資安週報-第25期 PDF
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息
本週總計接獲16件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,詳⾒圖2。本週持續發現有機關誤下載偽冒 LINE 軟體,導致電腦遭植入Gh0st RAT 惡意程式。惟多數機關在事件處置上僅針對受駭設備進行重灌,未同步檢視與處理帳號密碼外洩的潛在風險。
Gh0st RAT 具備鍵盤側錄、螢幕擷取及帳密蒐集能力,一旦設備遭入侵,使用者曾於該設備上輸入或使用之各類帳號密碼(包含公務帳號、電子郵件、內部系統及第三方服務)皆可能面臨外洩風險。僅進行設備重灌並不足以消除後續威脅,若未同步變更相關帳號密碼,攻擊者仍可能利用既有憑證再次入侵。建議機關於處理此類事件時,除完成設備重建外,應一併盤點受影響期間使用過的帳號,全面進行密碼變更並檢視登入紀錄,以降低帳密遭持續濫用的風險。
除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:
針對潛在風險執行相應改善,如:
本週2家民間企業發布重大訊息,產業類別分屬於汽車工業和電子零組件業。
事件說明:三陽工業代子公司南陽實業發布重大訊息,說明有關南陽實業部分系統遭受駭客網路攻擊,資安部門已全面啟動防禦機制與備援作業,同時協調外部資安公司技術專家共同合作處置。目前已到警局報案,對南陽實業營運無重大影響,後續進行強化資安基礎架構、全面提升網路防護等級及保障資料安全性。
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
本週(114/12/22~114/12/28)資安聯防監控顯示,整體攻擊態勢呈現穩定但持續活躍的狀態。其中「防禦迴避」階段仍為最主要的攻擊手法,佔比達14.98%,攻擊者常透過關閉或清除指令紀錄、利用合法系統工具執行惡意命令等技術來規避偵測機制,詳見圖3。
值得注意的是,「偵測刺探」階段較上週下降至11.96%,顯示攻擊者已逐步從初期探測轉向更深層的攻擊行為。「惡意執行」階段佔比11.04%,反映攻擊者持續嘗試在目標系統中植入並執行惡意程式。此外,「權限提升」階段較上週明顯上升至8.25%,顯示攻擊者正積極尋求取得更高系統權限以擴大攻擊範圍。
整體而言,本週監控數據顯示攻擊行為已從初期的偵測刺探階段,逐漸進入到「防禦迴避」、「惡意執行」及「權限提升」等更具威脅性的攻擊階段,企業組織應提高警覺,強化相應的防護措施。
建議機關採取下列防護措施:
強化防禦迴避偵測能力
落實特權帳號管理
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比77.71%、「遠端控制」服務攻擊占比17.44%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達 77.96%。「遠端控制」服務亦有18.63% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。
本週Web服務系統比例上升原因為JetBrains TeamCity繞過身分驗證,並導致遠端程式碼執行的漏洞CVE-2023-42793及GeoServer開放源碼伺服器程式碼注入漏洞的CVE-2024-36401 ,遭攻擊次數大幅上升導致。而網通設備管理介面比例上升主因為Citrix NetScaler ADC輸入驗證不足導致記憶體過度讀取漏洞的CVE-2025-5777及Cisco IOS XE網通設備作業系統特權提升漏洞的CVE-2023-20198,遭攻擊次數微幅上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、特權提升、身分驗證繞過漏洞、程式碼注入及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、 Cisco IOS XE網通設備作業系統、JetBrains TeamCity 持續整合/交付平台、GeoServer開放源碼伺服器及PHP,顯示此類系統已成為高風險熱點。
防護建議:
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。
|
排名 |
漏洞編號 |
受影響產品 |
CVSS 3.x Base Score |
|---|---|---|---|
|
1 - |
Citrix NetScaler ADC |
7.5 |
|
|
2 - |
Cisco IOS XE網通設備作業系統 |
10 |
|
|
3 - |
JetBrains TeamCity 持續整合/交付平台 |
9.8 |
|
|
4 - |
GeoServer開放源碼伺服器 |
9.8 |
|
|
5 ↑New |
PHP |
9.8 |
近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:
WatchGuard Fireware OS存在高風險安全漏洞(CVE-2025-14733),類型為越界寫入(Out-of-Bounds Write),當Mobile User VPN使用IKEv2協定,或Branch Office VPN(BOVPN)使用IKEv2協定且設定為動態閘道時,未經身分鑑別之遠端攻擊者可透過傳送特製封包觸發記憶體越界寫入,進而造成服務異常,嚴重情況下可執行任意程式碼。
7-Zip存在高風險安全漏洞(CVE-2025-55188),類型為連結追蹤(Link Following),未經身分鑑別之本機端攻擊者可利用此漏洞寫入任意檔案。
經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險
本期針對43個公部門單位進行EASM資安曝險檢測,共計發現381項重大與高風險弱點,其中包含17項重大風險與364項高風險弱點。結果顯示,整體外部曝險情勢仍然嚴峻,且風險總數較上期(367項)微幅增加。從風險類別分布觀察,本期仍以「TLS憑證不受信任(97項)」、「元件高風險漏洞(96項)」、「過時或弱加密協定(86項)」及「CSP設定不當(62項)」為主要類別,四類合計占比約89% ,此一分布反映多數單位在憑證管理、漏洞修補及網站安全設定上仍存在普遍性風險,亦為現階段資安防護的主要挑戰,詳見圖5。
進一步比較兩期差異,「元件高風險漏洞」由85項增加至96項,上升幅度達13% ,為本期上升最明顯項目;「TLS憑證不受信任」由96項微增至97項;「過時或弱加密協定」由84項增至86項,呈現小幅上升趨勢,另「未部署 WAF」則由20項降至17項,顯示部分單位已強化網站應用防火牆之部署。
防護建議:
建議機關或關鍵基礎設施採取下列防護措施:
建議機關或關鍵基礎設施採取下列管理措施:
追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標
歲末消費+投資熱潮交疊 高風險詐騙偵測連兩週攀升
整體觀察「高風險總量」趨勢,本期數據延續上期回升動能,近兩週呈現「續升」走勢:前一週回升後,最新一週再上行,並創近六週新高。這顯示高風險詐騙偵測量仍處於偏高水位;在歲末年初交易與資金流動活絡的背景下,短期風險不僅未解除,反而有擴張跡象。
從詐騙類型來看,「產品服務」仍是高風險主力來源,近兩週持續走升,最新一週再增加。雖然增幅相對溫和,但在總量結構中占比高、累積效應強。常見於年末購物檔期、跨年促銷、禮品採買與二手交易熱度上升之際,詐騙容易透過假賣家、偽造付款/物流通知與不明折扣連結快速放量,民眾與平台需持續提高警覺,詳見圖6。
「身分冒充」近兩週也呈現回升,最新一週小幅上行,顯示「假冒親友」、「假冒公部門」、「假冒企業客服/金流客服」等手法仍在活躍期。尤其在購物與金流需求增加時,詐騙常搭配「交易取消/退款」、「帳戶異常」、「需立即驗證」等話術,製造緊迫感並誘導受害者配合操作。
相較之下,「金融投資」本期增幅最為明顯,最新一週大幅上升,成為帶動整體高風險續升的重要來源之一。此類詐騙多以「投資理財」、「虛擬貨幣」、「老師帶單」、「高報酬穩賺不賠」等話術包裝,常在市場話題延燒、年末資金調度需求升溫之際快速擴散;雖不一定是最大宗,但一旦受害往往損失金額高,需特別留意。
綜整而言,本期高風險偵測量延續上升趨勢。其中,「產品服務」仍為最主要風險來源;「金融投資」則出現明顯升溫,需提高警戒;「身分冒充」小幅回升,後續仍需密切觀察是否進一步放大。
提升多平台風險警覺
強化身分驗證與求證習慣
善用官方資訊與檢舉機制
本週代表性詐騙關鍵字 Top 10 以「免費」、「機會」、「優惠」為主軸,顯示詐騙話術仍以「低門檻、高回饋」作為核心吸引力。其中「免費/優惠/領取」等誘因型字眼持續居高,常見做法是先用「免費領取」、「限量優惠」降低戒心,再進一步要求民眾「點擊」連結或「加入」指定帳號、群組,藉此把受害者導入封閉社群或外部網站(私訊、群組、外部網站)進行後續操作,例如蒐集個資、誘導下單、要求匯款或綁定付款方式,詳見圖7。
值得注意的是,本週「點擊」與「加入」同時名列前十,顯示詐騙流程更強調「先引導加入、再進一步詐騙」:先用看似正常的活動頁面、商品推薦或工作資訊,引導點連結與加入群組;一旦進入封閉社群,就容易被大量訊息、話術節奏與人員分工包圍,降低冷靜查證的機會。遇到任何「必須點擊連結才能領取」或「加入群組才給名額、優惠」的情境,都應直接視為高風險訊號。
此外,「機會」常與限時、名額等手法一起包裝成「名額有限、時段彈性、錯過可惜」等敘事,營造看似合理的兼職/合作情境(如配送、客服、各式支援任務等)。這類話術往往在初期提供看似完整的流程與教學,接著以「保證金/入會費/教材費/帳戶驗證」等理由要求先付款,或引導至不明平台進行代收代付、認證操作,最終造成金錢損失,甚至帳戶被利用為人頭帳戶的風險。
同時,「市場」與「掌握」等詞也反映出另一類常見包裝:以「掌握市場趨勢」、「教你掌握方法、工具」之名,假借課程、研究內容或專家人設建立信任,再逐步導向付費升級、加入社群,甚至轉為投資誘導或代操話術。再加上「推薦」與「設計」等字眼,容易形成「看似有人背書、還能量身規劃」的可信氛圍,讓受眾誤以為是正常的促銷、教學或顧問服務而放鬆警覺。 整體而言,本週趨勢呈現「誘因(免費/優惠/領取)→ 行動(點擊/加入)→ 轉場(群組/私訊/外部網站)→ 深度詐騙(付款、匯款、帳戶操作)」的典型路徑,並混入「兼職機會」、「課程學習」、「推薦背書」、「客製設計」等外衣提高真實感。提醒民眾:凡要求先點不明連結、先加入群組,或以課程/工作/認證為由要求先付款或提供帳戶資料者,都應提高警覺;建議改走官方網站/客服自行查證,並拒絕任何「先付費,再領取/再上工/再開通」的流程,以降低受騙風險。
數位航程不迷路!
《資安星際指南》專為中小組織打造的全方位資安實務導引
帳號管理、網路設定、甚至是與外包廠商的合約把關,都是組織資安的重要環節。針對常因防護相對薄弱而更容易成為網路攻擊者鎖定目標的中小企業、非營利組織等單位,《資安星際指南》將觀念建立、日常操作與制度落實拆解為可執行的步驟,協助組織從基礎開始一步步補強,並透過易懂的圖文降低學習負擔,讓資安走入日常,成為每位工作夥伴都能做到的防護行動。
手冊編撰 由導引、操作到制度化的實務型指南
本系列手冊以非資安背景、或需兼任資安工作的實務人員與管理者為出發點,著重以淺顯易懂的方式,將複雜的資安要求轉化為「可理解、可操作、可立即採行」的 5 冊實務工具手冊。設計上以組織常見情境為核心,將防護藍圖由淺入深鋪陳:從釐清觀念起步,延伸至第一線的設備操作與帳號防禦,最終協助管理者在不增加繁瑣文書負擔的前提下,建立一套可檢核、可持續的資安管理體系。這套指南不僅是個人進修的入門教材,更具備實作導向,適合單位作為推動資安工作的入門工具包與組織內部共學教材。
《航程導引》作為整套手冊的起點與總覽,協助讀者快速理解整體資安版圖與各冊定位,並引導不同職務者依需求選擇閱讀順序,降低學習負擔,並強調「不用一次做到完美」,而是以循序漸進方式補齊資安基本盤。
《資安基礎概論》著重建立共同語言,說明資安與組織營運、資料保護及風險管理的關聯,並透過常見威脅情境(如勒索軟體、釣魚郵件、資料外洩)與實際案例拆解攻擊模式,協助非技術人員理解風險來源與基本防護邏輯,為後續實作奠定認知基礎。
《網路安全輕鬆學》聚焦實務上最容易出現漏洞的網路與帳號使用場景,涵蓋防火牆設定、無線網路、IoT 設備、電子郵件與多因子驗證等主題,並透過故事情境引導,搭配清楚的操作步驟、檢查清單與自我檢核題組,協助使用者直接對照現況、立即改善。
考量中小組織高度仰賴系統外包的現實,《資通系統安心委外》從採購前、開發中到上線後的生命週期切入,說明在不具備深度技術能力下,專案窗口與管理者「該問什麼、該留什麼、該在何時把關」,於各階段應如何設置資安把關點,降低因資訊不對稱所衍生的系統性風險。
《資安制度全攻略》則進一步引導組織將零散的防護措施制度化,從資安政策目標、資產盤點、風險評估到事件應變與持續改善,協助中小組織在不流於繁瑣文書作業的前提下,建立可運作、可檢核、可持續的基本資安管理流程。
實務應用 非資安背景人員也能採行的防護工具
《資安星際指南》並非以培養資安專業人員為目標的技術手冊,而是透過淺白文字、故事代入、延伸閱讀補充背景、具體操作步驟與自檢設計,降低資安落實門檻的指南。對資安治理與策略角色而言,本系列手冊可作為推動基層單位補齊資安基本盤的輔助資源,可依需求單冊使用、作為內部教育訓練教材,或搭配自檢表進行現況盤點,支援組織形成「認知—檢視—改善—制度化」的行動循環,降低結構性風險,並為後續進階防護奠定穩定基礎。
《資安星際指南》手冊全系列下載:https://www.nics.nat.gov.tw/cybersecurity_resources/publications/Research_Reports/
《資安星際指南》系列手冊由Google.org提供資金挹注「NICS台灣資安計畫」出版。
關鍵字:資安治理、風險導向防護、 帳號與存取管理、 委外資安管理、 持續改善機制