技術已經被用於製造數百萬美元的詐騙案,進一步模糊了真實與虛假的界線。<br />
事實上攻擊者正利用AI大規模生成高度逼真且具說服力的釣魚郵件,這些郵件在語氣、文法和內容的相關性上更趨完美,使其能夠有效規避傳統郵件安全工具的偵測。<br />
根據2025年DBIR報告顯示,AI生成的惡意郵件數量較前一年(2024 年)增加了100%,已占整體惡意郵件的近10%。<br />
AI不僅優化舊有手法,也催生了全新的攻擊模式。在2025年DBIR首次提到名為「提示詞轟炸」(Prompt Bombing)的新型社交工程手法,在這種攻擊中,駭客利用竊取到的登入憑證,反覆觸發目標系統的多因素認證(MFA)的提示,不斷轟炸使用者的裝置,直到使用者因不堪其擾而心煩意亂,最終錯誤地批准了登入請求。<br />
此外語音釣魚攻擊(Vishing)的增長也極為迅速,2025 年的報告數據顯示,語音釣魚攻擊增長了442%。<br />
在外部攻擊的同時,企業內部員工對生成式AI工具的廣泛使用,也帶來了新的資料外洩風險。2025年DBIR報告指出,高達72%的員工使用個人帳號存取生成式AI平臺,但僅有12%的企業對GenAI的使用進行了完善的管控。這種不受監管的使用行為,可能導致企業的敏感資料在無意中被輸入模型,成為潛在的資料外洩管道。<br />
<br />
資料來源:iThome</div>
</div>
- 社交工程的攻擊本質是針對信任發動攻勢資安訊息保安警察第一總隊114-12-04115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 社交工程的本質,從來都不是對設備發動技術上的攻擊,而是針對使用者的「信任」發動心理戰術。誠如數發部資安署主任李昱緯所言,社交工程是一場徹頭徹尾的心理戰,駭客正是利用人性中最基本的三個弱點——對目標的「信任」、對事件的「恐懼」,以及對訊息的「好奇心」——來操控受害者的行為,讓他們自己主動交出金錢、資料,甚至電腦的帳號權限。<br />
在過去三年中,駭客的社交工程攻擊手法發生了明顯的策略轉變,已從傳統廣泛發送的「網路釣魚」郵件,轉向更具針對性且直接以金錢為目標的商業郵件詐騙(Business Email Compromise,BEC)攻擊。<br />
根據2024年DBIR報告顯示,假托(Pretexting,亦稱之冒名)攻擊的頻率已超越傳統的網路釣魚(Phishing),成為社交工程中最主要的攻擊手段。<br />
因為「假托」是商業郵件詐騙(BEC)攻擊的核心,攻擊者透過偽造身分和特定情境,精心編織謊言,誘導受害者進行匯款或提供敏感資訊。這類BEC攻擊的增長速度驚人,它已占據所有社交工程事件的一半以上。<br />
這種轉變的核心意義在於:攻擊者的目標,已經從竊取可用於後續攻擊的憑證,轉向更直接、更快速的「金錢變現」,這導致BEC攻擊的財務殺傷力極為驚人。<br />
根據2024年的DBIR報告顯示,單次BEC事件的損失中位數約為5萬美元(約為新臺幣150萬元),而根據美國 FBI 的統計,2024年全球因BEC造成的總損失更高達27.7億美元(約新臺幣831億元)。<br />
儘管假託攻擊和BEC崛起,但傳統的網路釣魚威脅並未消失,它仍是勒索軟體等惡意程式最主要的傳播途徑。<br />
2024年DBIR報告指出,員工的資安意識有所提升,相關的合作夥伴在2023年提供的社交工程演練數據,有20%的使用者,未點擊連結的情況下,主動通報了可疑郵件;而點擊了網路釣魚郵件的使用者中,也有11%進行了回報。<br />
但是令人不安的是,使用者面對惡意郵件時的反應速度極快,當用戶打開郵件後,點擊惡意連結的平均時間為21秒;而落入釣魚郵件陷阱的用戶,則只需再花28秒即可輸入個人資訊。這引出一個令人擔憂的現象:使用者落入釣魚郵件陷阱的平均時間不到60秒。<br />
<br />
資料來源:iThome</div>
</div>
- 數發部示警:社交工程利用信任,擊潰臺灣資安防線資安訊息保安警察第一總隊114-12-01115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 在數位世界中,資安防護已不再是伺服器和防火牆的冷硬技術之爭,而是一場針對人性的心理戰。當我們竭力提升網路防禦時,駭客卻將目光投向最脆弱、卻也最難防備的環節——「人」。<br />
許多資安業者的資安報告都揭示這個嚴峻事實,因為「社交工程(Social Engineering)」已不再是單純的網路騷擾,它已進化為高效、精密,且具備巨大財務殺傷力的核心資安威脅。<br />
數位發展部資通安全署日前召開記者會,針對當前日益嚴峻的社交工程威脅發出最嚴正的警告。數位發展部資安署署長蔡福隆更表示,面對目前各種層出不窮的資安攻擊,提升全民資安意識,是守護國家安全體系中最關鍵的一環。<br />
目前臺灣整體資安情勢嚴峻,遭受各種層面的攻擊非常多,這些攻擊除了針對政府機關的網站或是相關的重要個資,蔡福隆指出社交工程是其中一項主要的威脅。根據《資通安全署資安月報》統計,目前威脅來源中,屬於社交工程或資訊收集類別的比例,已超過三成。<br />
駭客往往透過社交工程郵件,將後門程式植入機關內部,這是資安署看到最容易、也是最常看到的入侵途徑。在未來由於深偽(Deepfake)AI技術的發展,駭客更容易產製相關的圖像或影片,以錯誤的內容來詐騙民眾。<br />
在這個數位訊息發達的時代,未來這類社交工程的攻擊只會越來越多,對於數位訊息的信任必須特別提高警覺,而面對資安與打詐這件事,提醒的次數永遠不嫌少。<br />
社交工程是駭客入侵首要手段<br />
全球資安報告均顯示社交工程已成為駭客入侵的首要手段,根據Verizon近幾年來的《資料外洩調查報告(Data Breach Investigations Report,DBIR)》,可以發現一個駭人的趨勢持續浮現,那就是「人為因素」始終是資料外洩事件中最主要的驅動者,其比例數年來高居不下,遠超乎我們的想像。<br />
回溯至2023年的DBIR報告,我們可以發現,有高達74%資料外洩事件,涉及了人為因素,這包含錯誤、權限濫用、憑證遭竊,以及最具煽動性的社交工程攻擊。<br />
從這項數據可以證明,無論企業或政府機關的技術防線如何堅固,一旦防範意識不足,單一個人的判斷失誤,都可能成為整個資安鏈上的致命破口。<br />
儘管在2024年的DBIR報告中,人為因素的佔比略微下降至68%,主要是因為該份報告重新調整了統計範圍,將惡意的內部人員行為歸類到「權限濫用」的範圍,反而突顯了內部威脅的嚴重性,不過社交工程的威脅本質並未改變。<br />
到了今年這項數據趨勢依舊穩固,仍有大約六成的資料外洩事件,與人為因素直接相關。這明確指出,針對人性的心理操縱與欺騙,依然是攻擊者最有效且最常使用的突破口。<br />
當全球資安環境因人為因素而搖搖欲墜時,臺灣也無法倖免。蔡福隆日前對此發出嚴正的警告,強調「資安即國安」,並指出臺灣目前整體資安情勢嚴峻,遭受各種層面的攻擊數量非常多。<br />
根據《資通安全署資安月報》統計,目前臺灣的威脅來源中,屬於社交工程或資訊收集類別的比例,已超過三成以上。這證明社交工程攻擊不僅是國際趨勢,它已經成為臺灣資安威脅不可忽視的核心因素。<br />
此外資安署也觀察到,最容易且最常發生的入侵途徑,就是駭客透過寄送各種社交工程郵件,將後門程式植入機關內部。<br />
<br />
資料來源:iThome</div>
</div>
- Scattered Spider鎖定VMware vSphere而來,部署勒索軟體並竊取資料資安訊息保安警察第一總隊114-10-29115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 今年4月開始,被稱為Scattered Spider、0ktapus、UNC3944、Octo Tempest的駭客組織,傳出針對英國零售業者瑪莎百貨(Marks & Spencer,M&S)、連鎖超市Co-op、精品百貨公司哈洛德(Harrods)發動網路攻擊,這些駭客成為勒索軟體DragonForce的加盟主,利用這款惡意程式犯案,後續Google警告這些駭客轉移目標,針對美國零售業、航空與交通運輸業而來,最近他們公布詳細的調查結果,揭露這些駭客的攻擊手法。<br />
Google旗下的威脅情報團隊(GTIG)指出,Scattered Spider向來不使用軟體弱點做為入侵受害組織的管道,而是針對IT服務臺(Help Desk)撥打電話,依照經過驗證的劇本進行網釣攻擊,從而繞過常見的資安防護機制,並採取寄生攻擊(LoL)的策略從事後續活動。<br />
一旦這些駭客在成功完成社交工程攻擊並取得有效使用者帳號,就會以此操縱受信任的管理系統,並透過控制AD來轉進VMware vSphere環境,建立從虛擬機器管理工具竊取機敏資料並部署勒索軟體的管道。GTIG指出,這樣的做法完全不會產生入侵指標(IoC),並能繞過EDR等資安工具的偵測。<br />
GTIG將Scattered Spider的攻擊流程分成5個階段,首先是對受害組織的IT服務臺下手,利用先前外洩的員工個資撥打電話,說服服務臺重設AD密碼。若是得逞,他們就會試圖掃描內部環境的SharePoint網站、網路磁碟、並挖掘IT文件、技術支援指引、組織表單,以及專案規畫,企圖從中找出高價值目標,其中包含vSphere Admins、ESX Admins等AD群組,以便掌握虛擬化環境的管理權限。另一方面,他們也試圖從密碼管理平臺(如HashiCorp Vault)或其他特權帳號管理平臺(PAM),來找出弱密碼。<br />
接著駭客透過外流帳密登入vSphere的vCenter伺服器管理介面,並濫用管理權限增加vCenter Server Appliance(VCSA)的虛擬及實際存取的人數。然後他們開啟遠端主控臺,將設備重開機,竄改開機工具GRUB,以便在開機流程就執行Root Shell,從而無須密碼就能使用root權限。得逞後駭客竄改root密碼,上傳開源、合法的遠端管理工具Teleport,產生加密的反向Shell通道,從而繞過防火牆規則並建立C2連線。<br />
駭客啟用SSH與ESXi主機並重設root密碼,將用於架設網域控制器的VM關機、移除磁碟,然後複製NTDS.dit,並使用SFTP、Teleport外傳到特定的雲端服務。<br />
究竟在部署勒索軟體之前,駭客做了那些準備?他們藉由完全控制受害組織的AD,使用網域管理員帳號進行遠端桌面連線(RDP),存取備份基礎設施,刪除所有備份資料、快照、儲存庫。附帶一提的是,駭客也可能將他們控制的帳號加入名為Veeam Administrators的群組,使得活動變得更為隱密。<br />
最終駭客使用SSH連線存取ESXi主機,透過SCP或SFTP協定推送勒索軟體,並使用指令碼執行ESXi命令列工具vim-cmd,將所有虛擬機器強制關機,並加密相關檔案。<br />
<br />
資料來源:iThome</div>
</div>
- 強化社交工程詐騙防護的兩大新路線資安訊息保安警察第一總隊114-10-29115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 現在社交工程攻擊,變得更複雜與難以防範,不僅有AI技術的強力加持,還有多變的詐騙情境,都讓受害者防不勝防。<br />
資安業者與科技業者持續設法採取更多行動來因應。例如早期有社交工程郵件演練服務,目的是促進員工對網釣郵件的警覺性與應變能力,後來有商業電子郵件(BEC)詐騙,不少郵件安全業者積極投入,發展相關偵測機制。<br />
前幾年深偽(Deepfake)威脅快速崛起,這方面的偵測機制出爐,例如去年美國黑帽大會,趨勢科技率先公布推出Deepfake影像偵測的技術,之後將這項功能融入其消費端與企業端產品,後續有不同業者揭露偵測Deepfake影像的解決方案。<br />
換言之隨著AI深偽技術出現,在資安產品領域也開始有新的防護解決方案。<br />
在2025年注意到兩個重要發展趨勢出現。<br />
(一)資安廠商的防詐騙技術越來越重視語音的部分,例如趨勢科技透露最近新提供Deepfake語音偵測能力,這是一項新的突破。<br />
(二)首次看到有業者提出:「從設計開始就抵禦詐欺」(Fraud-resistant by Design)的概念。微軟在2025年4月發布Cyber Signals第9期報告,其內容是聚焦AI增強網路詐騙而來,當中有一部分內容,就是提到此點。<br />
微軟表示,基於去年提出的安全未來倡議(SFI)計畫,現在微軟已經開始採取「從設計就抵禦詐欺」(Fraud-resistant by Design)的策略,以更主動方式,因應攻擊者使用AI增強網路詐騙的風險,並且從2025年1月起,推出一項新的反詐騙政策,要求微軟產品團隊在其設計過程中,需要執行詐欺預防評估並實施控制措施。<br />
換言之在產品安全領域,隨著社交工程詐騙氾濫,也開始有新的資安思維出現,要從產品設計開始就考量抵禦詐欺。<br />
<br />
資料來源:iThome</div>
</div>
- 網路社交工程攻擊升級,企業資安意識強化需擴及所有通訊管道資安訊息保安警察第一總隊114-10-29115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 近年來駭客的網路社交工程戰術出現顯著轉變,尤其是今年上半年涉及語音網釣(Vishing)與AI語音偽冒的攻擊大幅增加,網路釣魚的媒介已不再局限於傳統的電子郵件。<br />
長期以來,企業在社交工程演練聚焦電子郵件場景,直到最近幾年,有些企業強調本身須建立資安文化:不只是開發與IT維運人員要重視資安、了解資安,更要讓公司每個人都要具備資安意識,能有效辨識潛在威脅並懂得通報。<br />
畢竟現在的資安防護不僅要識別各種威脅的型態與運作原理,更要懂得舉一反三。例如企業持續訓練與要求員工勿隨意開啟陌生者寄來的郵件,隨著零信任概念的普及,預設不信任並要持續驗證,現在對於來自熟悉往來對象的電子郵件,也會被公司要求留意內容是否異常,然而透過傳統或網路系統的語音來電,卻可能成為另一個「看不見」的破口,因為對方來電可透過人工或AI偽冒,員工則因為不瞭解這類攻擊態勢日益猖獗,而輕信對方。尤其企業財務、會計人員,以前就是社交工程攻擊的重點目標,現在更擴及更多職務。<br />
在這次封面故事的內容探討中,可以看出現在駭客針對企業的社交工程攻擊管道更廣泛,遍及簡訊、即時通訊、視訊會議,再加上釣魚郵件與釣魚網站的混合使用,甚至結合Deepfake技術,讓人誤以為眼見為實、耳聽為真,使得社交工程詐騙變得更難防禦。<br />
不過雖然人人都能關注這些語音網釣與偽冒事件,但還是有些細節不易掌握,因此趨勢科技的資安專家商討這項議題。<br />
語音網釣不單因為AI仿聲而真假難辨,單是多變話術就讓人防不勝防<br />
今年山形鐵道公司遭遇自動語音詐騙,這起事件的社交工程手法相當複雜,結合了自動語音來電與轉接真人客服,再到寄送釣魚郵件,誘使企業會計人員輸入敏感資料至釣魚網站,甚至還會再度來電騙取帳戶驗證所需操作。<br />
但好奇的是上述的語音網釣攻擊使用AI深偽技術嗎?像是企業採用的自動語音應答系統IVR,可外撥預先錄製的語音訊息,以及轉接的真人客服。<br />
趨勢科技研究開發部資深經理黃彥穎表示,他們在日本的同事持續追蹤這起事件,但實際情況更嚴重,因為不只山形縣的企業受害,日本其他地區已經發生,只是一般受害者沒公開這些事情。<br />
這也是此類詐騙難以揭露的原因,如果無人講述本身的受騙過程,其他人無從得知被騙的情況,雖然日本警方在2024年底就開始示警,顯示已接獲這類詐騙情形的報案,但往往受害者浮上檯面,才受到外界更多矚目。<br />
至於攻擊者是否使用AI偽冒技術?黃彥穎提出看法,他表示以此案例而言,AI可能只是用來模仿公司的自動語音訊息,是否聽起來像真人其實無所謂,至於冒充真人銀行客服是否使用AI,他認為並沒有被用AI來模仿特定人物的聲音,頂多變聲以掩飾身分。<br />
<br />
資料來源:iThome</div>
</div>
- ASRC 2025 年第三季電子郵件安全觀察資安訊息保安警察第一總隊114-10-29115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 2025 年第三季,電子郵件攻擊呈現「手法更精緻、攻擊鏈更長、利用合法服務為跳板」的趨勢。攻擊者大量採用 AI/生成式工具強化社交工程,使郵件文案更具說服力且在多語系場景下更難以辨識;同時,他們善用第三方服務,如短網址、雲端平台、電子簽章、以及資安廠商自己的置換連結機制等,來串接、轉向與掩飾攻擊路徑,使既有的靜態過濾與基於來源信譽的防護失效。針對資安廠商的社交工程試探也明顯增加,攻擊者以「少量多次」的方式對公開服務窗口埋伏惡意程式或蒐集情報,嘗試取得長期潛伏的後門。最後,AI 的普及不僅提升釣魚攻擊成功率,也使漏洞挖掘、自動化探針與隱蔽指令的濫用更有效率,導致端到端的電子郵件防護必須由單層規則升級為行為與情境感知、跨通道監控與資料外洩的整合防護體系。<br />
以下為ASRC 與中華數位科技在這一季的特殊觀察:<br />
置換連結防護遭到濫用<br />
為降低收件者誤點惡意連結的風險,許多郵件防護機制在郵件傳遞途中執行「置換連結(URL Rewriting)」,將郵件內原始連結改寫為防護服務自有的檢查跳板,以便在使用者點擊時即時檢查最終目的連結的安全性,並記錄使用者與點擊時間,以利事後鑑識或封鎖。這種即時檢測機制在傳統釣魚攻擊中有效降低成功率,並提高事件追溯能力。<br />
然而在 2025 年第三季出現明顯濫用的趨勢:攻擊者串接多個置換連結與合法跳轉服務(例如短網址、合法雲端或第三方追蹤域名),形成「多段轉址」的攻擊鏈。 其操作邏輯與風險如下:<br />
串接防護跳板以躲避即時檢測:攻擊者先利用合法服務(或被入侵的服務)生成短網址或跳轉連結,再將這些連結放入釣魚郵件中。當收件者點擊時,第一個被檢查到的 URL 可能是某資安廠商或其它合法防護的置換域名,因其來源被視為「可信」,系統就不會進一步深度解析或標示為可疑,導致最終惡意目的地得以通過。<br />
繞過記錄與追蹤機制:若多段轉址使中間某些 Click-tracking/置換節點被系統視為正常流量,系統可能不會完整紀錄最終目的地或點擊者資訊,削弱事後鑑識與責任歸屬。<br />
利用合法資源作掩護:當轉址鏈包含受信任的第三方(例如廣告追蹤、電子簽章或大品牌雲端),攻擊行為顯得更「自然」,讓使用者與系統更難辨認其惡意意圖。<br />
自動化與規模化:攻擊者可以自動化生成大量多段轉址連結,配合 AI 編寫的人性化文案,顯著提升釣魚效率。<br />
潛在影響<br />
防護閘道的「第一層檢查」被合法外殼所迷惑,導致「偽陰性」增加;事後鑑識資訊不完整,延遲事故回應與補救;以及使用者信任度下降(尤其當合法廠商的置換域被濫用時),導致品牌與服務信譽風險。<br />
針對資安公司的社交工程攻擊與試探<br />
第三季觀察到攻擊者特別將目標瞄準「資安公司」或其公開服務窗口,常見攻擊路徑與手法可區分為兩大類:<br />
1. 長期潛伏式 Web / 服務窗口滲透<br />
攻擊者嘗試以惡意程式感染服務窗口,成功感染後,以小量、頻繁的請求(通常透過 HTTPS/443)取得後續惡意程式,目標是建立可長期維持的後門或定期蒐集目標主機資訊,並定期將資訊上傳到特定外部站點。攻擊行為刻意低調(低頻率、分散來源 IP、混淆 User-Agent),以避免被即時偵測系統標為異常流量。<br />
1. 社交工程與商務洽談偽裝<br />
以「購買服務」、「產品諮詢」或「技術合作」之名接觸業務承辦人,誘導其提供企業內部資訊、技術細節或測試存取權限。手段常結合精緻的語言、模擬的公司文件與偽造聯絡人資訊,單靠表面核查難以立即識破。<br />
常見破綻<br />
發信來源與真實性不一致:不少攻擊使用的郵件並非來自他們聲稱的公司域名或官方郵件流程,若針對郵件頭、來源 IP 與 SPF/DKIM/DMARC 進行核查,仍可發現破綻。<br />
表單回應機制缺少驗證:公司若以網頁表單作為第一接觸點,但未對回覆者進行強制驗證(例如電話回撥、企業郵件網域驗證或商業憑證),將提高被社交工程騙取資訊的風險。<br />
內部資訊過度披露:公開的 FAQ、技術支援說明或產品文件若包含過多架構或技術細節,能被攻擊者快速收集並用於定向攻擊。<br />
AI 進化帶來的威脅<br />
AI 與大型語言模型(LLM)在 2025 年下半年已廣泛被攻防雙方採用,對電子郵件資安的影響主要有三個面向:<br />
1.強化社交工程內容產出<br />
AI 可生成高品質、針對特定組織或個人語氣與文化語境的郵件文案,包含合理的時間脈絡、專業術語與稱謂,有效提高釣魚與偽冒成功率。並且能自動化 A/B 測試郵件標題、內容與呼籲動作,快速優化可欺騙率。<br />
2.自動化漏洞發現與攻擊鏈組合<br />
攻擊者利用 AI 加速漏洞掃描、解析郵件伺服器或附件的潛在弱點,並自動生成對應利用代碼或 payload。當 AI 結合自動化工具(如腳本、代理、多段轉址生成器)時,可以大規模產生變異化攻擊,使傳統簽名式防禦失效。<br />
3.對企業內部 AI 系統的濫用(prompt injection / 隱藏指令)<br />
隨著企業導入 AI 助手處理郵件(如自動摘要、回覆建議、敏感資訊檢測),攻擊者可能在郵件正文中嵌入隱蔽指令(例如極小字體、白底白字、或特殊格式),誘使 AI 揭露敏感資訊或執行不當行為(稱為 prompt injection)。若 AI 的 輸出未經適當的審核或上下文限制,可能成為內部資料外洩或錯誤自動化決策的來源。<br />
電子郵件攻防邁入新階段<br />
電子郵件攻防正進入「以合法性與自動化為盾與矛」的新階段:攻擊者大量利用 AI 生成社交工程與自動化工具,並利用合法第三方與置換連結的信任層來掩護惡意路徑;同時,資安供應鏈本身與對外窗口成為高價值目標。單一層級的靜態防禦(例如只靠 SPF/DKIM/傳統過濾)已不足以應付這類複合、動態攻擊。<br />
未來趨勢預測<br />
多段轉址與合法服務濫用將更加普遍,防護會從「域名信譽」轉向「轉址鏈分析」與「行為得分」。<br />
攻擊者對資安業者與業務窗口的試探會持續,促使資安公司本身採用更多“對抗式”自我測試與服務窗口硬化(hardening)。<br />
AI 相關的 prompt injection 與模型濫用將成主要攻擊向量,企業若不設限,AI 反而可能成為資料洩露的幫兇。<br />
企業防護建議<br />
強化身分與接觸驗證流程:對外業務/客服/表單回應採用多因子驗證與實體回撥核實。<br />
AI 使用原則與防護:針對內部 AI 處理郵件的流程設計輸入淨化、輸出審核與最小授權。<br />
釣魚演練與社交工程防禦訓練:針對 VIP/財務/客服進行定向演練與應變流程訓練。<br />
建立業界協作與即時通報機制:當發現被濫用的第三方或置換域名,應快速通報、分享入侵指標 IoCs 與同步封鎖。<br />
<br />
資料來源:iThome</div>
</div>
- 上櫃公司奈米醫材子公司遭遇商業郵件詐騙,預估損失高達140萬美元資安訊息保安警察第一總隊114-10-29115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 近期上市櫃公司於股市公開觀測站發布資安重訊,大部分與資訊系統遭遇網路攻擊有關,亦有部分是外部網站遭到攻擊而影響運作的情況,但最近有一起重訊涉及商業郵件詐騙(BEC),難得的是,該公司在此清楚描述遇害過程,應該是為了呼籲大家重視這項資安議題,而坦言他們上當的狀況,令人敬佩。<br />
週一(9月8日)上櫃公司奈米醫材發布重訊,指出旗下的AST VisionCare Inc.(ASTVC-US)遭到歹徒冒名,向另一家子公司Millennium Biomedical, Inc.(MBI)寄送電子郵件並提供匯款帳號,導致MBI將原本要匯給ASTVC-US的款項,匯入歹徒的銀行帳號。<br />
ASTVC-US是奈米醫材於美國設立的全資子公司,負責執行海外投資活動,ASTVC-US藉由奈米醫材的資金,購買MBI的股票,以拓展奈米醫材的美國市場布局。<br />
奈米醫材在昨天發布的資安重大訊息表示,這起事故發生的緣由,是MBI於8月20日董事會決議發放現金股利150萬美元,根據奈米醫材及ASTVC-US持有MBI股票的比例,兩家公司分別應得到7.5萬及142.5萬美元。然而,在ASTVC-US向MBI確認現金股利是否匯出之後,才發覺有異,MBI實際上不慎將款項匯給歹徒的銀行帳號。<br />
根據後續調查,8月24日MBI透過電子郵件向ASTVC-US確認匯款資訊,但實際上ASTVC-US並未收到相關信件,後續亦無往來記錄。經過相關人員確認,MBI隔日收到的回覆信件,其實是歹徒冒名ASTVC-US而發送的信件,郵件提及的匯款資料及指示,皆為詐騙訊息。<br />
MBI向匯款銀行通報此事,經銀行追查,142.5萬美元已被全數提領,銀行將追查資金的流向;該公司亦向美國聯邦調查局(FBI)報案,假若這些款項無法追回,最大的損失金額為142.5萬美元。<br />
值得留意的是,BEC事故出現在資安重訊的情況,已非首例。去年7月崴寶精密科技指出,他們與客戶遭遇BEC詐騙,歹徒冒名發送電子郵件,要求客戶將原本要給付的1百多萬美元匯至另一帳戶,所幸透過執法單位及時凍結接收匯款的人頭帳戶,並未造成損失。<br />
<br />
資料來源:iThome</div>
</div>
- 駭客組織PoisonSeed釣魚攻擊繞過MFA,入侵CRM與大量郵件發送服務資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 資安公司Nviso發布對駭客組織PoisonSeed使用的網釣套件進行技術分析,發現該工具從2025年4月以來持續活躍,具備繞過多因素驗證(MFA)的能力,透過攔截並轉送受害者輸入的帳號、密碼以及多種2FA驗證資訊,涵蓋Authenticator、簡訊、電子郵件與API金鑰,攻擊者最終能取得驗證Cookie並登入目標帳號。<br />
研究人員特別指出,PoisonSeed與Scattered Spider、CryptoChameleon等群體在攻擊手法上存在一定程度的關聯,鎖定的主要目標包括Google、SendGrid與Mailchimp等大量郵件發送或CRM服務。<br />
攻擊行動從魚叉式電子郵件展開,郵件標題會假裝是受害者日常使用的郵件服務平臺發出的通知,例如寄信功能受限(Sending Privileges Restricted),並內嵌看似正常的行銷或通知連結,受害者點擊後,會被導向架設於特定網域的釣魚套件,該URL中夾帶加密後的受害者電子郵件。<br />
進入網頁後,受害者首先看到偽造的Cloudflare Turnstile驗證畫面,系統會在背景透過/api/check-email API即時驗證該加密信箱的有效性,這種技術被稱為精準驗證式網釣(Precision-Validated Phishing)。<br />
驗證通過後,頁面會顯示與目標服務高度相似的登入介面,使用者提交的帳密與2FA驗證碼將同步轉送至真正的服務,並在傳送過程中被攻擊者攔截,攻擊者利用對手中間人攻擊(Adversary-in-the-Middle,AiTM)手法,取得可用來直接登入帳號的驗證Cookie,等於繞過了多因素驗證的保護。<br />
成功取得存取權後,PoisonSeed會自動批次下載聯絡名單,用於擴散加密貨幣詐騙郵件,其中包括誘導受害者建立含有攻擊者掌控種子詞(Seed Phrase)的加密貨幣錢包。<br />
在基礎設施配置上,所有釣魚網域均使用NICENIC註冊服務,託管服務則涵蓋Cloudflare、DE-Firstcolo與SWISSNETWORK02,名稱伺服器則採用Cloudflare與Bunny.net,顯示其在隱匿來源與規避攔截上的規畫。<br />
研究人員建議企業移除簡訊、語音與電子郵件等易受釣魚利用的驗證方式,優先採用具釣魚抵抗力的FIDO2安全金鑰,並在可行情況下推行免密碼登入機制。同時,IT團隊應加強員工教育,讓使用者具備辨識釣魚與社交工程手法的能力,並建立針對異常登入、大量郵件傳送及名單匯出的監測與警示機制。此外,持續監控與自家品牌高度相似的新註冊網域,也有助於及早發現並阻斷攻擊。<br />
<br />
資料來源:iThome</div>
</div>
- ASRC 2025年第二季電子郵件安全觀察資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">郵件系統重大安全事件陸續曝光<br />
多起郵件系統相關的重大安全事件在這一季被揭露。4 月份,日本知名的 Web 郵件系統 Active! Mail 爆出高風險漏洞 CVE-2025-42599。該漏洞屬於堆疊緩衝區溢位問題,因系統未正確限制寫入長度,導致攻擊者可覆寫堆疊記憶體結構,進一步操控程式流程並觸發遠端任意程式碼執行(RCE)。<br />
緊接著在 6 月份,郵件伺服器 Roundcube 也被揭露存在幾近滿分的重大漏洞 CVE-2025-49113。僅僅三天內,暗網即出現販售該漏洞利用方法的訊息,顯示其風險極高。<br />
同月,還爆出 Microsoft Office Outlook 存在「目錄遍歷」(path traversal)漏洞 CVE-2025-47176,攻擊者可藉由「…/…//」序列繞過路徑限制。此漏洞一般使用者權限即可觸發,無需管理員或更高權限,擴大了潛在攻擊面。<br />
<br />
來自合法來源的釣魚郵件,規避傳統安全檢測機制<br />
除了上述漏洞外,3 至 5 月間亦觀察到大量濫用合法信任來源的釣魚郵件活動。許多釣魚郵件運用政府、機關組織或學校網域,透過 outlook.com 或其他被濫用的郵件伺服器發送,信件中夾帶 forms.clickup.com 的釣魚連結。這些攻擊行為是利用 ClickUp 的線上表單功能,發送看似正常的請求,引誘收件者提交敏感資料或點擊惡意連結。<br />
這類郵件可能來自遭入侵的合法帳號,因此具有較高的信任度,較不易被收件者識破。透過 forms.clickup.com 所嵌入的表單,攻擊者引導目標至偽造的登入頁面,竊取 Microsoft 365 或其他雲端服務的登入憑證。這種利用合法域名與平台進行繞過式偽裝的釣魚手法,能有效規避許多傳統的安全檢測機制,需特別留意。<br />
<br />
低調卻高風險,Open Redirect 成為釣魚網站庇護傘<br />
此外大量的開放重新導向(Open Redirect)機制正被攻擊者廣泛利用,成為釣魚網站的「庇護傘」。這類漏洞允許使用者透過合法網站的連結,自動跳轉至任意指定的外部網址,原本設計用途多為用戶體驗或流量分析所需,但一旦缺乏驗證機制,即成為攻擊者進行欺騙的工具。<br />
令人憂心的是這些被濫用的 Open Redirect 通常來自知名網站或大型平台,例如雲端服務供應商、政府或教育機構網站、企業入口頁等,其域名本身具有高度信任度。一旦攻擊者將釣魚網址包裝在這些可信網域的跳轉參數中,就容易騙過收件者、資安掃描機制,甚至繞過瀏覽器的安全警告或封鎖措施。<br />
實務上我們觀察到部分服務的開放重新導向漏洞已被濫用多年,但仍持續存在、未被修補,顯示出業界對此類低調卻高風險漏洞的關注仍有所不足。這不僅為釣魚攻擊提供穩定的跳板,也凸顯了在信任機制與網域聲譽管理上仍有加強空間。<br />
<br />
釣魚郵件濫用合法Edm發送平台,仍難以根除<br />
除了釣魚網站經常藏身於各種「庇護傘」之下,釣魚郵件本身也經常濫用合法的 EDM(電子郵件行銷)發送平台作為傳遞工具。攻擊者利用這些廣泛使用、信譽良好的發信機制,讓釣魚郵件表面上看起來就像一般正常的促銷信或服務通知,更容易騙過使用者與安全系統的判斷。這種情況已經持續存在多年,至今仍難以根除。<br />
主要原因在於 EDM 平台本身的設計目的就是為了協助企業大規模寄送郵件,因此在機制上往往偏重效率與送達率,較難即時察覺個別帳號是否被濫用或出現異常行為。即便部分平台導入內容掃描與異常行為偵測,也往往無法阻擋針對性強、包裝精緻的釣魚郵件。<br />
在這樣的風險環境下,我們應重新思考對 EDM 發送機制的信任模型。過去多數使用者傾向「信任平台即信任郵件」的思維,特別是來自知名企業或第三方發信商的郵件,往往自動被視為安全。但實際上,這類信任機制已無法抵擋針對性濫用行為的滲透。<br />
因此更安全且可控的方式,應是將 EDM 的信任基礎由「企業單位」下放到「個人層級」:僅對使用者本人主動訂閱且確認過的寄件來源建立信任,並鼓勵使用者定期檢視、管理自己的訂閱名單。系統層面則應強化對 EDM 類郵件的驗證與過濾策略,降低僅因信任平台就放行所有郵件的風險。<br />
<br />
本季郵件攻擊趨勢可歸納為五個方向<br />
1.濫用合法資源:攻擊者利用知名的雲端服務、郵件平台,甚至是遭入侵的政府或學術機構帳號。除了大幅降低成本,還能藉由「信任轉嫁」繞過傳統的安全偵測機制。相較之下,購買專用的惡意資源不僅價格昂貴,還可能在取得過程中暴露身份資訊,一旦遭列為惡意資源,便會立即遭封鎖或失效。<br />
2.信任鏈滲透:透過合法的發信來源發送釣魚郵件,並將惡意網站寄生於可信的第三方平台下,不僅難以察覺也更具迷惑性與高成功率。這類攻擊先從平台服務本身或其漏洞著手,將合法資源轉為攻擊跳板,進一步對真正的目標發動攻擊,讓原本處於信任關係中的節點也成為潛在風險源。<br />
3.漏洞快速武器化:漏洞一被發現,尤其是CVSS評分高及遠端任意執行代碼的漏洞,發現漏洞的攻擊者除了可能自行利用外,也會在很短的時間內將漏洞武器化並兜售,極短的時間就可獲得實際收益。<br />
4.低權限即可入侵:攻擊者無需取得管理員權限,就能透過簡單手法滲透系統、橫向移動甚至植入惡意程式,有效提升攻擊效率並擴大影響範圍。<br />
5.多層混合式攻擊:社交工程、假登入頁、跨平台整合等多種技術的組合應用,使得釣魚與入侵手法呈現多層混合、難以單一手段應對。<br />
因此,面對日益複雜與隱蔽的攻擊樣態,僅靠單點式的防禦措施(如僅靠企業建置的防禦機制)已難以有效阻擋整體攻擊鏈。真正有效的防護策略,需仰賴跨單位、跨平台的協作,整合威脅情資、共享信任評級,才能及時發現並阻斷這類複合型攻擊的傳播路徑。<br />
<br />
資料來源:iThome</div>
</div>
- SonicWall修補防火牆、電子郵件閘道漏洞資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> SonicWall上周發布安全更新,分別修補導致防火牆崩潰的漏洞,以及在電子郵件閘道執行惡意程式碼、存取資訊的漏洞。<br />
影響SonicWall防火牆的安全瑕疵為CVE-2025-40601,它是存在SonicOS SSLVPN服務的堆疊緩衝溢位漏洞,CVSS score為7.5,可讓未經驗證的遠端攻擊者在發送呼叫後發生阻斷服務(Denial of Service,DoS),導致防火牆崩潰掛點。SonicWall表示,本漏洞只影響啟動SonicOS SSLVPN介面或啟動SSLVPN服務的防火牆。<br />
受影響的產品是第7代(Gen7)硬體防火牆近20款、第7代虛擬防火牆(NSv),後者包括位於ESX、Hyper-V、KVM、AWS和Azure等平臺的NSv系列,以及第8代防火牆。廠商已釋出SonicOS 7.3.1-7013和8.0.3-8011版修補。<br />
SonicWall強調第6代防火牆及SMA 100、SMA 100系列SSL VPN不受漏洞影響。 <br />
此外SonicWall也發布另一安全更新,修補電子郵件閘道的2項漏洞,包括CVE-2025-40604及CVE-2025-40605。<br />
CVE-2025-40604為未驗證下載程式碼完整性漏洞,使電子郵件安全閘道載入根目錄檔案系統圖片前,未驗證簽章,讓具有虛擬機磁碟(VMDK)或data store存取權限的攻擊者得以修改系統檔案,並且執行任意程式碼。CVE-2025-40605則為路徑遍歷漏洞,可讓攻擊者注入變造的目錄遍歷字串(如../)來操弄檔案系統路徑,可能藉此存取預定路徑之外的檔案和路徑。CVE-2025-40604和CVE-2025-40605 CVSS score分別為7.2和4.9。<br />
受兩漏洞影響的產品為SonicWall Email Security產品,包括ES Appliance 5000、5050、7000、7050、9000、VMWare和Hyper-V。SonicWall已釋出10.0.34.8215和10.0.34.8223更新。<br />
這家防火牆業的產品安全事件回應團隊(PSIRT)沒有發現漏洞濫用,也未接獲已公開的概念驗證(POC)攻擊程式、或漏洞惡意使用的通報。但SonicWall仍強烈建議用戶儘速更新到最新版本。<br />
若企業IT管理員未能及時安裝更新,其中CVE-2025-40601有替代性解決方案,管理員可修改SSLVPN存取規則,限制只有受信賴裝置能存取SonicOS SSLVPN,關閉非信賴的外部網路裝置存取SSLVPN服務。CVE-2025-40604及CVE-2025-40605則無替代性解決方案。<br />
<br />
資料來源:iThome</div>
</div>
- 國安局認證5款熱門中國App存在嚴重資安風險,原因是過度蒐集個資與權限濫用資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 中國打造的應用程式存在資安疑慮,暗中收集個資或是回傳資料,過往通常是使用者察覺異常而東窗事發,隨著臺海局勢日益緊張,中國對臺灣的威脅與日俱增,這樣的議題也引起我國政府的重視。<br />
國家安全局(下稱國安局)本週發布新聞稿,指出他們為了避免中國政府以不正當管道竊取臺灣民眾個資,根據《國家情報工作法》規範,針對中國製造的行動裝置App進行檢驗,結果反映這些軟體確實存在過度收集個資及侵犯用戶隱私等資安問題,呼籲民眾在挑選應用程式的時候必須特別留意。<br />
這次查驗的中國製應用程式共5款,分別是:小紅書、微博、抖音、微信、百度雲盤,皆為許多臺灣民眾耳熟能詳的App。法務部調查局及警政署刑事局根據數位發展部發布的《行動應用APP基本資安檢測基準v4.0》,針對15項指標進行檢測,結果發現,這些App均存在違反大多數指標的情況。<br />
其中最嚴重的是小紅書,全數指標都出現違規的情況,微博、抖音則有13項違規、微信為10項、百度雲盤為9項,這些結果代表上述應用程式普遍存在資安風險。<br />
國安局指出,這些應用程式均有過度收集個資及權限濫用的情況,其中包含廣泛收集臉部資訊、螢幕截圖、剪貼簿、通訊錄、定位資料的問題,此外,這些App也會收集用戶裝置的系統資訊,包含應用程式清單與設備參數。<br />
值得留意的是他們特別提及這5款應用程式疑似刻意收集使用者臉部資訊並建檔的現象。由於這些應用程式都會將封包資料回傳位於中國的伺服器,有可能遭到第三方濫用,或是根據中國政府要求,交由中國國安、公安、情報部門運用。<br />
<br />
資料來源:iThome</div>
</div>
- Exchange Server遭鎖定,駭客埋入鍵盤側錄工具,企圖挖掘用戶帳密資料資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 最近幾年有許多駭客鎖定Exchange Server以外的郵件伺服器下手,例如6月初資安業者Fears Off揭露的Roundcube重大漏洞CVE-2025-49113(CVSS風險值9.9),很快有人就在地下市集兜售利用方法;資安業者ESET揭露俄羅斯駭客APT28的攻擊行動Operation RoundPress當中,駭客曾針對Roundcube、Zimbra、Horde、MDaemon等郵件伺服器下手,利用跨網站指令碼(XSS)漏洞注入惡意JavaScript指令碼SpyPress。但這樣的態勢不代表採用Exchange的企業能掉以輕心,因為仍有駭客針對這類郵件伺服器發動大規模攻擊。<br />
資安業者Positive Technologies揭露橫跨全球26個國家、鎖定65個企業組織而來的攻擊行動,這起攻擊高度針對政府機關而來,因為有三分之一(22臺)Exchange伺服器受害,但除此之外,也有針對IT、工業、物流業者的情況。駭客在這些郵件伺服器的Outlook Web Access(OWA)登入網頁植入惡意程式碼,目的是進行鍵盤內容側錄。值得留意的是,從受害規模來看,臺灣是最嚴重的國家之一,僅次於越南和俄羅斯。<br />
這波攻擊行動最早可追溯至去年5月,當時研究人員察覺有人在Exchange伺服器的特定網頁當中,注入鍵盤內容側錄工具(Keylogger),後續研究人員發現多起相關攻擊事故,共通點就是使用完全相同的鍵盤內容側錄工具。他們進行深度分析,指出攻擊者使用的惡意程式大致分成兩種類型,其中一種是將竊得資料儲存於受害主機,但能從外界存取,另一種則是直接將竊得資料傳送到外部主機。<br />
究竟這些鍵盤內容側錄工具如何運作?一旦使用者存取OWA網頁並輸入帳密資料,惡意程式碼就會從網頁表單讀取並處理這些資料,向受害Exchange伺服器的特定網頁發送XHR請求。最終該網頁便會讀取請求內容,並將資料寫入伺服器上的某個檔案,供駭客存取。附帶一提,為了掩人耳目,這些惡意程式碼通常會嵌入於合法身份驗證功能clkLgn裡。<br />
值得留意的是Positive Technologies特別提及這些Exchange伺服器存在多項已知漏洞的情況,例如:CVE-2021-31206、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207,其中部分甚至存在11年前的CVE-2014-4078,這代表郵件伺服器可能長期未定期修補,而讓攻擊者有機可乘。<br />
<br />
資料來源:iThome</div>
</div>
- 資安業者揭露國家級APT攻擊活動資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 最近有人同時針對臺灣與日本發動攻擊而引起關注,例如今年5月資安業者趨勢科技揭露隸屬於APT10旗下、代號為MirrorFace、Earth Kasha的中國駭客組織,原本長期鎖定日本企業組織而來,從今年3月也攻擊臺灣,現在又有類似的事故傳出。<br />
上週末臺灣電腦網路危機處理暨協調中心(TWCERT/CC)提出警告,資安業者Seqrite揭露同時針對臺灣與日本等中國東部海域國家的APT攻擊行動Swan Vector,駭客鎖定教育領域和機械工程產業而來,藉由假的履歷表、財務文件作為誘餌來接觸受害者。Seqrite進一步調查此事,發現駭客最早從去年12月就進行活動,當時就鎖定臺灣與日本的人員招募單位。<br />
針對惡意軟體的感染流程,研究人員指出大致可分成4個階段,最初是惡意Windows捷徑檔案(LNK),接下來是透過捷徑檔進行寄生攻擊(LOLBin),執行名為Pterois的DLL檔案,目的是從Google Drive下載第三階段的作案工具並執行。<br />
再來駭客利用DLL側載手法執行另一個有效酬載Isurus,最終啟動由Pterois下載的另一項惡意工具Cobalt Strike Shell Code。<br />
研究人員看到其中一個觸發感染鏈的檔案名為「歐買尬金流問題資料_20250413(6).rar」,內容為偽裝成PDF文件的LNK檔案,以及偽裝成圖片的DLL檔案,此DLL透過作業系統元件RunDLL32.exe進行寄生攻擊,下載其他的作案工具及另一個PDF誘餌檔案。<br />
而對於攻擊者的身分,Seqrite指出DLL側載手法與中國駭客Winnti雷同,Isurus的程式碼與北韓駭客Lazarus的程式碼基礎相似;此外,Swan Vector與近期中國駭客APT10的主要目標相同,都是針對臺灣與日本,但他們還是無法確認攻擊者的歸屬,僅能掌握這些駭客應該位於東亞。不過,研究人員指出這些駭客作案的特性,他們仰賴惡意軟體下載工具、Shell Code載入工具、Cobalt Strike,並採用多種迴避偵測的手法,例如:APT Hashing、直接系統呼叫、功能回傳、DLL側載,以及自我刪除。<br />
<br />
資料來源:iThome</div>
</div>
- 北韓駭客Kimsuky鎖定異議人士,透過臉書、電子郵件及Telegram展開釣魚攻擊資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 與北韓關聯的Kimsuky駭客組織被揭露利用臉書、電子郵件與Telegram等三重社交通道,對韓國本地涉北韓議題的異議人士、人權工作者及志工團體發動高度客製化的釣魚攻擊。根據韓國資安廠商Genians的調查,Kimsuky駭客組織近期攻擊範圍已從政府及國防單位,擴大至脫北者支援團體、NGO與公民運動參與者,導致相關人士面臨資訊外洩與個資遭監控的風險。<br />
Kimsuky攻擊手法以社交工程為主,駭客通常先在臉書上建立與目標背景相似的假帳號,例如冒用宗教組織志工、脫北者志工或具學術背景的人士,主動向涉北韓議題的個人或團體發出好友邀請,並在取得對方信任後,展開訊息互動。<br />
針對這類敏感議題的受害者,駭客會以志工招募、活動交流等名義,主動分享聲稱與脫北者救援相關的文件或連結,這些檔案實則暗藏惡意程式,且多以韓國常見的EGG壓縮格式或JSE腳本檔案傳送,需在Windows環境透過特定壓縮工具解壓與執行,降低在手機或雲端資安掃描時被發現的機率,同時也挑戰一般Windows環境的防護設定。<br />
駭客進一步於取得受害者信任後,會要求提供電子郵件,透過郵件寄送第二波攻擊檔案或惡意連結,當電子郵件及手機號碼同時掌握時,則可能進一步透過Telegram或其他即時通訊軟體接觸受害者,進行多管道且持續的攻擊。<br />
Kimsuky使用的惡意程式們具備多層次的解碼與反偵查能力,例如AppleSeed變種,駭客利用JSE腳本在執行時先釋出誘餌PDF檔案,讓使用者誤以為開啟的是正常文件,實際上則在背景安裝經過VMProtect包裝的惡意DLL。這個DLL會註冊以自動啟動,長期監控系統、蒐集資訊、檢查權限,並具備遠端下載及執行指定指令的能力,資料傳輸則採用RC4與RSA加密,並以一般PDF檔案偽裝,將蒐集到的資料上傳至C2伺服器,使得防禦端更難追查來源。<br />
<br />
資料來源:iThome</div>
</div>
- 華盛頓郵報電子郵件系統遭駭,部分負責國安、經濟政策、中國等領域報導的記者帳號被入侵資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 新聞媒體因為能夠廣泛影響輿論,往往也是國家級駭客盯上的目標類型,他們基於政治與國家安全等考量,攻擊新聞媒體的內部系統,竊取記者的電子郵件或調查資料,挖掘敏感資訊,甚至到了選舉期間,還可能試圖操弄媒體報導來影響選民決策,因此新聞媒體一旦傳出遭到網路攻擊而停擺或內容遭竄改、操弄,很快就引起各界的關注。<br />
例如華盛頓郵報(Washington Post)透露他們郵件系統遭到入侵的情況,美國媒體與多家資安新聞網站,例如:Bleeping Computer、CNN、Dark Reading、GBHackers、路透社紛紛報導此事。這些媒體的報導指出,華盛頓郵報的主管近日向部分受到影響的員工告知,有數名記者的電子郵件帳號遭到入侵。<br />
這項消息的曝光,源自於6月15日華盛頓郵報執行主編Matt Murray向所有員工發出的內部備忘錄,內容提及他們察覺郵件系統疑似於上週四(6月12日)遭遇目標式攻擊,該公司於隔日重設所有員工的帳密。<br />
針對這起事故發生的原因,華盛頓郵報仍在調查,但他們已經確認有限數量的記者微軟電子郵件帳號受到影響,除此之外,這起未經授權的入侵行為並未波及其他系統,客戶也沒有受到影響。<br />
究竟這起事故的攻擊者身分為何?華盛頓郵報懷疑是外國政府主導的活動,但他們尚未確認犯案的駭客組織身分。<br />
有知情人士透露,駭客攻擊的目標,是專門負責國家安全與經濟政策的記者,以及負責中國新聞的記者,這樣的情況很難不讓人聯想整起事故與中國有關。<br />
值得留意的是,華盛頓郵報並非首度遭遇網路攻擊事故。3年前,該公司的母公司新聞集團(News Corp)傳出遭遇網路攻擊,導致華盛頓郵報、道瓊公司、紐約郵報,以及新聞集團總部都受到影響。協助調查此事的資安業者Mandiant透露,駭客使用來自中國的技術,目的可能是收集對中國有利的資訊。<br />
<br />
資料來源:iThome</div>
</div>
- 趨勢科技證實CrazyHunter鎖定臺灣而來,運用來自GitHub的工具犯案資安訊息保安警察第一總隊114-10-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt"> 從今年2月開始攻擊馬偕、彰基,以及臺灣多家上市櫃公司而引起全臺灣高度關注勒索軟體駭客組織CrazyHunter,4月初刑事警察局公布駭客身分,並表示地檢署已發布通緝,但對於駭客的攻擊手法,近期終於有資安業者公布相關細節。<br />
趨勢科技透過部落格文章揭露這一系列鎖定臺灣的攻擊調查結果,他們從1月初開始追蹤、調查CrazyHunter,並確認該組織約有8成的作案工具透過GitHub平臺取得,且藉由自帶驅動程式(BYOVD)手法迴避偵測。而根據駭客架設的資料外洩網站,他們專門針對臺灣的企業組織而來,尤其針對醫療保健及教育機構,但也有製造業及工業領域受害的情形。<br />
針對駭客使用的工具,最引起研究人員注意的是勒索軟體建置工具Prince,原因是此工具可直接從GitHub取得,且能讓攻擊者輕易產生變種勒索軟體來降低攻擊門檻。此勒索軟體以Go語言打造而成,駭客採用ChaCha20與ECIES演算法加密受害電腦,並置換副檔名為.Hunter。在檔案加密完成後,CrazyHunter會留下勒索訊息Decryption Instructions.txt,並更換桌布向受害者施壓,要求他們支付贖金。<br />
研究人員特別提及駭客廣泛從GitHub取得開源工具並加以修改、運用的現象,也突顯想要自行組建惡意攻擊工具的門檻越來越低。其中,駭客從來發動BYOVD攻擊的工具稱為ZammoCide,他們搭配Zemana Anti-Malware含有弱點的驅動程式zam64.sys,藉此終止與EDR有關的處理程序。<br />
而對於權限提升及橫向移動,CrazyHunter則是運用名為SharpGPOAbuse的工具,竄改群組原則物件(GPO),而能於受害組織的網路環境部署惡意酬載,並試圖提升權限及橫向移動。<br />
<br />
資料來源:iThome</div>
</div>
- 1140805國家資通安全研究院 漏洞資安訊息警訊(Cisco IOS)資安訊息保安警察第一總隊114-08-06115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000411<br />
發布時間<br />
Tue Aug 05 17:28:15 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Tue Aug 05 00:00:00 CST 2025<br />
警訊名稱<br />
Cisco IOS與IOS XE Software存在高風險安全漏洞(CVE-2017-6736至CVE-2017-6744),請儘速確認並進行修補<br />
內容說明<br />
研究人員發現Cisco IOS與IOS XE Software之SNMP功能存在緩衝區溢位(Buffer Overflow)漏洞(CVE-2017-6736至CVE-2017-6744),允許已取得SNMP Community String之遠端攻擊者利用此漏洞於設備執行任意程式碼。此系列漏洞於2017年揭露,於2022年列進KEV清單,並於近期更新影響產品與緩解措施等資訊,請儘速確認並進行修補。<br />
影響平台<br />
影響產品名稱:<br />
所有使用Cisco IOS與IOS XE Software並開啟SNMP功能之所有設備<br />
可使用Cisco Software Checker(https://sec.cloudapps.cisco.com/security/center/softwarechecker.x)確認現行使用之Cisco IOS與IOS XE Software版本是否受到影響<br />
影響等級<br />
高<br />
建議措施<br />
1.官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:<br />
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp<br />
2.若暫時無法更新,請先行關閉SNMP功能或停用以下MIB:<br />
ADSL-LINE-MIB<br />
ALPS-MIB<br />
CISCO-ADSL-DMT-LINE-MIB<br />
CISCO-BSTUN-MIB<br />
CISCO-MAC-AUTH-BYPASS-MIB<br />
CISCO-SLB-EXT-MIB<br />
CISCO-VOICE-DNIS-MIB<br />
CISCO-VOICE-NUMBER-EXPANSION-MIB<br />
TN3270E-RT-MIB<br />
<br />
參考資料<br />
1. https://nvd.nist.gov/vuln/detail/cve-2017-6736<br />
2. https://nvd.nist.gov/vuln/detail/cve-2017-6737<br />
3. https://nvd.nist.gov/vuln/detail/cve-2017-6738<br />
4. https://nvd.nist.gov/vuln/detail/cve-2017-6739<br />
5. https://nvd.nist.gov/vuln/detail/cve-2017-6740<br />
6. https://nvd.nist.gov/vuln/detail/cve-2017-6741<br />
7. https://nvd.nist.gov/vuln/detail/cve-2017-6742<br />
8. https://nvd.nist.gov/vuln/detail/cve-2017-6743<br />
9. https://nvd.nist.gov/vuln/detail/cve-2017-6744<br />
10. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp</div>
</div>
- 1140730國家資通安全研究院 漏洞資安訊息警訊(HPE Networking Instant On無線基地台)資安訊息保安警察第一總隊114-07-31115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000401<br />
發布時間<br />
Wed Jul 30 13:48:14 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Tue Jul 29 00:00:00 CST 2025<br />
警訊名稱<br />
HPE之Networking Instant On無線基地台存在高風險安全漏洞(CVE-2025-37102與CVE-2025-37103),請儘速確認並進行修補<br />
內容說明<br />
研究人員發現HPE之Networking Instant On無線基地台存在2項高風險安全漏洞(CVE-2025-37102與CVE-2025-37103),類型分別為作業系統命令注入(OS Command Injection)與使用硬刻之帳號通行碼(Use of Hard-coded Credentials),前者可使已取得管理權限之遠端攻擊者注入任意作業系統指令並於設備上執行,後者可使未經身分鑑別之遠端攻擊者利用固定帳號通行碼以管理員權限登入系統,請儘速確認並進行修補。<br />
影響平台<br />
HPE之Networking Instant On無線基地台軟體版本3.2.0.1(含)以下<br />
影響等級<br />
高<br />
建議措施<br />
官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:<br />
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04894en_us&docLocale=en_US<br />
<br />
參考資料<br />
1.https://nvd.nist.gov/vuln/detail/CVE-2025-37102<br />
2.https://nvd.nist.gov/vuln/detail/CVE-2025-37103<br />
3.https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw04894en_us&docLocale=en_US</div>
</div>
- 1140725國家資通安全研究院 漏洞資安訊息警訊(Sophos防火牆)資安訊息保安警察第一總隊114-07-28115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000387<br />
發布時間<br />
Fri Jul 25 17:18:13 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Thu Jul 24 00:00:00 CST 2025<br />
警訊名稱<br />
Sophos防火牆存在安全漏洞(CVE-2025-6704與CVE-2025-7624),請儘速確認並進行修補<br />
內容說明<br />
研究人員發現Sophos防火牆之Secure PDF eXchange (SPX)功能與Legacy (Transparent) SMTP Proxy分別存在2項高風險安全漏洞(CVE-2025-6704與CVE-2025-7624),類型分別為任意檔案寫入(Arbitrary File Writing)與SQL注入(SQL Injection),前者可使未經身分鑑別之遠端攻擊者執行任意程式碼,後者則允許攻擊者於電子郵件處理過程中注入惡意SQL指令以達成遠端程式碼執行,請儘速確認並進行修補。<br />
影響平台<br />
Sophos Firewall 21.0 MR2 (21.0.2)(不含)以前版本<br />
影響等級<br />
高<br />
建議措施<br />
請更新版本至21.0 MR2 (21.0.2)(含)以後版本<br />
參考資料<br />
1. https://nvd.nist.gov/vuln/detail/CVE-2025-6704<br />
2. https://nvd.nist.gov/vuln/detail/CVE-2025-7624<br />
3. https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce<br />
4. https://support.sophos.com/support/s/article/KBA-000010589?language=en_US</div>
</div>
- 1140722國家資通安全研究院 漏洞資安訊息警訊(達煬科技WinMatrix)資安訊息保安警察第一總隊114-07-23115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000371<br />
發布時間<br />
Tue Jul 22 15:03:14 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Tue Jul 22 00:00:00 CST 2025<br />
警訊名稱<br />
達煬科技WinMatrix3存在安全漏洞(CVE-2025-7916與CVE-2025-7918),請儘速確認並進行修補<br />
內容說明<br />
研究人員發現達煬科技WinMatrix3應用程式伺服器端與Web套件存在2個高風險安全漏洞(CVE-2025-7916與CVE-2025-7918),類型分別為反序列化漏洞(Insecure Deserialization)與SQL注入(SQL Injection),兩者分別可使未經身分鑑別之遠端攻擊者透過發送惡意序列化內容於伺服器端執行任意程式碼與注入任意SQL指令讀取、修改及刪除資料庫內容,請儘速確認並進行修補。<br />
影響平台<br />
WinMatrix AP 3.8.52.5(含)以前版本<br />
WinMatrix Web 1.2.39.5(含)以前版本<br />
影響等級<br />
高<br />
建議措施<br />
更新AP至3.8.52.5(Web 1.2.39.5)並安裝hotfix,或更新AP至3.9.1(Web 1.3.1)(含)以後版本<br />
參考資料<br />
1. https://nvd.nist.gov/vuln/detail/CVE-2025-7916<br />
2. https://nvd.nist.gov/vuln/detail/CVE-2025-7918<br />
3. https://www.twcert.org.tw/tw/cp-132-10256-14d55-1.html<br />
4. https://www.twcert.org.tw/tw/cp-132-10259-b4b38-1.html</div>
</div>
- 1140721國家資通安全研究院 漏洞資安訊息警訊(Microsoft SharePoint Server)資安訊息保安警察第一總隊114-07-22115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000361<br />
發布時間<br />
Mon Jul 21 17:53:14 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Mon Jul 21 00:00:00 CST 2025<br />
警訊名稱<br />
微軟SharePoint Server存在高風險安全漏洞(CVE-2025-53770),請儘速確認並進行修補<br />
內容說明<br />
研究人員發現微軟SharePoint Server存在反序列化不受信任資料(Deserialization of Untrusted Data)漏洞(CVE-2025-53770),未經身分鑑別之遠端攻擊者可利用此漏洞執行任意程式碼。該漏洞已遭駭客利用,請儘速確認並進行修補。<br />
影響平台<br />
Microsoft SharePoint Server Subscription Edition<br />
Microsoft SharePoint Server 2019<br />
Microsoft SharePoint Server 2016<br />
影響等級<br />
高<br />
建議措施<br />
官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:<br />
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/<br />
<br />
參考資料<br />
1. https://nvd.nist.gov/vuln/detail/CVE-2025-53770<br />
2. https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/</div>
</div>
- 1140718國家資通安全研究院 漏洞資安訊息警訊(Cisco ISE)資安訊息保安警察第一總隊114-07-21115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000351<br />
發布時間<br />
Fri Jul 18 18:13:14 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Fri Jul 18 00:00:00 CST 2025<br />
警訊名稱<br />
Cisco ISE與ISE-PIC存在高風險安全漏洞(CVE-2025-20337),請儘速確認並進行修補<br />
內容說明<br />
研究人員發現Cisco Identity Services Engine (ISE)與ISE被動身分識別連接器(ISE-PIC)存在高風險安全漏洞(CVE-2025-20337),特定API為有效驗證使用者輸入,允許未經身分鑑別之遠端攻擊者以root權限在底層作業系統上執行任意程式碼。<br />
影響平台<br />
Cisco ISE與ISE-PIC 3.3與3.4版本<br />
影響等級<br />
高<br />
建議措施<br />
官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:<br />
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6<br />
<br />
參考資料<br />
1. https://nvd.nist.gov/vuln/detail/CVE-2025-20337<br />
2. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-unauth-rce-ZAd2GnJ6</div>
</div>
- 1140717國家資通安全研究院 漏洞資安訊息警訊(桓基科技iSherlock)資安訊息保安警察第一總隊114-07-18115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000341<br />
發布時間<br />
Thu Jul 17 19:13:13 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Tue Jul 15 00:00:00 CST 2025<br />
警訊名稱<br />
桓基科技iSherlock存在安全漏洞(CVE-2025-7451),請儘速確認並進行修補<br />
內容說明研究人員發現桓基科技iSherlock存在作業系統命令注入(OS Command Injection)漏洞(CVE-2025-7451),未經身分鑑別之遠端攻擊者可注入任意作業系統指令並於伺服器上執行,請儘速確認並進行修補。<br />
影響平台<br />
影響產品:<br />
Hgiga iSherlock(包含 MailSherlock、SpamSherlock、AuditSherlock) 4.5與5.5<br />
影響套件:<br />
iSherlock-maillog-4.5之137(不含)以前版本<br />
iSherlock-smtp-4.5之732(不含)以前版本<br />
iSherlock-maillog-5.5之137(不含)以前版本<br />
iSherlock-smtp-5.5之732(不含)以前版本<br />
影響等級<br />
高<br />
建議措施<br />
更新套件iSherlock-maillog-4.5至137(含)以後版本<br />
更新套件iSherlock-smtp-4.5至732(含)以後版本<br />
更新套件iSherlock-maillog-5.5至137(含)以後版本<br />
更新套件iSherlock-smtp-5.5至732(含)以後版本<br />
<br />
參考資料<br />
1. https://nvd.nist.gov/vuln/detail/CVE-2025-7451<br />
2. https://www.twcert.org.tw/tw/cp-132-10237-9e0f7-1.html</div>
</div>
- 1140715國家資通安全研究院 漏洞資安訊息警訊(Fortinet FortiWeb)資安訊息保安警察第一總隊114-07-15115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000331<br />
發布時間<br />
Tue Jul 15 18:33:13 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Tue Jul 15 00:00:00 CST 2025<br />
警訊名稱<br />
Fortinet FortiWeb存在安全漏洞(CVE-2025-25257),請儘速確認並進行修補<br />
內容說明研究人員發現Fortinet FortiWeb存在驗證繞過(Authentication Bypass)漏洞(CVE-2025-25257),未經身分鑑別之遠端攻擊者可注入任意SQL指令讀取、修改及刪除資料庫內容,請儘速確認並進行修補。<br />
影響平台<br />
FortiWeb 7.6.0至7.6.3版本<br />
FortiWeb 7.4.0至7.4.7版本<br />
FortiWeb 7.2.0至7.2.10版本<br />
FortiWeb 7.0.0至7.0.10版本<br />
影響等級<br />
高<br />
建議措施<br />
官方已針對漏洞釋出修復更新,請參考官方說明,網址如下:<br />
https://www.fortiguard.com/psirt/FG-IR-25-151<br />
<br />
參考資料<br />
https://www.fortiguard.com/psirt/FG-IR-25-151</div>
</div>
- 1140707國家資通安全研究院 漏洞資安訊息警訊(其他)資安訊息保安警察第一總隊114-07-08115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000311<br />
發布時間<br />
Mon Jul 07 13:43:16 CST 2025<br />
事件類型<br />
其他發現<br />
時間<br />
Mon Jul 07 00:00:00 CST 2025<br />
警訊名稱<br />
台製資通訊設備疑似連線至中國地區,請調查自身是否曾有相關連線行為<br />
內容說明<br />
經所獲情資指出,台製資通訊設備疑似連線至中國地區情形,涉及之網域名稱為zhhna01.boardx.cn,請貴單位調查自身是否曾有相關連線行為,並檢視與強化資安防護措施,以確保系統安全。<br />
如有其他問題,請洽資安署余柏賢分析師,bsyubsyu@acs.gov.tw。<br />
影響平台<br />
連線至zhhna01.boardx.cn之資通訊設備<br />
影響等級<br />
中<br />
建議措施<br />
1.請貴單位檢視自身防火牆相關設定,以及相關連線紀錄,並參考網域名稱資訊,評估是否部署於機關資安防護機制並進行監控。<br />
2.定期分析網路是否有異常行為,及早發現潛藏入侵、資料外洩、惡意程式活動或指令通訊等威脅跡象,加強機關資安防護能力。<br />
<br />
參考資料無</div>
</div>
- 1140704國家資通安全研究院 漏洞資安訊息警訊(Cisco)資安訊息保安警察第一總隊114-07-07115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000301<br />
發布時間<br />
Fri Jul 04 13:53:16 CST 2025<br />
事件類型<br />
漏洞預警<br />
發現時間<br />
Fri Jul 04 00:00:00 CST 2025<br />
警訊名稱<br />
Cisco整合通訊管理平台存在高風險安全漏洞(CVE-2025-20309),請儘速確認並進行修補<br />
內容說明<br />
研究人員發現Cisco整合通訊管理平台(Unified Communications Manager)存在使用硬編碼之帳號通行碼(Use of Hard-coded Credentials)漏洞(CVE-2025-20309),未經身分鑑別之遠端攻擊者可利用透過SSH協定以無法變更之root權限帳號通行碼登入設備,進而取得設備完整控制權,請儘速確認並進行修補。<br />
影響平台<br />
Cisco Unified CM與Unified CM SME Engineering Special(ES) 15.0.1.13010-1至15.0.1.13017-1版本<br />
影響等級<br />
高<br />
建議措施<br />
官方已針對漏洞釋出修復更新,請參考官方說明進行更新,網址如下:<br />
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7<br />
<br />
參考資料<br />
1. https://nvd.nist.gov/vuln/detail/CVE-2025-20309<br />
2. https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssh-m4UBdpE7</div>
</div>
- 1140702國家資通安全研究院 漏洞資安訊息警訊(其他)資安訊息保安警察第一總隊114-07-03115-01-22<div class="ed_model01 clearfix">
<div class="ed_txt">國家資通安全研究院<br />
漏洞/資安訊息警訊<br />
發布編號<br />
NICS-ANA-2025-0000291<br />
發布時間<br />
Wed Jul 02 17:23:16 CST 2025<br />
事件類型<br />
其他<br />
發現時間<br />
Wed Jul 02 00:00:00 CST 2025<br />
警訊名稱<br />
駭客組織以匿蹤網路(LapDogs ORB)對全球設備發動攻擊情訊<br />
內容說明<br />
1.近期接獲情資,駭客組織持續針對我國發動攻擊,目的在於建立長期訪問權限以竊取憑證。當駭客入侵受駭設備後,將其納入匿蹤網路並部署後門程式(ShortLeash),該後門偽裝為虛擬私人伺服器(SSL Server)網站,並使用偽造的洛杉磯警察局(LAPD)憑證署名。<br />
2.提供本案駭客使用惡意程式相關Hash值如下(SHA256):<br />
ShortLeash Bash startup script:<br />
75618401b64046d970df49fcfdfcc36174b0aae27ac4e1c178dc75219992080a<br />
ShortLeash - Linux variant:<br />
9b954bfc2949d07eb41446225592eaa65ed3954cd2b93a13c574bb89147a4465<br />
ShortLeash - Linux variant:<br />
33ff77940436498a50bbb05391324964063cd3c93f2e66b07d1cb31442bb1513<br />
ShortLeash - Linux variant:<br />
073133298e5cca0833354be754f5d14358c0dbc24ba5f70e5b5eceec1d6726e6<br />
ShortLeash - Windows variant:<br />
02ab315e4e3cf71c1632c91d4914c21b9f6e0b9aa0263f2400d6381aab759a61<br />
ShortLeash - Windows variant:<br />
1a180186e6fbaf6fa88f934965290235e8418976d6f3546dbf100217d1752db4<br />
<br />
影響平台<br />
影響等級<br />
中<br />
建議措施<br />
1.參考惡意程式Hash資訊,評估是否部署於機關資安防護機制並進行監控。<br />
2.定期分析網路是否有異常行為,及早發現潛藏入侵、資料外洩、惡意程式活動或指令通訊等威脅跡象,加強機關資安防護能力。<br />
<br />
參考資料<br />
無</div>
</div>
- 114年網路攻防演練暨資安檢測 重要發現事項資安訊息保安警察第一總隊114-12-17115-01-21<div class="ed_model01 clearfix">
<div class="ed_txt">前言 <br />
網路攻防演練;遠端模擬駭客⼊侵⼿法,檢測政府機關與所轄對外系統之資安防護<br />
資安技術檢測;透過現場訪談與實測,檢視政府機關資安防護措施落實程度<br />
<br />
網路攻防演練重要結果<br />
不安全的組態設定<br />
• 透過路徑掃描⼯具發現⽬錄瀏覽功能⾴⾯<br />
• 繞過檔案上傳格式限制<br />
• 透過網⾴原始碼取得未經控管之⾦鑰<br />
• 取得系統或OS管理權限<br />
• 遭植⼊後⾨程式<br />
注⼊攻擊<br />
• 跨網站腳本攻擊 • SQL Injection攻擊<br />
• 竊取使⽤者資訊 • 資料庫資訊外洩<br />
加密機制失效<br />
透過Adobe Reader複製圖⽚取得未遮罩之原始圖⽚<br />
• 取得⽂件或系統儲存之機敏資訊(如:個人資料)<br />
無效的存取控管<br />
利⽤封包攔截⼯具修改封包,取得帳號通⾏碼<br />
透過目錄掃描或路徑猜測攻擊<br />
• 取得系統管理權限或公開頁面修改權限 <br />
• 取得系統儲存之機敏資訊(如:個⼈資料)<br />
認證及驗證機制失效<br />
• 使⽤預設之帳號通行碼登入<br />
• 弱通⾏碼破解<br />
• 透過系統手冊取得帳號通行碼資訊<br />
• 取得系統管理權限 <br />
• 取得系統儲存之機敏資訊(如:個人資料)<br />
依據弱點類型,與113年類型相⽐之變化如下,其中不安全的組態設定、注入攻擊、加密機制失效及無效的存取控管比例最⾼<br />
網路攻防演練發現與建議 <br />
Index of⾴⾯⽽洩漏檔案結構,應停用目錄瀏覽功能 – 上傳檔案之目錄須設定為不可執⾏(no-exec)<br />
針對透過網頁上傳檔案之副檔名進⾏嚴格限制<br />
Windows伺服器應安裝防毒軟體或EDR進⾏防護<br />
對使⽤者輸⼊內容進⾏嚴格過濾<br />
改以參數化形式傳值<br />
應將敏感資訊確實遮蔽後再行放置於公開網⾴上<br />
資安技術檢測發現與建議 <br />
機關未確認惡意中繼站名單部署完整性與正確性,無法完全阻擋 使用者電腦對惡意中繼站連線,可能導致機敏資訊外洩<br />
1. 網管人員應建立惡意中繼站名單部署與更新機制,並落實執行 <br />
2. 網管人員應定期進行惡意中繼站連線阻擋測試,確認惡意中繼站名單部署完整性與有效性 <br />
3. 機關使用外部GSN DNS解析時,仍應確實於IPS或防火牆部署惡意中繼站DNS名單<br />
結論與建議<br />
強化伺服器⽬錄存取防護 – <br />
網站伺服器應停⽤⽬錄瀏覽功能,避免出現「Index of」⾴⾯洩漏檔案結構,防⽌攻擊者藉此蒐集系統資訊並進⼀步攻擊<br />
強化上傳驗證與內容檢查機制<br />
應限制允許上傳之檔案類型與副檔名,並驗證MIME類型與內容⼀致性,防止惡意程式以偽裝檔案形式通過檢測。同時依最小權限原則設定帳號及目錄存取權限,以降低系統被入侵風險<br />
強化資料庫傳輸加密設定<br />
建議資料庫主機採⽤TLS 1.2(含)以上版本進⾏加密傳輸,並停⽤舊版協定與弱式加密套件,確保資料傳輸安全<br />
強化通行碼防護政策<br />
應建⽴完善通⾏碼管理規範,避免使⽤預設帳號或帳號密碼相同之設定,並加⼊登⼊錯誤次數限制、通⾏碼複雜度檢核與 驗證碼機制。同時避免系統顯⽰過多通行碼提⽰資訊,減少暴力破解或社交工程攻擊⾵險<br />
落實執行安全性更新<br />
資通系統與物聯網設備之作業系統、軟體及韌體應定期更新,並確保防毒軟體與應⽤程式維持最新版本,避免因版本過舊而遭已知弱點攻擊<br />
定期執行防火牆規則檢視<br />
應定期檢視防火牆規則,確保符合最新安全政策與業務需求,及時移除多餘或過期規則,降低誤開放與未授權存取風險<br />
<br />
資料來源:114年網路攻防演練暨資安檢測 重要發現事項重點節錄</div>
</div>
- 資通安全管理法修正重點資安訊息保安警察第一總隊114-12-17115-01-21<div class="ed_model01 clearfix">
<div class="ed_txt">⼀、資通安全管理法增修架構總覽 <br />
第⼀章 總則§1-9<br />
增修<br />
l 數發部為主管機關§2<br />
l 特定財團法⼈定義§3⑨<br />
l 受政府控制之事業、團體或機構§3 10<br />
l 協助⺠間處理、因應及防範重大資安事件§4<br />
l 國家資通安全會報§5<br />
l 依責任等級辦理防護措施§7<br />
l 主管機關得稽核公務機關§8<br />
l 委外辦理應建立管理機制§10<br />
<br />
第二章 公務機關資通安全管理§10-15<br />
增修<br />
l 分層監督管理模式調適:實施情形提出、稽核及事件通報對象§14~17<br />
l 重大資安事件提供協助及公告§17Ⅴ<br />
l 專職人員職能訓練及調度支援§18<br />
l 專職人員適任性查核§19<br />
<br />
第三章 特定非公務機關資通安全管理§16-18<br />
增修<br />
l CIP指定程序§16Ⅰ<br />
l CIP資安維護計畫實施情形應予稽核§16<br />
l其他特定非公務機關資安維護計畫實施情形得予稽核§17<br />
l資安事件通報應變機制§18<br />
<br />
第四章 罰則§19-21<br />
增修<br />
l 特非人員懲處§28Ⅲ<br />
l 演練作業罰則§30⑥<br />
l 行政調查罰則§31<br />
<br />
第五章 附則§22-23<br />
增修<br />
l 主管機關委託對象 §32【註】現行條文§6移列<br />
l資安事件涉個資外洩 時應另依個資法規定 辦理§33<br />
共通規範<br />
增修<br />
l 危害國家資安產品管制§11、27 共通規範<br />
l應配合演練作業之授權§17Ⅳ、24 Ⅳ<br />
<br />
二、資通安全管理法修法重點<br />
行政院:決定我國整體資安策略<br />
數位發展部:本法主管機關,規劃推動國家資安政策等相關事宜<br />
資通安全署:辦理國家資安業務<br />
監管機關:監管所屬、所監督、所轄、所管機關之資安管理<br />
納管機關:落實資安法遵義務<br />
<br />
新增<br />
增納受政府控制之事業、團體或機構(§3 10 )<br />
強化國家資通安全會報功能(§5):行政規則,現將規定入法<br />
調度支援 職能訓練(§18Ⅱ)<br />
適任性查核(§19)<br />
應設置專職⼈員及資安⻑(§20、21、23)<br />
增訂對所屬人員之獎懲規定(§26、28II)<br />
無上級機關之公務機關數發部得稽核 (§8) 事件通報及應處(§17)<br />
修訂<br />
危害國家資通安全產品限制使用原則提升至法律位階(§11、27)<br />
公務用之資通訊產品不得使用大陸廠牌(包含軟體、 硬體及服務)納入子法內訂定<br />
中央目的事業主管機關得予以限制或禁止<br />
限制範圍:公務機關、特定非公務機關<br />
新增<br />
特定非公務機關:重大資安事件調查權限(§25、31)限於重大資安事件<br />
<br />
三、資安相關子法修正重點<br />
(⼀)資通安全法施行細則<br />
§4 委外機關之適任性查核<br />
新增<br />
曾犯刑法「妨害電腦罪章」經有罪判決確定或通緝有案尚未結案<br />
<br />
資料來源:資通安全管理法修正重點節錄</div>
</div>
- 114年第2次政府資通安全防護巡迴研討會重點摘要資安訊息保安警察第一總隊114-12-17115-01-21<div class="ed_model01 clearfix">
<div class="ed_txt">⼀、資安政策與治理<br />
● 《資通安全概論》職能訓練教材改版 <br />
免訓評量<br />
1. 科目限《資通安全概論》,需提出申請(申請方式115年2月公布)<br />
2. 比照參訓評量,1次首測+4次複測 (複測仍須收費300元)<br />
參訓評量<br />
首測<br />
1. 參加該科目資安職能訓練 2. 訓練出席率達五分之四以上<br />
複測<br />
1. 已參加首測評量,惟成績未達合格標準 2. 報考以4次為限,每次收費300元<br />
換證<br />
1. 已持有資安職能訓練證書 2. 報考以2次為限<br />
換證試題配合新版(114年11月改版)教材更新<br />
● 政府組態基準(GCB)設定 <br />
資安責任等級A、B級公務機關應於初次受核定或等級變更後之1年內,依主管機關公告之項目,完成GCB導入作業,並持續維運。<br />
● 新版VANS系統作業推動 <br />
建議每季至少上傳1次以比對弱點資訊。<br />
高風險(CVSS 7.0分以上)弱點,應優先修補。<br />
● 建立資安專職人力調訓機制 <br />
公務機關資通安全專職人員 (A級4人、B級2人、C級1人)<br />
人數規模約1,500人,原則均應實體參訓<br />
● 資安業務績效評核 <br />
資通安全責任等級B級以上中央機關(構)、公法人、直轄市政府所屬資訊機關及縣(市)政府均列入評選<br />
資通安全責任等級C級以上公務機關採機關遴薦報名制<br />
1. 資通安全管理法法遵應辦 事項執行情形 <br />
2. 資通安全管理作業及業務 配合執行情形<br />
3. 其他資通安全管理業務促 進活動或特殊創新作為<br />
<br />
二、資安技術與防護機制 <br />
● 持續精進網路攻防演練 <br />
● 受託者資通安全聯合查核指引 <br />
本次修正重點以擴大稽核涵蓋範圍及強化技術面合規事項為目標<br />
資安法主管機關籌組稽核團隊<br />
公務機關依據資訊服務採購契約,委由資通安全 管理法主管機關籌組專案團隊稽核<br />
公務機關自行籌組聯合稽核團隊 <br />
• 中央二級機關聯合所屬三、四級機關或聯合同領 域公務機關 <br />
• 地方政府得參照上述辦理<br />
<br />
三、近期政府機關資安事件案例分享及資安宣導<br />
114年1月至9月資安事件<br />
非法入侵<br />
主因:為使用/下載來源不明之應用程式/套件,主要為下載含有 惡意程式之偽冒通訊軟體<br />
設備問題<br />
主因:多為設備異常/ 毀損、電力供應異常等<br />
3級以上資安事件樣態<br />
機密性<br />
• 雲端空間權限設定不當 <br />
• 人員疏失 <br />
• 社交工程 <br />
• 公文系統設定錯誤<br />
• 網頁漏洞遭利用<br />
可用性<br />
• 電力問題核心系統可用性中斷<br />
• 系統遭入侵,影響核心業務(急診業務) <br />
• 目錄權限設定錯誤,影響機關CI核心業務可用性 <br />
• 資料庫異常,無法於可容忍中斷時間內修復 <br />
• 網路設備異常,影響機關CI核心系統可用性<br />
未即時處理資安預警警訊導致個資外洩<br />
案係資安署於114年3月發布資安預警警訊(EWA)通知機關系統疑似存在弱點, 請機關儘速確認並進行必要應處,惟機關遲至5月被通知後才進行處理,該系 統已遭有心人士登入並瀏覽他人個資資料,已造成個人資料外洩風險,爰通報 3級資安事件。<br />
建議防範措施<br />
● 資安署及資安院發布之EWA警訊,機關應儘速處理,並依警訊內容進行檢視, 若發現入侵事實(機密性、完整性或可用性受影響),須依資安法進行通報 <br />
● 資料保護,敏感資料加密儲存、查詢過程遮蔽及最少揭露<br />
雲端空間權限權限設定不當<br />
機關辦理參訪活動報名時,透過QR CODE供⺠眾⾄雲端空間下載報名表, 後續廠商將整理後含個資之報名資料與⺠眾可下載報名表存放於相同雲端空間內,惟未設定雲端空間存取權限,導致⺠眾可掃描QR CODE後下載含個資之報名資料,致敏感資訊外洩。<br />
建議防範措施<br />
● 機關辦理對外活動或公告所使用之報名方式時,應確認其內容之妥適性及其資 安管理措施,避免因設定不當致資料外洩 <br />
● 使用雲端空間分享敏感資訊時,檔案需加密,且資料夾應有合適權限管控 <br />
● 注意廠商管理,針對機敏資訊應加強管理與防護<br />
機關公務電話節費盒遭入侵及盜撥電話<br />
案係某機關發現其公務電話遭不明人士盜打進行詐騙,經查該公務電話係機關使用之網路電話,比對撥話紀錄,發現有外部IP撥打情形,判斷應 係設置於機關內部之電話節費盒遭外部惡意登入後,進行未授權撥號所致。<br />
建議防範措施<br />
● 使用高強度密碼、並定期更新以及移除預設帳密 <br />
● 遵循「原則禁止,例外允許」原則,進行存取限制管理 <br />
● 納入監控,定期查看帳號登入及設備連線記錄,避免異常情形 <br />
● 定期盤點更新狀態,若設備已停產或不再提供安全性更新,應評估是否需進行汰<br />
資安宣導<br />
資安推廣-惡意檔案檢測服務<br />
資安署所管台灣電腦網路危機處理暨協調中心(TWCERT/CC),提供惡意檔案檢測服務(VirusCheck),本服務採用雲地混合架構,利用公有雲具彈性、高效及安全等特點,並結合地端商用沙箱之分析能力確保檢測資訊不外洩。建議機關可多加利用,避免機關利用VirusTotal進行檔案檢測時,誤將敏感資訊上傳造成資料洩漏。<br />
<br />
資料來源:114年第2次政府資通安全防護巡迴研討會重點節錄</div>
</div>
- 資通安全網路月報(114年12月)資安訊息保安警察第一總隊115-01-20115-01-20<div class="ed_model01 clearfix">
<div class="ed_txt">一、近期政策重點<br />
資通安全管理法修正案已於114年12月1日正式施行,數發部業依資安法第11條第3項之授權,於114年12月19日以數授資法字第1145000392號令訂定發布「危害國家資通安全產品審查辦法」,並溯及至114年12月1日施行;另於數發部資通安全署官網「資安法規專區」公布提報危害國家資通安全產品情資相關表單。<br />
立法院114年12月23日三讀通過《人工智慧基本法》,旨在促進以人為本之人工智慧研發與人工智慧產業發展,建構人工智慧安全應用環境,落實數位平權並保障人民基本權利。本法將確保技術應用符合社會倫理,維護國家文化價值及提升國際競爭力,奠立法制基礎。<br />
二、近期資安事件分享<br />
SSL VPN 漏洞遭利用植入資料庫惡意程式<br />
機關網站偵測發現異常連線,經調查駭客利用SSL VPN功能漏洞,成功登入並新增帳號,後續連線至資料庫主機植入惡意程式,過程中發現存在多個資安風險,包括防火牆韌體版本未更新、入侵防禦授權逾期,及管理頁面未限制連線來源等,機關已中斷設備網路進行鑑識與應變處置。<br />
經驗學習(Lessons Learned) <br />
本案事故根因聚焦於「資安授權過期」、「韌體與弱點維護疏漏」、「帳號權限管理缺失」及「外部存取控管過於寬鬆」等四大面向 。由於防護設備韌體未及時更新,致使攻擊者得以利用已知漏洞並配合概念驗證(PoC)工具,成功繞過身分驗證機制進入系統,隨後透過非法新增帳號植入惡意程式 。為防範類似威脅再次發生,提供以下防護作為供各機關參酌:<br />
1.確保資安防護持續有效<br />
建立授權到期預警機制,確保資安設備(如IPS及 Web Filter)維持有效授權,以利自動更新特徵碼以因應資安威脅。<br />
2.更新韌體與弱點補強<br />
資安設備韌體應納入定期更新排程,並檢查已知弱點修補情形。<br />
3.帳號控管原則<br />
定期清查系統帳號是否有異常新增,停用或移除未使用之服務功能與帳號。<br />
4.落實遠端存取之限制<br />
遠端連線服務(如 SSL VPN、SSH)應遵循行政院院臺護字第1100165761號公文所述原則「原則禁止、例外允許」及「最小權限原則」方式辦理。<br />
三、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共6萬1,580件(減少1,215件),分析可辨識的威脅種類,第1名為資訊蒐集類(45%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵嘗試類(21%),主要係嘗試入侵未經授權的主機;以及入侵攻擊類(18%),大多是系統遭未經授權存取或取得系統/使用者權限。<br />
駭客把病毒藏在合法網站躲避檢查<br />
經進一步彙整分析聯防情資資訊,發現近期駭客於社交工程釣魚郵件中利用微軟CAB(Cabinet)檔案作為惡意程式之散布載體。CAB是微軟常用之壓縮封裝格式,可將多個檔案進行打包並壓縮,並廣泛應用於Windows更新、驅動程式及安裝程式之部署流程。惟因其具備封裝彈性與合法性,亦常遭駭客濫用以隱匿惡意內容或降低檔案特徵可見度。駭客將惡意執行檔藏匿於CAB檔中,以繞過安全偵測並誘使收件者點擊執行惡意內容,相關情資已提供各機關聯防監控防護建議。<br />
【事中通報應變】 <br />
本月資安事件通報數量共107件,是去年同期的1.67倍,通報類型以非法入侵為主,占本月通報件數71.57%。本月份再次偵測到多個機關,因安裝冒牌軟體以致植入惡意程式占總通報件數32.71%。<br />
(二)重要漏洞警訊<br />
警訊內容說明<br />
漏洞警訊研究人員發現7-Zip存在連結追蹤(Link Following)漏洞(CVE-2025-55188)<br />
類別未經身分鑑別之本機端攻擊者可利用此漏洞寫入任意檔案。該漏洞目前已遭駭客利用。<br />
壓縮程式官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
7-Zip 25.01(不含)以下版本<br />
嚴重程度: CVSS 3.6<br />
(CVE-2025-55188)<br />
WordPress擴充程式/網頁主題研究人員發現WordPress擴充程式與網頁主題存在PHP本機檔案包含(PHP Local File Inclusion)漏洞(CVE-2025-67522、CVE-2025-67523、CVE-2025-67524、CVE-2025-67525、CVE-2025-67526、CVE-2025-67527、CVE-2025-67529、CVE-2025-67530、CVE-2025-67531及CVE-2025-67532)。<br />
存在10個高風險安全漏洞未經身分鑑別之遠端攻擊者可利用此漏洞,誘使伺服器端PHP程式載入本機非預期檔案,並於伺服器端執行任意程式碼,請儘速確認版本並進行修補。<br />
嚴重程度:相關連結:<br />
CVSS 9.8<br />
(CVE-2025-67522、https://www.cve.org/CVERecord?id=CVE-2025-67522<br />
CVE-2025-67523、https://www.cve.org/CVERecord?id=CVE-2025-67523<br />
CVE-2025-67524、https://www.cve.org/CVERecord?id=CVE-2025-67524<br />
CVE-2025-67525、https://www.cve.org/CVERecord?id=CVE-2025-67525<br />
CVE-2025-67526、https://www.cve.org/CVERecord?id=CVE-2025-67526<br />
CVE-2025-67527、https://www.cve.org/CVERecord?id=CVE-2025-67527<br />
CVE-2025-67529、https://www.cve.org/CVERecord?id=CVE-2025-67529<br />
CVE-2025-67530、https://www.cve.org/CVERecord?id=CVE-2025-67530<br />
CVE-2025-67531及https://www.cve.org/CVERecord?id=CVE-2025-67531<br />
CVE-2025-67532)https://www.cve.org/CVERecord?id=CVE-2025-67532<br />
遠端設備管理軟體研究人員發現Cisco Catalyst Center虛擬設備存在不當存取控制(Improper Access Control)漏洞(CVE-2025-20341)。<br />
研華科技WISE-DeviceOn Server研究人員發現研華科技WISE-DeviceOn Server存在使用硬刻之加密金鑰(Use of Hard-coded Cryptographic Key)漏洞(CVE-2025-34256)。<br />
嚴重程度:CVSS 9.8未經身分鑑別之遠端攻擊者可自行製作token以偽冒任意DeviceOn帳號,進而取得完整控制權。<br />
(CVE-2025-34256)官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
已知遭駭客利用之漏洞<br />
作業系統研究人員發現Fortinet FortiWeb存在相對路徑遍歷(Relative Path Traversal)漏洞(CVE-2025-64446)及作業系統命令注入漏洞(CVE-2025-58034)。<br />
Cisco AsyncOS研究人員發現Cisco Secure Email Gateway (SEG)與Secure Email and Web Manager (SEWM)所使用之AsyncOS(Cisco專用)作業系統存在不當輸入驗證(Improper Input Validation)漏洞(CVE-2025-20393)。<br />
嚴重程度:CVSS 10.0未經身分鑑別之遠端攻擊者可利用此漏洞以root權限於受影響設備底層作業系統執行任意指令。<br />
(CVE-2025-20393)官方已提供安全公告,請參考官方說明儘速確認並採取相關緩解措施。<br />
開源JavaScript函式庫研究人員發現Oracle Fusion Middleware存在關鍵功能驗證缺失漏洞(CVE-2025-61757),允許未經驗證的遠端攻擊者接管。<br />
React Server研究人員發現React Server Components在解析傳向Server Function端點的序列化資料時,存在安全漏洞(CVE-2025-55182)。<br />
Components攻擊者可在無需身分驗證的情況下,透過發送特製的惡意負載,達成遠端程式碼執行。<br />
嚴重程度:CVSS 10.0官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進修補。<br />
(CVE-2025-55182)<br />
警訊說明:<br />
「漏洞警訊」:為已驗證漏洞但尚未遭攻擊者大量利用,修補速度建議儘快安排更新。<br />
「已知遭駭客利用之漏洞」:已知有漏洞成功攻擊情形,建議即刻評估修補。<br />
<br />
四、國際資安新聞<br />
美國CISA與NSA 就中國「磚塊風暴」(BRICKSTORM) 惡意軟體發出警告<br />
(資料來源:The Record)<br />
12月4日,美國CISA、國家安全局 (NSA) 與加拿大網路安全中心 (CCS) 聯合發布一份關於「磚塊風暴」(BRICKSTORM) 惡意軟體的警告,該警告基於來自受害機構的樣本。「磚塊風暴」是一種複雜的後門惡意軟體,與中國政府支持的駭客組織有關,其攻擊目標是政府和IT產業的機構,並長期駐留於受害系統中。此惡意軟體主要影響VMware vSphere和Windows環境,可用於提取憑證和建立隱藏虛擬機器以進行隱藏存取。該惡意軟體具有自我監控功能,可在中斷時自動重新安裝或重新啟動。此外,該惡意軟體也被用於瀏覽、上傳、下載、建立、刪除和篡改檔案。<br />
<br />
美國國家標準與技術研究院 (NIST) 計畫建構人工智慧代理威脅與緩解分類體系<br />
(資料來源:Security Boulevard )<br />
NIST正在開發一套人工智慧代理威脅與緩解分類體系,旨在應對人工智慧快速普及帶來日益增長的安全風險。該計畫在紐約人工智慧高峰會上宣布,旨在系統性識別和分類人工智慧代理特有的攻擊面,從而加強現有的網路安全框架。目前這些框架不足以保護企業級人工智慧應用。 NIST 強調了這項工作的緊迫性,並引用安全研究人員在測試中能夠從大型語言模型 (LLM) 中提取敏感資料的成功案例。隨著各組織機構嘗試使用日益自主的人工智慧代理,此分類體系將為管理新型數位身分和權限,以及緩解諸如影子人工智慧和即時注入攻擊等風險提供重要的指導。<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資通安全網路月報(114年11月)資安訊息保安警察第一總隊114-12-23114-12-23<div class="ed_model01 clearfix">
<div class="ed_txt">資通安全網路月報(114年11月)<br />
一、近期政策重點<br />
資通安全法修正案已於114年9月24日經總統公布,並於114年12月1日施行;其相關子法「資通安全法施行細則」、「資通安全責任等級分級辦法」、「資通安全維護計畫實施情形稽核辦法」、「資通安全事件通報應變辦法」、「公務機關所屬人員辦理資通安全事項作業辦法」、「資通安全情資分享辦法」及「危害國家資通安全產品審查辦法」等7項子法,預計於115年1月1日施行。<br />
<br />
二、近期資安事件分享<br />
案例1<br />
偽冒Chrome元件更新提示,不慎誤點遭入侵<br />
機關辦理資安健診時,偵測到一台電腦存在可疑程式,經SOC鑑識研判該程式屬高風險檔案,且偵測發現異常對外連線行為。經查肇因於人員於下班時間使用辦公室電腦瀏覽網頁時,出現引導使用者更新Chrome 擴充元件的彈跳視窗,人員誤信該提示為正常更新通知,遂依指示操作以致下載惡意程式。後續機關已將受駭設備重新安裝作業系統,並同步規劃進行教育訓練,提升使用者資安意識。<br />
經驗學習(Lessons Learned) <br />
近年駭客透過偽裝系統更新或瀏覽器擴充元件更新的彈跳視窗,誘使使用者在相似的介面下載惡意程式,若缺乏瀏覽器或端點防護機制有效控管,即可能成為惡意程式進入端點的入口。機關可透過強化瀏覽器控管、限制未授權擴充元件與程式執行,以及提升使用者辨識能力等方式,降低遭假更新誘導下載惡意程式的風險。<br />
1.源頭管理軟體安裝,採白名單並啟用阻擋彈窗<br />
強化瀏覽器與擴充元件管控:採白名單制度、啟用彈跳視窗阻擋,並集中由管理者派送瀏覽器與擴充元件更新,降低使用者接觸偽造更新提示的風險。<br />
2.嚴管軟體執行權限,杜絕異常程式活動<br />
限制未授權程式與異常行為:透過群組原則(GPO)阻擋未簽章或來源不明的程式執行,並以白名單方式分層控管,兼顧業務需求與防護效果。<br />
3.提升人員資安意識,辨識偽冒陷阱<br />
提升使用者辨識能力:加強教育訓練,使人員能辨識假更新提示、偽造下載頁面與可疑彈窗,降低誤點與安裝惡意程式的可能。<br />
<br />
案例2<br />
公私混用又弱密碼遭破,導致社群公務帳戶被接管<br />
機關基於業務宣傳需求設置Facebook粉絲專頁,並由業務承辦人與維運廠商負責日常管理作業。惟承辦人之個人Facebook帳號因使用弱密碼遭不明人士入侵,進而影響與個人帳號綁定之機關粉絲專頁管理權限,致原管理者們(承辦人及維運廠商)皆遭移除管理權限。後續報請內政部警政署刑事警察局聯繫Meta公司,協助恢復原管理者權限後,立即要求承辦人員與維運廠商變更密碼、再次清查帳號及確認 Facebook 相關安全要求設定。<br />
經驗學習(Lessons Learned)<br />
公務粉絲專頁不宜使用個人帳號進行管理,因個人帳號除可能連動第三方應用程式、跨裝置登入、密碼跨平台重複使用、未啟用多因子驗證或因個人習慣導致安全設定不一致,均可能提高帳號遭入侵或存取權杖(Access Token)遭濫用的風險,故建議強化帳號安全控管、控管連動應用程式及定期檢視。<br />
1.啟用多因子驗證並開啟安全設定<br />
(1)啟用多因子驗證 (MFA, Multi-Factor Authentication)。<br />
(2)使用高強度且不重複的密碼,並建立定期更換機制。<br />
(3)啟用「登入提醒」(Login Alerts),並定期檢查「安全性與登入」的登入地點、已登入裝置與授權瀏覽器。<br />
(4)啟用「受信任裝置管理」,降低帳號被未授權登入的風險。<br />
2.定期檢查已授權或連動之應用程式<br />
(1)定期檢查Facebook「應用程式與網站」中已授權的第三方App。<br />
(2)移除不明或不再使用的應用程式,以避免OAuth Token遭濫用。<br />
(3)監控與粉專相關的外部工具(如社群排程系統或廣告管理應用程式)的授權情形,降低因Token失竊而被操作粉專的風險。<br />
<br />
三、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共6萬2,795件(增加4,174件),分析可辨識的威脅種類,第1名為資訊蒐集類(41%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵嘗試類(23%),主要係嘗試入侵未經授權的主機;以及入侵攻擊類(18%),大多是系統遭未經授權存取或取得系統/使用者權限。<br />
駭客把病毒藏在合法網站,躲避檢查 <br />
經進一步彙整分析聯防情資資訊,發現近期駭客於社交工程釣魚郵件中濫用免費雲端分享空間CatBox作為惡意程式下載站。該網站為免費之雲端分享空間,提供使用者上傳檔案並產生下載連結,以供檔案存取或分享。惟駭客藉由利用其合法網域散布惡意程式,以規避資安偵測機制,相關情資已提供各機關聯防監控防護建議。<br />
【事中通報應變】<br />
本月資安事件通報數量共72件,較去年同期增加35.85%,通報類型以非法入侵為主,占本月通報件數58.40%,仍有機關因可攜式媒體感染PUBLOAD惡意程式;此外,亦觀察到有機關網路錄影機(Network Video Recorder, NVR)遭入侵利用Curl指令下載Linux惡意程式。<br />
<br />
(二)重要漏洞警訊<br />
警訊<br />
漏洞警訊<br />
類別內容說明<br />
用戶/伺服器軟體研究人員發現Samba存在作業系統指令注入漏洞(OS Command Injection)漏洞(CVE-2025-10230)。<br />
Samba存在遠端指令執行漏洞若使用者架設Samba AD Domain Controller伺服器並啟用WINS協定支援,未經身分鑑別之遠端攻擊者可注入任意作業系統指令於Samba伺服器上執行。<br />
嚴重程度:CVSS 10官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-10230)<br />
<br />
網通設備研究人員發現ASUS部分DSL型號路由器存在身分鑑別繞過(Authentication Bypass)漏洞(CVE-2025-59367)。<br />
ASUS DSL路由器存在高風險安全漏洞未經身分鑑別之遠端攻擊者可透過此漏洞,對受影響設備執行未經授權之存取,請儘速確認並進行修補。<br />
嚴重程度:CVSS 9.3官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-59367)<br />
<br />
網路管理平台研究人員發現Cisco Catalyst Center虛擬設備存在不當存取控制(Improper Access Control)漏洞(CVE-2025-20341)。<br />
Cisco Catalyst Center虛擬設備存在高風險安全漏洞取得一般權限之遠端攻擊者可透過傳送特製HTTP請求至受影響設備以執行未經授權之修改,進而提升至管理者權限。<br />
嚴重程度:CVSS 8.8官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-20341)<br />
<br />
已知遭駭客利用之漏洞<br />
網通設備研究人員發現Fortinet FortiWeb存在相對路徑遍歷(Relative Path Traversal)漏洞(CVE-2025-64446)及作業系統命令注入漏洞(CVE-2025-58034)。<br />
Fortinet FortiWeb存在路徑遍歷遠端程式碼執行漏洞、作業系統命令注入漏洞未經身分鑑別之遠端攻擊者可透過傳送特製HTTP、HTTPS請求,或命令列介面(CLI)指令,進而於受影響設備上執行管理者權限之指令,或執行未經授權的程式碼。<br />
嚴重程度:CVSS 9.8、CVSS 7.2官方已針對漏洞釋出修復更新,請參考下列官方說明儘速確認並進行修補。<br />
(CVE-2025-64446、CVE-2025-58034)<br />
參考資料:https://www.fortiguard.com/psirt/FG-IR-25-910、https://www.fortiguard.com/psirt/FG-IR-25-513<br />
<br />
伺服器/應用程式研究人員發現Oracle Fusion Middleware存在關鍵功能驗證缺失漏洞(CVE-2025-61757),允許未經驗證的遠端攻擊者接管身分管理系統。<br />
Oracle Fusion Middleware權限提升漏洞官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
嚴重程度:CVSS 9.8 <br />
(CVE-2025-61757)<br />
<br />
四、國際資安新聞<br />
<br />
CISA: 勒索軟體團夥正在利用 Linux 高風險漏洞 <br />
(資料來源:Bleeping Computer)<br />
美國網際安全暨基礎設施安全局(CISA)確認,Linux 核心中的高風險權限提升漏洞CVE-2024-1086 已被勒索軟體團夥利用。CVE-2024-1086 於2024年10月31日揭露,是netfilter: nf_tables 核心元件中的一個釋放後使用(use-after-free)漏洞。成功利用該漏洞的攻擊者可以利用本機存取權限提升目標系統的權限,甚至可能取得受感染裝置的root權限。據 Immersive Labs稱,攻擊者獲得root權限後,可能會進行系統接管、橫向網路移動和資料竊取。此漏洞影響主流Linux發行版,包括Debian、Ubuntu、Fedora和Red Hat,涉及核心版本3.15至 6.8-rc1。CISA於10月22日將CVE-2025-61932加入其已知利用漏洞(KEV)目錄中,並將11月12日定為所有聯邦機構的強制修補截止日期。<br />
<br />
英國國家醫療服務體系 (NHS) 英格蘭分部警告:7-Zip 漏洞正被積極利用 (CVE-2025-11001)<br />
(資料來源:Help Net Security )<br />
英國國民保健署 (NHS) 英格蘭分署數位部門發布警告,指出7-Zip漏洞CVE-2025-11001正被攻擊者利用。CVE-2025-11001是一個路徑/目錄遍歷漏洞,存在於ZIP檔案中符號連結的處理機制中。惡意建構的ZIP檔案資料會導致程式遍歷到非預期目錄。攻擊者可以利用此漏洞以服務帳戶的身份執行程式碼。此漏洞僅在 Windows系統上可被利用,且僅可透過具有管理員權限的使用者/服務帳戶或啟用了開發者模式的Windows電腦進行攻擊。由於 7-Zip軟體不具備自動更新功能,因此強烈建議7-Zip用戶盡快升級至最新版本(已於v25.00中修復)。<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資通安全網路月報(114年10月)資安訊息保安警察第一總隊114-11-17114-11-24<div class="ed_model01 clearfix">
<div class="ed_txt">資通安全網路月報(114年10月)<br />
一、近期資安事件分享<br />
以常見鍵盤排序設置密碼易遭破解<br />
機關接獲SOC通知,發現僅供內部使用之系統出現對外異常連線。經查機關近期因進行防火牆汰換,未逐一檢視防火牆政策套用生效因而導致外部可存取到內部系統進而入侵攻擊,且該系統以常見鍵盤排序設置密碼,導致遭暴力破解成功登入並植入惡意程式。機關透過虛擬機重新建置受影響系統、全面變更密碼,並要求管理者遵守密碼複雜性原則,嚴禁使用鍵盤排列組合作為密碼。<br />
<br />
經驗學習(Lessons Learned)<br />
機關雖已依規定導入政府組態基準(GCB),但使用者帳號密碼仍採「鍵盤排序」方式(如1qaz2wsx、!QAZ@WSX等),雖形式上符合GCB密碼長度與複雜度規範,仍因規律性過高,遭暴力破解工具成功猜測登入,顯示安全意識仍有不足。此外,網路設備與設定管理的變更,應落實驗證、檢測與持續控管,以降低資安風險。爰此建議各機關:<br />
1.建立安全且可監控的遠端存取策略<br />
持續強化帳號與驗證安全,包括密碼設置除長度與複雜度要求外,建議導入「密碼黑名單」機制,排除常見鍵盤序列或可預測字串。若防護需求等級為「高」之資通系統,建議導入多因子驗證(Multi-Factor Authentication, MFA),以強化身分識別安全性。<br />
2.落實設備變更驗證與定期稽核<br />
建置網路設備與設定異動管理機制,例如變更前後驗證程序,確保相關設定完整套用,後續定期稽核以檢查防火牆規則與存取紀錄,以利發現異常開放或遺漏。<br />
3.強化異常登入行為偵測<br />
強化偵測監控,例如登入失敗次數監控、異常登入時段、短時間內大量登入嘗試,以及早發現異常登入嘗試、重複攻擊或暴力破解行為。<br />
<br />
二、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共5萬8,621件(減少6,609件),分析可辨識的威脅種類,第1名為資訊蒐集類(38%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵嘗試類(26%),主要係嘗試入侵未經授權的主機;以及入侵攻擊類(18%),大多是系統遭未經授權存取或取得系統/使用者權限。<br />
駭客把病毒藏在合法網站,躲避檢查 <br />
經進一步彙整分析聯防情資資訊,發現近期駭客於社交工程釣魚郵件中濫用「網際網路檔案館(Internet Archive)」作為惡意程式的下載站,該網站為合法的數位圖書館服務,提供多媒體資料與網頁內容的保存與閱覽。惟駭客藉由利用其合法網域散布惡意程式,以規避資安偵測機制,相關情資已提供各機關聯防監控防護建議。<br />
<br />
【事中通報應變】<br />
本月資安事件通報數量共53件,較去年同期減少32.91%,通報類型以非法入侵為主,占本月通報件數58.49%,仍有機關因可攜式媒體感染PUBLOAD惡意程式;此外,亦觀察到有機關監視器遭入侵利用下載惡意腳本。<br />
<br />
(二)重要漏洞警訊<br />
警訊內容說明<br />
漏洞警訊<br />
類別研究人員發現傑印資訊筆硯公文管理系統存在任意檔案上傳(Arbitrary File Upload)漏洞(CVE-2025-11948)。<br />
系統服務未經身分鑑別之遠端攻擊者可上傳並執行網頁後門程式,進而於伺服器端執行任意程式碼,請儘速確認並聯繫廠商進行更新。<br />
傑印資訊筆硯公文管理系統存在安全漏洞<br />
嚴重程度:CVSS:9.8<br />
(CVE-2025-11948)<br />
<br />
已知遭駭客利用之漏洞<br />
Microsoft Windows Server 研究人員發現Windows Server Update Services存在不安全之反序列化(Deserialization of Untrusted Data)漏洞(CVE-2025-59287)。<br />
Windows Server Update Services (WSUS) 存在高風險安全漏洞未經身分鑑別之遠端攻擊者,可透過向WSUS伺服器發送特製事件以系統權限執行任意程式碼。<br />
嚴重程度:CVSS:9.8官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-59287)<br />
<br />
Microsoft Windows Server研究人員發現Windows SMB用戶端存在NTLM反射(NTLM Reflection)漏洞(CVE-2025-33073)。<br />
Windows SMB存在高風險安全漏洞取得一般使用者權限之遠端攻擊者,可透過執行惡意腳本,迫使SMB用戶端與攻擊者控制之SMB伺服器連線並進行身分鑑別,由於SMB用戶端在驗證階段存在缺陷,攻擊者可藉此繞過安全檢核以提升至系統權限,進而控制用戶端系統。<br />
嚴重程度:CVSS:8.8官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-33073)<br />
<br />
VMware 工具研究人員發現Broadcom VMware Aria Operations 和VMware Tools存在「使用不安全操作定義權限」的漏洞(CVE-2025-41244)。<br />
存在高風險漏洞 這項漏洞惡意本地攻擊者若擁有非管理員權限,且能夠存取已安裝VMwar Tools 並由Aria Operations管理且啟用了SDMP的虛擬機,則可利用此漏洞將權限提升至該虛擬機的root 使用者。<br />
嚴重程度:CVSS 7.8官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補<br />
( CVE-2025-41244)<br />
<br />
三、國際資安新聞<br />
Google 修補 Gemini AI 套件中的「Gemini Trifecta」漏洞 <br />
(資料來源:Hack Read)<br />
資安公司Tenable在Google的Gemini AI助理套件中,發現了三個關鍵性的安全缺陷,並將其命名為「Gemini 三連擊」(Gemini Trifecta)。這些漏洞約於10月初公開揭露,前述漏洞使 Gemini面臨提示注入(prompt injection)和資料外洩(data exfiltration)的風險,威脅到Gemini使用者的資料安全。<br />
三項關鍵漏洞詳情<br />
漏洞一:提示注入與Chrome瀏覽記錄<br />
影響組件:Gemini搜尋個人化模型(Search Personalization Model)。<br />
攻擊方式:攻擊者可藉由操縱使用者的Chrome瀏覽記錄。<br />
潛在後果:實現提示注入(Prompt Injection),使攻擊者能控制AI的輸出和行為。<br />
漏洞二:惡意日誌與雲端資源攻擊<br />
影響組件:Gemini雲端助理(Gemini Cloud Assist)。<br />
攻擊方式:攻擊者將惡意提示嵌入日誌項目(Log Entry)中,例如利用網頁請求的HTTP User-Agent欄位。<br />
潛在後果:啟動網路釣魚(Phishing),並導致對雲端資源執行未經授權的操作。<br />
漏洞三:繞過防禦與私人資料外洩<br />
影響組件:Gemini瀏覽工具(Gemini Browsing Tool)。<br />
攻擊方式:繞過Google的防禦機制。<br />
潛在後果:實現資料外洩(Data Exfiltration),將使用者的私人資料(例如地理位置)發送到外部的伺服器。<br />
Google已經回溯(rolled back)了有漏洞的模型,停止了惡意超連結的渲染(rendering),並在整個套件中部署了多層次的提示注入防禦策略。<br />
<br />
人為風險報告揭示:企業對網路釣魚防禦「過度自信」<br />
(資料來源:Tech Republic )<br />
根據 Arctic Wolf發布的年度《人為風險行為快照》(Human Risk Behavior Snapshot)報告顯示,儘管企業對自身的網路安全防禦持續抱持高度信心,但員工的日常行為,如網路釣魚失誤和有風險的AI 使用習慣,仍是造成資料外洩的主要原因。報告顯示,在2025年有68%的IT領導者表示其組織曾遭受資料外洩,較2024年增加了8%。<br />
過度自信與實際風險的落差:儘管有近三分之二的IT領導者和半數員工承認曾點擊惡意連結,但仍有大約75%的領導者相信自己的組織是安全的。領導者對防禦措施的過度自信,以及員工規避安全規範的傾向,加劇了想像與實際漏洞之間的差距。<br />
生成式AI帶來的資訊風險:隨著生成式AI的使用增加,資訊風險也隨之加劇。有80%的IT領導者和63%的員工在工作中使用AI工具,其中60%的領導者和41%的員工承認曾將機密資料輸入到這些平台中。<br />
應對人為錯誤的態度分歧:報告同時強調了企業在應對人為錯誤時,做法上的分歧日益擴大。專注於矯正性訓練的公司,成功將風險降低了88%;然而,有77%的IT領導者表示會解僱上當受騙的員工,這一比例高於去年的66%。<br />
<br />
簡單的提示注入攻擊即可繞過 OpenAI 的安全防護欄<br />
(資料來源:Hack Read)<br />
在OpenAI於10月6日釋出其AgentKit工具組,並同步推出Guardrails安全框架後,資安公司HiddenLayer隨即揭露了其中的一項重大缺陷。<br />
OpenAI將Guardrails描述為一個開源、模組化的安全層,它利用特殊的AI程式,亦即基於大型語言模型(LLM-based)的「評審」(Judges),來阻擋像是「越獄」(Jailbreaks)和「提示注入」(Prompt Injections)等惡意行為。然而,HiddenLayer 找到了一種繞過這些「Guardrails」的方法。<br />
HiddenLayer指出,如果用於生成回覆的模型與作為安全檢查器的模型是同類型的,那麼這兩種模型就能以相同的方式被欺騙。研究人員成功地癱瘓了主要的安全性偵測器,並說服系統產生有害的回應並執行隱藏的提示注入。<br />
在其中一項測試中,HiddenLayer 透過操縱AI評審的置信分數(confidence score),成功繞過了一個原先有95%信心認為其提示屬於越獄行為的偵測器。他們甚至能夠欺騙系統,使其允許透過工具呼叫(tool calls)進行間接提示注入,這可能導致使用者的機密資料外洩。<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資通安全網路月報(114年9月)資安訊息保安警察第一總隊114-10-17114-10-17<div class="ed_model01 clearfix">
<div class="ed_txt">一、近期政策重點<br />
114年9月24日總統公布《資通安全管理法》修正通過,為我國資通安全法制建構邁出關鍵一步。此次修法不僅回應國內外資安環境快速變遷的挑戰,更全面強化政府與社會整體資安韌性,為我國數位國土安全建立更堅實的防護屏障。<br />
<br />
二、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共6萬5,230件(減少2萬4,208件),分析可辨識的威脅種類,第1名為資訊蒐集類(39%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵嘗試類(25%),主要係嘗試入侵未經授權的主機;以及入侵攻擊類(19%),大多是系統遭未經授權存取或取得系統/使用者權限。<br />
<br />
假陳情、真釣魚:駭客鎖定官方管道發動攻擊 <br />
經進一步彙整分析聯防情資資訊,發現近期駭客以「陳情」或「投訴」名義,寄送社交工程釣魚郵件,主要透過政府機關相關陳情管道(如意見信箱或官方網站)遞送惡意檔案,企圖誘使收件者或政府機關承辦窗口開啟並執行惡意附件,相關情資已提供各機關聯防監控防護建議。<br />
<br />
【事中通報應變】<br />
本月資安事件通報數量共106件,較去年同期減少49.76%,通報類型以非法入侵為主,資安院發現部分機關資訊設備出現 PUBLOAD 惡意程式特徵連線,經機關調查多為隨身碟感染所造成。<br />
<br />
(二)重要漏洞警訊<br />
警訊內容說明<br />
漏洞警訊<br />
防火牆設備Cisco安全防火牆自適應安全設備(ASA)、Cisco安全防火牆威脅防禦(FTD)軟體、Cisco IOS軟體、Cisco IOS XE軟體和Cisco IOS XR軟體的Web服務存在重大資安漏洞(CVE-2025-20363)。<br />
Cisco安全防火牆設備的版本存在高風險漏洞此漏洞源於HTTP請求對使用者輸入驗證不當,攻擊者可向受影響設備的Web服務發送精心設計的HTTP請求,以root身分執行任意程式碼,從而導致受影響裝置中斷服務。官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
嚴重程度:CVSS 9.0<br />
(CVE-2025-20363 )<br />
<br />
已知遭駭客利用之漏洞<br />
防火牆設備Cisco安全防火牆自適應安全設備(ASA)和Cisco安全防火牆威脅防禦(FTD)的VPN Web伺服器中存在重大資安漏洞(CVE-2025-20333,CVSS)。<br />
<br />
Cisco安全防火牆設備的版本存在高風險漏洞此漏洞源自伺服器對使用者輸入HTTP(S)請求驗證不當,持有有效VPN使用者憑證的攻擊者,可藉由精心設計的HTTP請求,允許經身分驗證的遠端攻擊者以root身分在受影響設備執行任意程式碼。官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
嚴重程度:CVSS 9.9<br />
(CVE-2025-20333)<br />
<br />
Android裝置研究人員於Android發現多個漏洞,公告指出 ART 中存在 use-after-free(記憶體使用後釋放)缺陷,攻擊者可利用此缺陷繞過 Chrome sandbox,向系統層(system_server)晉升權限,達成本地提權,且利用時不需額外使用者互動。(CVE-2025-48543)。<br />
<br />
Android Runtime (ART) Use-After-Free存在高風險漏洞漏洞影響:攻擊者可以直接利用該漏洞從遠端 (鄰近/相鄰) 執行程式碼,過程中不需要取得其他執行權限,也不必與使用者互動。<br />
嚴重程度:CVSS 9.3官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-48543)<br />
<br />
網站應用平台研究人員發現Sitecore XM/XP 在特定版本的 ViewState/反序列化處理存在不安全行為,透過 ViewState 或反序列化不可信資料導致RCE (CVE-2025-53690)。<br />
<br />
Web應用伺服器若未修補,可能直接導致遠端代碼執行、機密資料外洩或被用作內部跳板(實務上攻擊者可用來部署後門/偵蒐惡意程式)。<br />
Sitecore Experience Manager (XM) 與 Experience Platform (XP)存在高風險漏洞官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
嚴重程度: CVSS 9.0<br />
(CVE-2025-53690)<br />
<br />
警訊說明:<br />
「漏洞警訊」:為已驗證漏洞但尚未遭攻擊者大量利用,修補速度建議儘快安排更新。<br />
「已知遭駭客利用之漏洞」:已知有漏洞成功攻擊情形,建議即刻評估修補。<br />
<br />
三、近期資安事件分享<br />
小心陳情附件!偽冒PDF捷徑檔暗藏惡意程式<br />
國家資通安全研究院發現部分機關資訊設備對外惡意連線,經機關調查顯示入侵來源為官方網站提供之陳情管道,承辦人員為處理陳情案件,將其所附之壓縮檔解壓縮後逐一檢視檔案,執行偽冒PDF檔之捷徑(lnk)檔,以致遭植入惡意程式。<br />
<br />
經驗學習(Lessons Learned)<br />
國家資通安全研究院發現近期攻擊者透過機關陳情管道(例如意見信箱)投遞夾帶惡意程式之檔案,藉此誘使承辦人員執行惡意程式以達成入侵目的,建議各機關:<br />
1.強化檔案安全檢驗<br />
由於壓縮檔可能繞過一般檢測機制,建議在解壓縮前先確認檔案名稱與實際格式,避免執行可疑內容,並透過防毒掃描或沙箱測試強化防護。<br />
2.建立標準化流程<br />
針對外部來源檔案,應制定檢視與風險分級作業準則,並規範於專屬的檢視環境或隔離平台處理,依不同風險層級採取相應的安全措施。<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資通安全網路月報(114年8月)資安訊息保安警察第一總隊114-09-24114-09-24<div class="ed_model01 clearfix">
<div class="ed_txt">資通安全網路月報(114年8月)<br />
<br />
一、近期政策重點<br />
《資通安全管理法》修正草案已於114年8月29日立法院三讀通過,資安署將於總統公布後六個月內完成8項子法修訂,期與母法同步施行。另資安署將持續強化防禦架構及即時監控,有效提升網路安全防護及應變能力,並透過法規與政策推動,提升整體防禦韌性。<br />
<br />
二、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共8萬9,438件(減少2,776件),分析可辨識的威脅種類,第1名為入侵攻擊類(36%),大多是系統遭未經授權存取或取得系統/使用者權限;其次為資訊蒐集類(33%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;以及入侵嘗試類(19%),主要係嘗試入侵未經授權的主機。<br />
小心有關詢問志工計畫報名之惡意郵件 <br />
經進一步彙整分析聯防情資資訊,發現近期駭客利用第三方電子郵件服務(如微軟Outlook與Google Gmail),以詢問志工計劃報名為由,針對政府機關人員寄送內含惡意附檔之社交工程電子郵件,企圖誘騙收件人開啟惡意附檔以植入後門程式,進而竊取電腦機敏資訊,相關情資已提供各機關聯防監控防護建議。<br />
<br />
【事中通報應變】<br />
本月資安事件通報數量共158件,較去年同期減少9.20%,本月實兵演練攻擊成功案件較多,占本月通報件數53.16%,以注入攻擊為主,其次為加密機制失效與無效的存取控管等事件。<br />
(二)重要漏洞警訊<br />
警訊內容說明<br />
漏洞警訊<br />
網通設備<br />
Cisco Secure Firewall Management Center (FMC)軟體之RADIUS子系統存在未妥善處理特殊字元之注入(Injection)漏洞(CVE-2025-20265)。未經身分鑑別之遠端攻擊者可於憑證輸入階段注入任意Shell指令,進而於系統上達成遠端執行任意程式碼。<br />
Management Center(FMC)官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
嚴重程度:CVSS 10<br />
(CVE-2025-20265)<br />
<br />
已知遭駭客利用之漏洞<br />
網通設備<br />
Citrix NetScaler ADC與NetScaler Gateway多個版本存在記憶體溢位(Memory Overflow)漏洞(CVE-2025-7775),未經身分鑑別之遠端攻擊者可利用此漏洞執行任意程式碼或阻斷服務。<br />
嚴重程度:CVSS 9.2官方已針對漏洞釋出修復更新,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-7775)<br />
<br />
Windows版本WinRAR 7.12(含)以前版本,存在路徑穿越(Path Traversal)漏洞(CVE-2025-8088),未經身分鑑別之遠端攻擊者可利用漏洞製作惡意壓縮檔並透過釣魚信件發送,當受駭者開啟壓縮檔後,惡意程式將寫入開機資料夾中,並於每次開機時自動執行。<br />
嚴重程度:CVSS 8.4將其設備升級到已修復漏洞的受支援版本之一,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-8088)<br />
<br />
Trend Micro Apex One、2019 Management Server 14039(含)以前版本,本地部署版本存在作業系統指令注入(OS Command Injection)漏洞(CVE-2025-54948與CVE-2025-54987),未經身分鑑別之遠端攻擊者可於管理主控台上傳惡意程式碼並執行,請儘速確認並進行修補。<br />
嚴重程度: CVSS 9.4將其設備升級到已修復漏洞的受支援版本之一,請參考官方說明儘速確認並進行修補。<br />
(CVE-2025-54948與CVE-2025-54987)<br />
<br />
三、近期資安事件分享<br />
工控設備應變更預設密碼並限制暴露於網際網路<br />
國家資通安全研究院發現部分政府機關使用之工控設備控制頁面,未限制存取且暴露於網際網路,亦未變更登入預設密碼,本月發現其中有遭入侵成功對外連線至殭屍網路(Botnet)之事件,後續機關評估遠端操作為非必要需求,已將該受駭設備下架,後續改由人員至現場手動操作。<br />
<br />
經驗學習(Lessons Learned)<br />
政府機關透過工控環境設備來管理業務運作,許多設備可能設置於偏遠地區或環境嚴苛的地點,例如水庫或變電站,無形中增加人工到場維護的成本與資源。因此,許多營運單位傾向於透過遠端操作監控與維護工控設備,以降低維護成本提升作業效率。然而未能設置完整的防護架構(例如防火牆或存取控管機制),導致未限制或弱管控的存取狀況時有發生,使得工控設備更容易成為駭客攻擊的目標,進而對產線、公共安全及營運造成重大風險,建議各機關:<br />
1.建立安全且可監控的遠端存取策略<br />
將遠端存取變得「安全且可監控」,包括白名單管制、設置跳板機或VPN連線,避免暴露於公開網路,並配合日誌紀錄記錄操作人、時間與行為等,以持續監控。<br />
2.落實工控設備帳號安全,從變更預設密碼做起<br />
落實帳號與密碼管理,部分工控設備的預設密碼可透過使用手冊、官方文件或網路論壇查找取得,駭客不需要破解或社交工程,即有機會登入成功,這也是許多自動化工具最常利用的漏洞,建議更換原廠預設密碼,設定具足夠長度與複雜度的密碼,並定期更新。同時遵循最小權限原則,確保僅有授權人員能存取與操作設備境下使用。<br />
3.立即修補已知漏洞,鞏固營運安全<br />
儘速修補已知弱點,落實弱點管理政策,透過儘速修補已知弱點,不僅能降低設備遭攻擊的可能性,也能確保工控系統持續安全運作,保障營運與公共安全。<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資通安全網路月報(114年7月)資安訊息保安警察第一總隊114-08-19114-08-28<div class="ed_model01 clearfix">
<div class="ed_txt">一、近期政策重點<br />
第七期「國家資通安全發展方案(114年至117年)」,以「建構信賴安全之數位社會」為願景,設定「強化全社會資安防禦韌性」、「豐富資安產業生態系」及「構築新興科技防禦技術」為三大目標,並擬具「全社會資安防禦」、「提升關鍵基礎設施資安韌性」、「壯大我國資安產業」及「AI新興資安科技應用與合作」四項推動策略,由中央各部會及地方政府,共同推動資安防護,以發揮國家整體資安聯防綜效。<br />
<br />
二、資通安全趨勢<br />
(一)我國政府整體資安威脅趨勢<br />
【事前聯防監控】<br />
本月蒐整政府機關資安聯防情資共9萬2,214件(增加2,539件),分析可辨識的威脅種類,第1名為資訊蒐集類(36%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;其次為入侵攻擊類(35%),大多是系統遭未經授權存取或取得系統/使用者權限;以及入侵嘗試類(20%),主要係嘗試入侵未經授權的主機。<br />
注意以產品報價為題之社交工程郵件 <br />
經進一步彙整分析聯防情資資訊,發現近期駭客偽稱提供業務相關產品報價,寄送內含罕見副檔名.ARJ之社交工程郵件,並將附件檔名偽裝為常見文件格式(如pdf),企圖混淆收件人判斷,點擊開啟惡意附件。當收件人執行該惡意程式後,將連線至Google雲端硬碟下載2階惡意檔案,進一步達成控制收件人電腦之目的,相關情資已提供各機關聯防監控防護建議。<br />
【事中通報應變】<br />
本月資安事件通報數量共235件,較去年同期減少12.64%,通報類型以非法入侵為主,持續觀察到多個機關資訊設備疑似安裝冒牌軟體,產生符合後門程式特徵之連線,占本月非法入侵通報件數37.96%。<br />
<br />
三、近期資安事件分享<br />
小心USB儲存裝置可能潛藏惡意程式<br />
本月某機關通報內部多台電腦對外異常連線,經查確認受駭電腦感染來源皆來自同一個USB儲存裝置,研判該裝置於同仁出差期間曾接入外部未受信任設備,可能因此遭植入惡意程式,後續該USB儲存裝置又接入內部其他電腦進而內部擴散。<br />
經驗學習(Lessons Learned)<br />
此事件顯示,若在可攜式裝置的使用與管理上,缺乏完善的政策規範、存取控管及檢測機制,容易成為攻擊者入侵的管道,建議各機關:<br />
1.建立可攜式裝置使用政策<br />
建立並公告可攜式儲存裝置(如USB儲存裝置、外接硬碟)使用政策,禁止未受信任外部來源裝置接入機關設備,亦不得將內部裝置接入外部未受信任設備。使用外部裝置前應先進行防毒掃描與安全檢測,以降低惡意程式傳播風險。<br />
2.防毒自動掃描與隔離使用機制<br />
所有外部接入之裝置,應由防毒系統自動掃描,或在隔離環境下使用。<br />
3.停用AutoRun自動執行功能<br />
透過群組原則(GPO)將AutoRun設定為完全停用,防止USB儲存裝置中的autorun.inf自動啟動惡意程式,避免在未經使用者同意下於背景執行並感染系統。<br />
<br />
四、資安新知<br />
假冒網站高度仿真難分辨,小心下載軟體恐中駭<br />
自本(114)年2月起,陸續有多個機關被偵測安裝偽冒軟體並連線惡意中繼站情形,本月此類事件更為頻繁,常見於新進人員報到或設備汰換時,使用者取得新電腦後,透過搜尋引擎查找LINE通訊軟體,誤至非官方網站下載偽冒安裝程式,導致電腦遭植入後門程式。<br />
駭客設置之偽冒網站網址與LINE官方極為相似,頁面設計亦高度仿真,甚至可能具備良好的搜尋結果排名,代表網站內容與關鍵字高度相關,容易被使用者找到<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- 資通安全網路月報(114年6月)資安訊息保安警察第一總隊114-07-18114-08-01<div class="ed_model01 clearfix">
<div class="ed_txt"><整體威脅趨勢><br />
<br />
<strong>事前聯防監控</strong><br />
本月蒐整政府機關資安聯防情資共8萬9,675件(較上月減少2,957件),分析可辨識的威脅種類,第1名為入侵攻擊類(33%),大多是系統遭未經授權存取或取得系統/使用者權限;其次為資訊蒐集類(30%),主要是透過掃描、探測及社交工程等攻擊手法取得資訊;以及入侵嘗試類(26%),主要係嘗試入侵未經授權的主機。<br />
<br />
經進一步彙整分析聯防情資資訊,發現近期駭客疑利用遭破解之關鍵基礎設施人員電子郵件帳號,以「麻煩協助確認」主旨與通行碼保護之惡意壓縮檔,對特定製造業公司發動社交工程郵件攻擊,企圖繞過防毒軟體,並誘使目標收件人開啟惡意附件以達竊取電腦敏感資料目的,相關情資已提供各機關聯防監控防護建議。<br />
<br />
<strong>事中通報應變</strong><br />
本月資安事件通報數量共168件(較上月增加24件),較去年同期增加10.53%,本月實兵演練攻擊成功案件較多,以不安全的組態設定為主,其次為注入攻擊與無效的存取控管等事件,占本月通報件數66.67%。<br />
<br />
<strong>事後資訊分享</strong><br />
本月某機關發現其公務電話遭不明人士盜打進行詐騙,經查該公務電話係機關使用之網路電話,比對撥話紀錄,發現有外部IP撥打情形,判斷應係設置於機關內部之電話節費盒遭外部惡意登入後,進行未授權撥號所致。事件發生後立即變更設備之帳號密碼,評估設備後續使用效益與資安風險,決定停止使用以防範類似情形再次發生。<br />
<br />
網路電話設備若未妥善設定帳密、防火牆及監控機制,極易成為詐騙集團攻擊漏洞,造成財務損失與政府信任度受損。建議各機關:<br />
<strong>●遵循「原則禁止,例外允許」原則</strong><br />
為提高維護便利性,故設置遠端存取以供維護人員進行故障排除或更新,易低估設備重要性而疏於存取限制管理,將可能遭受暴力破解、預設帳密攻擊或弱點利用,因此仍應遵循「原則禁止,例外允許」原則,進行系統維護作業。(法遵:資通安全責任等級分級辦法-附表十 資通系統防護基準-存取控制構面)<br />
<strong>●強制使用高強度密碼、定期更新並移除預設帳密</strong><br />
部分廠商為便於使用者取得產品操作說明書,會將其公開於網路上提供下載閱讀,惟其內容可能涉及到預設密碼,因此若未變更預設密碼易遭有心人士取得利用。(法遵:資通安全責任等級分級辦法-附表十 資通系統防護基準-識別與鑑別構面)<br />
<strong>●評估設備是否支援定期韌體更新與資安修補,並納入管理流程,避免使用已停產或不受支援設備</strong><br />
設備出廠後有機率會被發現存在資安漏洞,需透過韌體更新進行修補,若已停產或不再提供安全性更新,即成為資安風險,建議將其納入管理流程,例如定期盤點更新狀態,評估是否需淘汰。(法遵:資通安全責任等級分級辦法-附表十 資通系統防護基準-系統與資訊完整性構面)<br />
<br />
資料來源:數位發展部資通安全署月報重點節錄</div>
</div>
- Gartner 發佈雲技術發展六大趨勢資安訊息保安警察第一總隊114-04-14114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">Gartner顧問總監Joe Rogus表示,這些趨勢正在加速推動雲從技術賦能者向業務顛覆者轉變,成為多數企業必需品。在未來幾年,雲技術將繼續催生新商業模式、帶來競爭優勢,為企業實現業務目標提供新思路。<br />
Gartner預測,六大趨勢將決定雲技術未來發展方向,最終催生出具有變革性的新型數位化工作方式。<br />
<br />
<strong>趨勢1:對雲技術不滿</strong><br />
雲技術採用持續增長,但並非所有雲技術實施都會取得成功。Gartner預測,到2028年,25%企業將會因期望不切實際、實施方式欠佳、成本難以控制等原因,而對雲技術採用感到不滿。<br />
為保持競爭力,企業需要制定清晰的雲戰略並切實執行。Gartner研究表明,到2029年,成功落實前期戰略重點的企業對雲技術不滿將有所緩解。<br />
<br />
<strong>趨勢2:AI/ML需求增長</strong><br />
AI/ML需求將大幅增長,而超大規模雲服務提供者將處於這一增長核心位置,通過將基礎能力融入IT基礎結構、加強與供應商暨用戶合作、利用真實與合成資料訓練AI模型等方式,推動計算資源配置方式轉變。Gartner預測,到2029年,用於AI工作負載的雲計算資源比例將達50%,而目前這一比例還不到10%。<br />
Rogus表示,這些都表明,到2029年,與AI相關的雲工作負載將增長五倍。企業現應評估自身資料中心和雲戰略是否足以應對AI和ML需求激增。在許多情況下,可能需要將AI佈署到資料存儲地支援這一增長。<br />
<br />
<strong>趨勢3:多雲端與跨雲端</strong><br />
許多採用多雲端架構的企業發現,與雲服務提供者連接以及雲服務提供者之間連接是一項難題。不同環境間缺乏互通性可能會阻礙雲技術採用。Gartner預測,到2029年,超過50%企業將無法從多雲端佈署中獲得預期結果。<br />
Gartner建議,企業應根據具體情況,識別特定案例,規劃企業內部可從跨雲端佈署模式中受益的分散式應用和資料,這樣能夠讓工作負載在不同雲平臺、本地和託管設施間協同運行。<br />
<br />
<strong>趨勢4:行業解決方案</strong><br />
行業雲平臺正呈現上升趨勢,越來越多供應商開始提供垂直業務成果的解決方案,助力數位計畫規模化。Gartner預測,到2029年,超過50%企業將使用行業雲平臺加速業務舉措。<br />
Gartner建議,企業應將行業雲平臺視為一種戰略補充,增添現有IT組合能力,而非完全替代現有系統。這有助於企業規避技術債務、推動創新、創造商業價值。<br />
<br />
<strong>趨勢5:數位主權</strong><br />
AI應用、隱私法規收緊、以及地緣政治緊張局勢,共同推動主權雲服務需求增加,企業越來越需要保護資料、基礎結構與關鍵工作負載,防止受到域外管轄控制以及外國政府存取。Gartner預測,到2029年,擁有數位主權戰略的跨國企業比例將超過50%,而目前這一比例還不到10%。<br />
Rogus表示,企業可通過主動調整雲戰略來滿足數位主權要求,目前已有許多解決方案能夠滿足需求可供支援。但他們須明確自身需求,以便選擇合適解決方案組合,保障資料安全和運營完整性。<br />
<br />
<strong>趨勢6:永續性</strong><br />
隨著監管機構、投資者暨公眾均要求技術投資與環境目標更加一致,越來越多雲提供商和用戶共同承擔起更多構建永續IT基礎結構的責任。隨著AI工作負載能耗持續增加,企業還須更好地瞭解、衡量與管理新興雲技術對永續性的影響。<br />
Gartner研究顯示,到2029年,全球範圍內將永續性納入採購優先考慮事項之一的企業比例將超過50%。為讓雲投資產生更大價值,企業不能僅著眼於環境影響,還需使自身永續性戰略與關鍵業務成果保持一致。<br />
<br />
資料來源:網管人</div>
</div>
- AI推升散熱需求 氣液冷皆吃重資安訊息保安警察第一總隊114-04-14114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">台灣熱管理協會(TTMA)於日前舉辦「台灣熱管理年會暨技術成果發表會」,並邀請Google、微軟以及CoolIT Systems等重量級業者進行專題演講,吸引三百多位國內散熱產業人士共同參與。台灣熱管理協會理事長龔育諄指出,自接任理事長以來,台灣熱管理協會的會員在三年內成長了近四成,也足以顯見散熱已經成為剛需,期待未來也能有更多的題目與研究可以分享。<br />
<br />
會中專家們分享了許多觀察與看法。例如AI已經引發了全球數百萬人的想像與興趣,除了個人用戶之外,也吸引了企業與IT領導者的大量關注。然而AI所需要的運算量也呈現指數般的成長,訓練AI模型的參數量從早期數百萬個參數已經達到數千億甚至是數兆個參數,而這也推動了運算需求的爆炸性成長。另一方面,單一晶片封裝的散熱設計功耗(TDP)已突破1,000W,而且可能持續上升,散熱問題已經成為巨大的挑戰。<br />
<br />
雖然越來越多的設計會採用液冷,但是氣冷技術也不能忽略。與會專家指出,資料中心團隊與系統設計團隊需更緊密合作,共同思考系統設計與部署方式。除了新建設的資料中心能支援液冷,也要考慮既有的傳統基礎設施,其他像是供應鏈、測試以及運輸物流等等也應該納入考量。舉例來說,當系統採取液冷設計時,如何供應與回收這些冷卻液體,都應該事先做好規劃。<br />
熱密度(Thermal Density)已成為所有人都必須面臨的挑戰,但只有20%的資料中心已鋪設液體管道,為液冷做好準備,預估到了2030年將增長到50%,換言之,有許多資料中心現今還未準備好,因此,液冷發展固然重要,但氣冷的創新也不能忽略。<br />
<br />
資料來源:網管人</div>
</div>
- 從混合雲挑戰看資安轉型資安訊息保安警察第一總隊114-04-14114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">混合雲架構正在成為企業IT部署的常態。它結合了公有雲的彈性與內部部署環境的掌控力,讓企業可以在效率與安全性之間取得平衡。然而,混合雲也帶來不少挑戰,尤其是在資安與維運方面,可視性也困擾著混合部署。<br />
<br />
多數企業的混合雲架構橫跨內部資料中心、公有雲、SaaS服務,甚至OT環境。這樣的分散性使資安團隊不易用完整視角管理,導致可視性分散、安全漏洞、效能監控難以即時定位,甚至連合規性都成為一大挑戰。這也讓我們深刻意識到「網路可觀測性(Network Observability)」的重要性。它不僅是工具,更是策略思維的轉變,讓企業在混合雲環境中維持安全、效率與可控性。<br />
<br />
在今日多元且複雜的IT環境中,僅靠端點防護已經遠遠不夠。攻擊者會使用像繞過多因素身分驗證(MFA)攻擊、魚叉式網路釣魚、離地攻擊{Living Off-the-Land}、憑證填充(Credential Stuffing) 和零日漏洞(0-day vulnerability)等高級技術來尋找整個環境中的漏洞。部署全天候威脅偵測勢在必行。<br />
<br />
資料來源:網管人重點節錄<br />
<br />
※Living Off-the-Land:最早可追溯到2013年,Christopher Campbell與Matthew Graeber兩位資安研究人員在DerbyCon大會上的演說。運用攻擊目標現成的合法工具,寄生攻擊涵蓋的範圍可說是相當廣泛,利用可執行檔案(Binary)、程式碼(Script)等系統現成工具攻擊,例如PowerShell、wscript、mpcmdrun及WMI等。</div>
</div>
- 雙重隔離保備份資料安全資安訊息保安警察第一總隊114-03-17114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">根據《Synology 2025 台灣企業資料管理大調查》,當前真正落實資料隔離機制的台灣企業僅不到5%,顯示許多企業的備份環境正暴露於高風險。事實上,資料隔離實作方式多元,企業可依需求選擇「邏輯性隔離」(Logical Air-gap)或「實體隔離」(Physical Air-gap),甚至結合兩者以大幅提升整體資料保護層級。<br />
<br />
邏輯性隔離,是運用軟體層級的安全機制,降低攻擊者觸及備份資料的可能性。首先組織可設置防火牆與分段網路,阻絕備份環境與主要營運系統的連線,防堵惡意存取行為。接著導入多重驗證、無密碼登入等身份認證機制,確保是經授權的人員存取,例如企業可採取零信任架構(Zero Trust)藉此阻擋外部攻擊者,還可降低內部任意人員帳號遭盜取時,入侵備份架構且刪改資料的風險。<br />
<br />
當然僅靠權限控管不一定能做到滴水不漏,內部系統若已遭到駭客入侵,邏輯性隔離的另一道防線便格外重要:不可竄改機制。理想的資料保護解決方案,應提供企業以不可竄改(Immutable)的形式備份資料,即便駭客成功掌控管理者權限,也無法修改或刪除伺服器內的備份副本,提升資料的完整性與存續性。<br />
<br />
相較之下,實體隔離則是在邏輯性隔離之上,額外加入實體層級的管控,完全斷開備份設備與主要系統的連線,確保內部系統遭受攻擊之後,組織仍有一份乾淨的備份副本可以還原。舉例來說,企業可選擇在非備份時段將備份伺服器斷網或關機,或於每日備份完成之後,自動關閉備份伺服器的網卡,杜絕駭客經由網路竊取或加密備份資料,反之,也能規範在指定時段才能存取備份伺服器,等於是對的人,在對的時間才有辦法取得備份資料。<br />
<br />
兩種資料隔離方式各有優勢,沒有孰優孰劣,而應相輔相成。建議在導入資料保護解決方案時,選擇可支援並結合兩種機制的資料保護解決方案,以提升企業面對勒索軟體與惡意攻擊的防禦韌性。<br />
<br />
資料來源:網管人</div>
</div>
- Cisco IOS XR 軟體爆雙嚴重漏洞 專家籲立即更新資安訊息保安警察第一總隊114-03-17114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">思科(Cisco)近期發布重要安全公告, IOS XR 軟體存在兩個高風險安全漏洞,可能讓攻擊者獲取系統最高權限或導致 BGP 路由服務中斷。專家呼籲用戶立即更新系統,以防止可能的網路攻擊。<br />
<br />
<strong>命令行界面權限提升漏洞</strong><br />
第一個被標記為 CVE-2025-20138 的嚴重漏洞,在 CVSS 評分量表上高達 8.8 分,被歸類為高危險等級。該漏洞存在於 Cisco IOS XR 軟體的命令行界面(CLI)中,允許具有有限用戶權限的攻擊者執行具有最高控制級別的命令。<br />
<br />
<strong>BGP 協議拒絕服務漏洞</strong><br />
第二個被標記為 CVE-2025-20115 的漏洞則影響Border Gateway Protocol(BGP)實現,僅影響配置 BGP 的 Cisco IOS XR 設備。成功利用此漏洞允許未經身份驗證的攻擊者通過緩衝區溢出造成記憶體損壞,從而在低複雜度的攻擊中遠程使易受攻擊的設備癱瘓,導致 BGP 進程重新啟動。<br />
<br />
影響範圍與解決方案<br />
<strong>這兩個漏洞影響所有配置的 Cisco IOS XR 64 位軟體,但以下版本不受影響:</strong><br />
IOS 軟體<br />
IOS XE 軟體<br />
IOS XR 32 位軟體<br />
NX-OS 軟體<br />
IOS XR 軟體版本 24.4<br />
思科表示,需要更新的版本包含:<br />
運行 Cisco IOS XR 軟體版本 24.1 或更早版本的用戶需要切換到已修補的版本。<br />
使用版本 24.2 的用戶應在可用時升級到版本 24.2.21。<br />
版本 24.3 的用戶必須過渡到安全版本 24.3.1。<br />
<br />
資料來源:網管人重點摘錄</div>
</div>
- 網路資安25年:Windows AD為何仍是攻擊焦點?資安訊息保安警察第一總隊114-03-17114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">微軟的 Active Directory(簡稱 AD)推出至今已 25 年,仍然是許多企業環境中的核心身分管理系統。正因為它在企業網路中扮演如此關鍵的角色,持續成為駭客優先鎖定的目標。<br />
<br />
AD 之所以始終是駭客的首要目標,在於它在身分識別和存取管理上的核心地位。一旦 AD 遭到入侵,攻擊者就等於掌握了整個IT環境的鑰匙,因為AD控制著組織內所有網路資源的存取權限。<br />
<br />
多年來駭客持續改進攻擊手法,利用系統配置錯誤、資安漏洞、權限提升路徑、驗證協定弱點,以及其他問題來入侵 AD 環境。混合式身分架構的興起,加上 Microsoft 雲端版 Entra ID 的廣泛採用,更使這些挑戰雪上加霜,讓許多組織在同時維護傳統和現代身分系統時遭遇困境。<br />
<br />
目前難以取得 Active Directory 的確切安裝使用量統計,但根據海外市調公司五年前的評估報告,全球前 1000 大企業中約 90% 使用 AD 作為主要的身分驗證與存取控制機制。多數產業觀察家認為,這個比例至今仍維持不變。<br />
<br />
資安專家指出,組織在應對 AD 威脅時最大的錯誤,是誤認 AD 的預設設定已足夠安全。實際上AD 及相關系統的主要資安漏洞,來自密碼強度不足及易於破解的設定。此外,缺乏多層安全防護機制(如多因素驗證 MFA)更使問題雪上加霜。<br />
<br />
雖然 AD 維持其基礎架構以支援現代環境運作,但其基礎安全協定卻未有顯著進步。過時且脆弱的安全設定仍然存在,使系統容易遭受現代攻擊手法的侵害。<br />
<br />
專家進一步指出企業資安團隊的另一項重大疏失:缺乏完善的 AD 復原策略。由於許多組織未建立並測試資安韌性復原計畫,因此特別容易受到勒索軟體或資料抹除攻擊的威脅,最終導致業務癱瘓。根據 Sophos 2023 年的分析,駭客從初始入侵到取得組織 AD 環境存取權限,中位數時間僅需 16 小時。<br />
<br />
組織可以透過停用過時的通訊協定、為特權帳號強制實施 MFA,以及採用安全的委派機制來降低 AD 相關威脅的風險。此外實施持續性的 AD 安全監控和異常偵測也有助於即時緩解威脅。<br />
<br />
資料來源:網管人重點摘錄</div>
</div>
- 美國CISA新增五個漏洞至KEV目錄 影響 Cisco、Hitachi、Microsoft與Progress用戶資安訊息保安警察第一總隊114-02-14114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">美國網路安全與基礎設施安全局(CISA)近期將五個重大安全漏洞納入已知被利用漏洞(Known Exploited Vulnerabilities, KEV)目錄,涉及Cisco、Hitachi、Microsoft與Progress等公司的軟體系統。CISA呼籲聯邦機構盡快採取因應措施。<br />
<br />
在這次披露的重大漏洞中,Cisco小型企業路由器的CVE-2023-20118漏洞尤其引人注目。該漏洞允許遠端攻擊者在Web管理介面獲得root級權限,且由於路由器已達使用壽命,目前仍未修補。法國網路安全公司Sekoia更揭露,威脅行為者已將易受攻擊的路由器納入名為PolarEdge的殭屍網路。<br />
<br />
此外,也值得關注的是Hitachi Vantara Pentaho BA Server的兩個嚴重漏洞。CVE-2022-43939,這是一個授權存取略過漏洞,CVSS評分達8.6。另一個是CVE-2022-43769,允許攻擊者注入Spring範本並執行任意指令,CVSS評分更高達8.8。這兩個漏洞將於2024年8月透過9.3.0.2和9.4.0.1版本修復。<br />
<br />
Microsoft Windows的Win32k漏洞(CVE-2018-8639)同樣不容忽視。這個CVSS評分為7.8的漏洞允許本機已驗證使用者提升權限,並可在核心模式執行任意程式碼。該漏洞影響範圍廣泛,涵蓋Windows 7及以上用戶端和Windows Server 2008及以上伺服器。<br />
<br />
Progress WhatsUp Gold的CVE-2024-4885漏洞則CVSS評分高達9.8。這是一個路徑遍歷漏洞,允許未驗證攻擊者遠端執行程式碼。雖然已於2024年6月在2023.1.3版本中修復,但Shadowserver Foundation觀察到自2024年8月1日起已有利用嘗試。更令人擔憂的是,GreyNoise的資料顯示,來自香港、俄羅斯、巴西、南韓和英國的8個獨特IP位址與此漏洞的惡意利用有關。<br />
<br />
資料來源:網管人<br />
</div>
</div>
- PolarEdge 殭屍網路鎖定台灣:華碩、QNAP 和 Synology 設備面臨嚴重威脅資安訊息保安警察第一總隊114-01-06114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">法國資安公司 Sekoia 最近發現一項新的惡意軟體活動,針對思科(Cisco)、華碩(ASUS)、威聯通(QNAP) 和群暉(Synology)等廠商的邊緣設備,將它們納入一個名為 PolarEdge 的殭屍網路中。而這一攻擊活動至少從2023年底就已開始。<br />
<br />
根據 Sekoia 的報告,未知威脅行為者正在利用 CVE-2023-20118(CVSS 評分為 6.5)這一嚴重安全漏洞。該漏洞影響 Cisco Small Business RV016、RV042、RV042G、RV082、RV320 和 RV325 路由器,可能導致在受影響設備上執行任意命令。<br />
<br />
由於這些路由器已經達到生命週期結束(EoL)狀態,此漏洞仍未被修補。思科曾在2023年初建議禁用遠端管理並阻止訪問443和60443 port來緩解此漏洞。<br />
<br />
研究人員指出PolarEdge殭屍網路的目的尚未確定,但可能是控制被入侵的邊緣設備,將它們轉變為發動網路攻擊的操作中繼箱。應注意的是,PolarEdge 利用不同類型設備的多個漏洞,突顯了其攻擊各種系統的能力。負載的複雜性進一步凸顯了該行動的複雜性,表明它是由技術嫻熟的操作者進行。<br />
鑒於這一威脅,資安專家建議企業和用戶:</div>
<ul>
<li class="ed_txt">確保所有網路設備使用最新韌體</li>
<li class="ed_txt">禁用不必要的遠端管理功能</li>
<li class="ed_txt">定期監控網路流量的異常活動</li>
<li class="ed_txt">針對關鍵系統實施多因素認證</li>
<li class="ed_txt">考慮升級替換已達到生命週期結束的設備</li>
</ul>
<div class="ed_txt">專家特別提醒台灣的用戶和企業應特別注意,因為台灣是此次攻擊的主要目標之一,定期備份重要數據和實施強大的網路安全策略對於減輕此類威脅的風險至關重要。<br />
<br />
資料來源:網管人</div>
</div>
- 企業資料量激增 原因竟不是AI資安訊息保安警察第一總隊114-01-06114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">隨著資料量的爆炸性成長,資料管理已成為企業維持營運效率和競爭力的關鍵因素。近期,群暉公布了《2025年企業資料管理大調查》,歸納台灣企業今年度面臨的資料儲存與保護領域挑戰,並提出相應觀察。<br />
<br />
調查發現,有高達八成以上的企業,仍有一半以上的資料目前仍存放在地端,其中又有三成以上的企業幾乎都是在生產環境中儲存資料。受訪企業認為,這樣的配置主要是考量資料安全的掌握、獲得管理的易用性與彈性,同時有助於取得更好的資料存取的效率。而在資料儲存挑戰方面,首當其衝的是雲端成本過高,其次則是故障轉移機制不足。除此之外,包含儲存安全性不足、本地管理維運不易以及難以彈性擴充容量,也都是企業常見會面臨的課題。<br />
<br />
企業正在慢慢地走入混合架構,在此架構下,管理也日益複雜。「令人訝異的是,當詢問大量資料的擴充需求來源時,第一優先竟然不是人工智慧(AI),而是來自於資料保護,以及因應法規而需長期保存的專案資料。」,由於資安風險不斷攀升,做好資料保護,包含備份,已成為資料成長一大來源;此外部分產業,諸如車用電子、醫療業等等,需要更長期的保存資料,「源自於這兩大層面的成長量其實遠大於由AI生成而成長的資料量。」<br />
<br />
針對資料保護方面,勒索病毒、硬體故障與人為疏失,持續名列IT人員認為最為嚴峻的資料安全風險,且僅不到10%受訪者,認為組織有100%的能力抵禦這些危機。另外,儘管當前企業在資料保護3-2-1原則皆有一定落實程度,卻缺乏更進階的保護機制,包含資料加密、不可竄改與離線備份等。<br />
<br />
「過往只要規劃好備份策略,就足以保護資料的時代已經一去不復返了。除了不可預期的天災人禍,更多安全風險是來自於駭客攻擊,這類攻擊並不會因為地域的分散而中斷擴散,事實上,便有企業用戶曾發生從海外分公司入侵後直接擴散到總公司的案例。」,傳統區域型防護概念已不適用,企業需要更進階的功能來協助,例如備份檔案加密、不可竄改機制等等來加以防範。「不過相較於檔案加密與不可竄改意識的提升,比較特別的是離線備份,近兩年的調查結果幾乎沒有太大的改變,還是有八成以上的企業完全沒有導入,深入探詢的原因是軟體授權成本太過昂貴,費用越來越難掌握,而且日常管理維運不易。」<br />
<br />
資料來源:網管人</div>
</div>
- Gartner:2025 年影響基礎結構與營運的重要趨勢資安訊息保安警察第一總隊114-01-06114-07-10<div class="ed_model01 clearfix">
<div class="ed_txt">Gartner研究副總裁Jeffrey Hewitt表示,I&O領導者可根據這些趨勢確定未來技能需求並尋求幫助滿足實施要求的洞察,將為企業提供在2025年從其I&O運營中獲得最佳效益所需優勢。<br />
<br />
<strong>趨勢1:重虛擬化/去虛擬化</strong><br />
近期某些基於廠商的解決方案使用授權發生變化,這迫使許多I&O團隊重新評估其選擇的虛擬化方案。有的遷移到公有雲,有的則轉向分散式雲和私有雲。不僅要更換管理程式,還要在多個其他方面做出選擇。<br />
Hewitt表示,I&O領導者必須做的事包括:清點當前實施所有虛擬化技術以及任何相關相互依存關係;評估替代路徑,包括管理程式、超融合、分散式雲、容器化、私有雲和去虛擬化等;確定現有I&O技能以及需如何發展這些技能才能支持最佳選擇。<br />
<br />
<strong>趨勢2:安全行為與文化專案</strong><br />
隨著網路攻擊日趨複雜多樣,網路安全專案必須不斷發展才能解決行為和文化問題並變得更加有效。安全行為與文化專案(SBCP)是一種貫穿整個企業的方法,能夠最大程度地減少與員工行為相關的網路安全事件。<br />
SBCP專案可提高員工對安全控制措施採用率,減少不安全行為,使員工能借助I&O更有效地利用網路安全資源。<br />
<br />
<strong>趨勢3:網路存儲</strong><br />
網路存儲解決方案使用分散在多個存儲位置的資料組成資料港,可在需要時立即將碎片資料重新組合使用。<br />
網路存儲可以是功能全面專用解決方案,也可是帶有集成解決方案的平臺原生服務產品,還可以是一系列增強存儲廠商網路保護功能的獨立產品。<br />
Hewitt表示,要想成功使用網路存儲,I&O領導者應確定發生高成本、破壞性存儲威脅風險,結合不斷增加的監管和保險費用,建立推動網路存儲使用的商業案例。<br />
<br />
<strong>趨勢4:液冷基礎結構</strong><br />
液冷基礎結構分為後門熱交換式、浸入式和直接晶片冷卻式。借助它,I&O不但能滿足新一代晶片、密度和AI方面需求,還能夠通過靈活放置基礎結構支持邊緣案例。<br />
Hewitt表示,液冷技術已經從冷卻整個資料中心環境發展到更靠近基礎結構,甚至進入到基礎結構內部。目前液冷基礎結構案例仍然很少,但隨下一代GPU和CPU功耗與發熱量增加,液冷基礎結構將逐漸成為主流。<br />
<br />
<strong>趨勢5:智慧應用</strong><br />
生成式AI展現了應用的智慧化潛力,引發了人們對智慧應用的期望。智慧應用能夠適應用戶情境和意圖,從而減少數位摩擦。這種應用可通過將合適介面封送(marshal)到外部API和所連接資料,按照自身意圖和用戶意圖互通。<br />
智慧應用最終可以減少I&O方面干預和互動。它還能在最佳化流程和提高利用率同時減少資源開銷。<br />
<br />
<strong>趨勢6:最佳化基礎結構</strong><br />
最佳化基礎結構指I&O團隊竭盡所能從各種佈署方式中選出的最適合特定案例基礎結構。該方法以業務為重點,使IT部門以外高管能從他們角度理解選擇基礎結構的原因。<br />
Hewitt表示,這些選擇最終與平臺工程使用吻合,不僅使I&O能夠『瞄準』整個企業的業務目標選擇基礎結構,還有助於獲得業務部門領導者和最高管理層支持與批准。<br />
<br />
資料來源:網管人</div>
</div>
- 中國駭客透過ORB網路LapDogs發動網攻,利用後門程式ShortLeash控制1千多臺連網裝置資安訊息保安警察第一總隊114-06-27114-07-04<div class="ed_model01 clearfix">
<div class="ed_txt">中國駭客架設Operational Relay Box(ORB)網路用於攻擊活動,藉此隱匿行蹤,一年多前資安業者Mandiant曾對這種手法提出警告,當時研究人員發現駭客利用虛擬專用伺服器(VPS),以及存在弱點的物聯網(IoT)裝置、路由器組成ORB網路,藉此混淆受害裝置與C2基礎設施的流量,這種網路相當難以捉摸,其中一個在2019年就開始運作。如今有研究人員指出,有人在兩年前也架設這類網路設施,直到最近才被發現。<br />
<br />
資安業者SecurityScorecard揭露名為LapDogs的ORB網路,駭客主要透過小型辦公室(SOHO)的Linux作業系統裝置建置而成,研判最早從2023年9月開始運作並逐步擴張規模,至少有一千臺受到感染的節點在積極活動。這些駭客主要利用後門程式ShortLeash入侵受害裝置,使得攻擊者能隱密地從事活動。<br />
<br />
此ORB網路的攻擊具有高度地域性,駭客主要用於攻擊臺灣、香港、韓國、日本,但在其他東南亞國家與美國也有災情。受害組織涵蓋房仲業者、IT與網路服務業者、多媒體公司等領域。附帶一提的是,研究人員提及LapDogs與名為PolarEdge的ORB網路有共通的基礎設施特性,但戰術、手段、流程(TTP)與憑證管理存在不同的地方,因此他們認為LapDogs是獨立的ORB網路。<br />
<br />
而對於駭客使用的後門程式,研究人員指出,當中採用了自行簽署的TLS憑證,此憑證由LAPD發行,駭客可能是打算冒充洛杉磯警局(Los Angeles Police Department)的名義,混淆視聽。<br />
<br />
特別的是,雖然駭客同時打造Windows和Linux版本的ShortLeash,但他們似乎偏好針對Linux作業系統的裝置下手。駭客先使用Bash指令碼取得本機root權限,並檢查作業系統類型(Ubuntu、CentOS,或其他作業系統),備份特定惡意服務組態檔案、以系統處理程序轉譯現有的服務,使其在背景執行,並在受害裝置重開機後也會重新載入。<br />
<br />
針對這些受感染裝置,SecurityScorecard指出有超過半數(55%)為Ruckus無線基地臺,其次是Buffalo的AirStation無線路由器,而且,這些裝置都位於日本,大部分在東京。但除此之外,研究人員也提及組成LapDogs的節點,還有華碩、Linksys、D-Link、Panasonic、群暉等廠牌的設備。<br />
此外,研究人員指出大部分受害的IP位址當中,都存在了特定的資安漏洞CVE-2015-1548、CVE-2017-17663,這些漏洞皆與老舊版本的ACME mini_httpd有關。<br />
<br />
究竟那些人運用LapDogs從事網路攻擊?研究人員提及大多是APT駭客組織,其中一組人馬是UAT-5918。該組織今年3月由思科威脅情報團隊Talos揭露,專門針對臺灣的關鍵基礎設施(CI)下手。<br />
<br />
對於SecurityScorecard提及LapDogs針對多家廠牌的物聯網裝置的現象,我們也向這些廠商進行確認,其中,群暉表示他們經過了解後,確認並非產品出現漏洞而被入侵,而是駭客針對使用者未妥善設定或維護的裝置進行掃描及下手。群暉認為LapDogs並非對特定品牌或功能發動攻擊,因此他們呼籲使用者應定期更新韌體、使用強密碼,並避免將管理介面曝露於網際網路。<br />
<br />
資料來源:iThome</div>
</div>
- ValleyRAT偽裝VPN與瀏覽器安裝程式 多階段記憶體攻擊鏈「Catena」現身資安訊息保安警察第一總隊114-06-27114-07-04<div class="ed_model01 clearfix">
<div class="ed_txt">資安研究人員揭露一起大規模惡意軟體攻擊活動,駭客利用偽裝成熱門工具如LetsVPN和QQ瀏覽器的假冒軟體安裝程式,散布Winos 4.0惡意框架。Winos 4.0又稱ValleyRAT。此次攻擊顯示威脅行為者對中文用戶環境的精準鎖定,展現高度組織化的長期攻擊策略。<br />
<br />
<strong>多階段記憶體攻擊鏈「Catena」現身</strong><br />
Rapid7於今年2月首次偵測到這波攻擊活動,發現駭客使用名為「Catena」的多階段記憶體駐留載入器作為主要攻擊工具。資安研究員Anna Širokova與Ivan Feigl指出:「Catena使用嵌入式shellcode和配置切換邏輯,將Winos 4.0等載荷完全載入記憶體中執行,成功規避傳統防毒工具偵測。」<br />
一旦安裝完成,惡意軟體會悄悄連接到攻擊者控制的伺服器,目前觀察到伺服器主要託管於香港,接收後續指令或下載額外惡意軟體。研究人員強調,這些攻擊展現出「精心策劃的長期規劃」,背後是技術能力極強的威脅行為者。<br />
<br />
<strong>Winos 4.0:基於Gh0st RAT的進階框架</strong><br />
Winos 4.0,又稱ValleyRAT,首次於2024年6月由趨勢科技公開記錄,當時發現其透過VPN應用程式的惡意Windows安裝檔(MSI)攻擊中文用戶。此活動被歸因於名為Void Arachne,又名Silver Fox的威脅組織。<br />
<br />
這個建構於知名遠端存取木馬Gh0st RAT基礎上的進階惡意框架,採用C++撰寫並使用外掛式系統架構,具備資料竊取、遠端Shell存取及發動分散式拒絕服務(DDoS)攻擊等多重功能。<br />
<br />
2025年2月觀察到的攻擊波次主要透過偽裝成QQ瀏覽器(騰訊開發的Chromium基礎網頁瀏覽器)安裝程式進行。所有樣本均依賴NSIS安裝程式與簽署的誘餌應用程式、嵌入「.ini」檔案的shellcode,以及反射式DLL注入技術來維持持續性並避免偵測。<br />
<br />
惡意軟體透過TCP埠18856和HTTPS埠443與硬編碼的命令控制(C2)基礎設施通訊,並透過註冊計畫工作在初次入侵數週後執行來維持系統持續性。<br />
<br />
<strong>4月戰術轉變:加強反偵測能力</strong><br />
Rapid7於4月發現攻擊者的「戰術轉變」,不僅調整了Catena執行鏈的部分元素,更加入新功能來規避防毒偵測。<br />
在更新的攻擊序列中,NSIS安裝程式偽裝成LetsVPN設定檔,執行PowerShell命令為所有磁碟機(C:\至Z:\)新增Microsoft Defender排除項目。隨後投放額外載荷,包括一個能擷取執行程序快照並檢查360全方位安全軟體相關程序的執行檔。<br />
該執行檔使用已過期的VeriSign憑證簽署,聲稱屬於騰訊科技,憑證有效期為2018年10月11日至2020年2月2日。其主要功能是反射式載入DLL檔案,進而連接C2伺服器下載並執行Winos 4.0。<br />
<br />
防護建議<br />
面對此類精密攻擊,資安專家建議:<br />
提高警覺性:避免從非官方來源下載軟體,特別是VPN和瀏覽器應用程式<br />
加強端點防護:部署能偵測記憶體駐留威脅的進階端點防護解決方案<br />
監控網路流量:密切關注異常的TCP和HTTPS連線活動<br />
定期更新:確保防毒軟體和作業系統保持最新狀態<br />
使用者教育:加強員工對社交工程和偽裝軟體的認知訓練<br />
隨著Winos 4.0持續演進並採用更精密的規避技術,組織必須採取多層次防禦策略來對抗這類進階持續性威脅。<br />
<br />
資料來源:資安人INFO SECURITY</div>
</div>
- 中國 APT 組織走勒索攻擊路線資安訊息保安警察第一總隊114-04-29114-07-04<div class="ed_model01 clearfix">
<div class="ed_txt">賽門鐵克(Symantec)研究人員近期發現,一個與中國有關的APT組織「Emperor Dragonfly(帝王蜻蜓)」(又稱 Bronze Starlight)首次轉向勒索軟體攻擊,並向一家亞洲軟體服務公司索取 200 萬美元贖金,此舉標誌著中國國家級駭客組織與網路犯罪活動之間出現新的連結。<br />
<br />
<strong>特殊的攻擊工具組合</strong><br />
根據賽門鐵克的報告,這起發生於 2024 年底的攻擊使用了一組特殊的工具,這些工具此前僅與中國間諜活動有關,特別是與 Mustang Panda 組織相關。攻擊者使用了東芝的合法執行檔 toshdpdb.exe 作為側載工具,連接惡意的動態連結函式庫(DLL)toshdpapi.dll,最終部署包含 PlugX 後門的惡意程式。<br />
<br />
研究人員指出,這套工具組並非公開可得,且過去從未與一般網路犯罪活動有關。雖然中國駭客組織經常共享工具,但這些工具通常僅用於間諜活動。<br />
攻擊者首先透過利用 Palo Alto PAN-OS 防火牆軟體的漏洞(CVE-2024-0012)入侵受害者網路。一旦成功入侵,攻擊者開始部署其特製的後門工具組。這個過程始於執行一個看似無害的東芝系統程式 toshdpdb.exe,該程式隨後會載入一個惡意的動態連結函式庫 toshdpapi.dll。這個 DLL 檔案作為載入器,會進一步解密並執行儲存在 TosHdp.dat 檔案中的主要惡意負載。<br />
<br />
經過分析,這個惡意負載被確認為 PlugX 後門的變種,具有加密字串、動態 API 解析和控制流程平坦化等特徵。通過這個後門,攻擊者得以在受害者網路中建立持久性存在。<br />
<br />
在取得立足點後,攻擊者開始橫向移動,從公司內部網路獲取管理憑證。接著利用這些憑證存取公司的 Veeam 備份伺服器,從中竊取了 Amazon S3 雲端存取憑證。攻擊者利用這些雲端憑證,得以竊取儲存在 S3 儲存桶中的敏感資料。<br />
<br />
在完成資料竊取後,攻擊者部署了 RA World 勒索軟體,開始加密受害者的電腦系統。這個階段的攻擊還包括使用名為 NPS 的代理工具,這是一個與 Bronze Starlight 組織過往活動相關的工具。整個攻擊過程顯示出攻擊者具備高度的技術能力,能夠結合傳統的 APT 戰術與勒索軟體攻擊手法。<br />
<br />
<strong>與過往間諜活動的關聯</strong><br />
賽門鐵克研究人員發現,使用相同工具組的入侵活動在 2024 年 7 月至 2025 年 1 月期間也曾針對多個政府與企業目標。這些目標包括一個東南歐國家的外交部、另一個國家的政府機構,以及多個東南亞地區的政府部門和電信營運商。然而,這些先前的攻擊都是以間諜活動為目的,並未涉及勒索軟體。<br />
<br />
研究人員認為,這次勒索軟體攻擊最可能是 APT 組織成員利用其工作工具進行個人牟利。這個推論主要基於受害者的選擇與攻擊者的行為模式。首先,此次受害者並非具有戰略意義的組織,與過往間諜活動目標有明顯差異。其次,攻擊者確實投入時間與受害者溝通討論贖金事宜,這種行為模式與單純用於掩蓋間諜活動的障眼法不符。此外,攻擊者使用了名為 NPS 的代理工具,這與 Bronze Starlight 組織過去部署的不同勒索軟體有關,進一步證實了這一推測。<br />
<br />
資料來源:資安人</div>
</div>
- 南韓個資保護委員會出手,DeepSeek AI 下載服務喊卡資安訊息保安警察第一總隊114-04-29114-07-04<div class="ed_model01 clearfix">
<div class="ed_txt">南韓個人資料保護委員會(PIPC)宣布,因中國人工智慧聊天機器人 DeepSeek 的行動應用程式未符合資料保護規範,即日起暫停該應用程式在南韓的新用戶下載。此暫停措施自 2025 年 2 月 15 日下午 6 時起生效,但網頁版服務仍可繼續使用。<br />
<br />
PIPC 表示,該機構在 DeepSeek 推出後立即展開分析,發現其在與第三方服務提供商的通訊功能和個人資料處理政策方面存在缺失。據悉,DeepSeek 已承認在推出服務時未充分考慮當地隱私法規,並已指派當地代表處理相關事宜。<br />
<br />
在資安方面,近期發現 DeepSeek 的 Android 和 iOS 應用程式存在安全漏洞,部分資料以未加密形式傳送至其伺服器。此外,南韓國家情報院(NIS)也指出,該服務過度收集個人資料,並將這些資訊用於訓練其 AI 系統。<br />
<br />
PIPC 強調:「在最終調查結果公布前,我們建議現有用戶謹慎使用,避免在 DeepSeek 輸入視窗中輸入個人資訊。」該機構將確保 DeepSeek 完成必要改進,符合《個人資料保護法》規定後,才能恢復下載服務。<br />
<br />
為防止類似事件再次發生,PIPC 表示將加強對相關服務的合規指導。而北京方面則重申,只要遵守當地法律法規,歡迎全球網路企業在中國營運,並強調絕不會要求任何公司或個人違法收集或儲存資料。<br />
<br />
資料來源:資安人</div>
</div>
- ASRC 2025 年第一季電子郵件安全觀察資安訊息保安警察第一總隊114-04-29114-07-04<div class="ed_model01 clearfix">
<div class="ed_txt">2025年郵件安全趨勢強調更嚴格的身份驗證要求。Gmail 和 Yahoo 等主要郵件服務提供商除了持續推動 SPF、DKIM 和 DMARC 等認證協議的採用,也逐步將目標指向 DMARC 的 p=reject的郵件政策,以防止域名被冒用。發送來源的驗證與檢測,也逐漸由 IP 信譽轉為域名信譽。一月底揭露的 7-Zip 軟體重大安全漏洞(CVE-2025-0411),已被俄羅斯網路犯罪者用於攻擊烏克蘭。透過電子郵件夾帶惡意附件,並利用該漏洞,即可繞過 Windows 系統的MotW(Mark of the Web)安全機制,受害者可能受騙而在電腦上執行外來惡意程式,最終導致資料外洩或電腦遭控制。除須提防可疑郵件外,建議盡快將 7-Zip 更新至最新版本,以修補該漏洞。此外,CVE-2025-21298 也值得注意,這是一個影響 Microsoft Office 和 Windows 作業系統的嚴重漏洞,特別涉及 OLE(物件連結與嵌入)技術。攻擊者可以利用這個漏洞,透過精心設計的文件,在未經使用者同意的情況下執行任意程式碼;雖然目前公開資料未明確記載 CVE-2025-21298 透過電子郵件攻擊的實際案例,但根據漏洞特性與歷史攻擊模式,此漏洞極可能被用於以下攻擊場景:<br />
惡意附件攻擊:攻擊者偽造電子郵件並附加特製的 .rtf 檔案,誘使用戶開啟後觸發漏洞。<br />
社交工程結合漏洞利用:以稅務通知、帳單等名義發送釣魚郵件,提高用戶開啟惡意文件(可能透過Web下載)的意願。<br />
以下是本季值得留意的郵件樣本:<br />
<br />
<strong>壓縮檔夾帶 .VHD檔的攻擊</strong><br />
第一季發現一些電子郵件攻擊,其中的附件檔以.zip的方式包裝 .VHD 檔案。.VHD 檔案可被 Windows 作業系統視為虛擬硬碟,當收件者打開這些檔案時,系統會將其掛載為新的硬碟驅動器。在這個攻擊郵件中,寄件者的位置被填了兩次電子郵件地址,試圖讓收件者誤以為這是由第一個地址所發送的郵件,為了躲避對於寄件者位置的電子郵件檢查,攻擊者細心的將第一個地址中的 @ 改為視覺上相近的符號。<br />
若將 .VHD 檔展開,會看到完整的虛擬硬碟結構,其中 .exe 檔即為惡意攻擊程式的本體,不會被 Windows 系統識別為 MotW(Mark of the Web)。而這個攻擊程式的圖示,刻意被換為Excel的圖示,藉以誘騙受害人執行。當惡意程式被執行時,便開始在系統植入後門。<br />
若企業日常作業不會透過電子郵件直接傳送 .VHD 檔,建議可以直接在郵件安全掃描或過濾機制中,直接封鎖帶有此類檔案的電子郵件。同樣企業較少透過 郵件傳送但常被用來攻擊的 .ISO、.IMG 也可以考慮一併隔離。<br />
<br />
<strong>社交工程手法誘騙</strong><br />
一直以來透過社交工程手法誘騙受害者,配合執行某些操作是詐騙、釣魚慣用且成功率極高的手法。第一季觀察到幾起以假亂真的惡意電子郵件,郵件本身不夾帶惡意檔案,而是以社交工程手法誘騙,要求受害者點擊並下載「加密」的惡意或後門程式。由於惡意程式經過加密,可以輕鬆躲過檔案下載的安全性稽核、瀏覽器及 Windows 針對 Web 下載檔案的 MotW 防護措施,這些惡意檔案也能躲過部分防毒軟體的檢查。同樣的社交工程手法,也可能搭配要求帳密登入確認 (用以騙取帳密);或是要求輸入信用卡相關資料做認證、支付運費、規費等動作,都需要特別留心防範!<br />
<br />
<strong>技術支援攻擊</strong><br />
我們觀察到特殊的社交工程攻擊正在流竄。收件者收到一份系統更新或升級的操作通知,其中詳載系統更新升級的方法及操作步驟。事實上,這並非來自技術部門的升級通知,而是攻擊者以社交工程手段,誘騙收件者下載檔名為 netscanner.exe 的後門並執行的攻擊郵件,主要目的用於竊資。值得留意的是,netscanner.exe 在截稿時,無法被一般主流的防毒軟體識別出風險。<br />
這類攻擊早期常見於網頁瀏覽。在瀏覽網頁的過程中,突然彈出系統故障的警示,接著要求受害人與「技術支援專員」通話並接受指導;或是彈出「Click Fix」的下載修復連結與詳細的操作步驟,以社交工程的手法,誘導使用者一步步在電腦中埋入後門。現在這類手法也開始透過電子郵件散播!<br />
<br />
<strong>結論</strong><br />
資安攻擊時時變化,資安政策以及資安意識訓練也應與時俱進。資安部署原則中的「最小權限原則」概念,也可以應用在郵件寄送附件類型或對象的審核:合理使用的附件檔才允許寄送,對於特殊的附件檔案,應預設為暫時封鎖並搭配人工審核,再根據實際情況適時調整防禦策略;對於收件者也應仔細考量,可發送給內部群組信箱的對象應合理限縮,以減少暴露在風險中的機會。<br />
<br />
資料來源:iThome</div>
</div>