事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息
本週總計接獲20件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,詳⾒圖2。本週有機關自行通報網站對外異常連線,經查係網站維護廠商為便於維護,未依機關資安管理規定自行安裝遠端連線軟體,後續已要求廠商進行系統清查與改善,並持續加強監控相關連線行為。
委外廠商於維運過程中,若缺乏有效監控與管制機制,仍可能為求作業便利性而採用未經核准之遠端存取方式。鑑於機關已具備主動偵測異常連線之能力,建議可建立遠端存取白名單制度,明確限制可使用之遠端工具,並透過SOC/EDR掌握委外帳號及遠端存取行為,落實主機應用程式控管與對外連線最小化原則;另於管理面,宜明確規範委外廠商維運行為,強化合約資安條款與違規責任,並定期辦理委外系統稽核與資安遵循檢核,以降低委外維運風險。
除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:
針對潛在風險執行相應改善,如:
本週1家民間企業發布重大訊息,產業類別屬於金融保險業。
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
本週資安聯防監控顯示,整體攻擊態勢呈現從初期偵測階段逐步轉向更具威脅性的中後期攻擊行為,詳見圖3。相較於上週,「偵測刺探」階段略有下降,而「初始入侵」、「惡意執行」及「防禦迴避」等階段則呈現上升趨勢,顯示攻擊者已從探測階段進入實質入侵與規避偵測的行動。
其中,「防禦迴避」以15.55%居首位,攻擊者常透過關閉或清除指令紀錄、利用合法系統工具執行惡意命令等手法,企圖躲避資安監控機制的偵測。其次為「偵測刺探」佔12.64% ,以及「惡意執行」佔11.63% ,反映攻擊者持續進行環境探測並嘗試執行惡意程式。
值得注意的是,「憑證竊取」與「內網探索」階段亦有明顯增長,分別提升至6.08%與6.15%,顯示攻擊者正積極嘗試取得更高權限並擴大攻擊範圍。此監控數據提醒各單位應密切留意攻擊趨勢是否持續由初期偵測刺探階段,進展至更具破壞性的資料竊取或系統破壞階段。
建議機關採取下列防護措施:
強化防禦迴避偵測能力
加強憑證與內網安全防護
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比68.52%、「遠端控制」服務攻擊占比28.62%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達71.46%。「遠端控制」服務亦有24.97% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。
另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。而網通設備管理介面比例上升主因為Citrix NetScaler ADC輸入驗證不足導致記憶體過度讀取漏洞的CVE-2025-5777 ,遭攻擊次數上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、程式碼注入、特權提升、身分驗證繞過漏洞及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、 GeoServer開放源碼伺服器、Cisco IOS XE網通設備作業系統、JetBrains TeamCity 持續整合/交付平台及PHP ,顯示此類系統已成為高風險熱點。
防護建議:
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。
|
排名 |
漏洞編號 |
受影響產品 |
CVSS 3.x Base Score |
|---|---|---|---|
|
1 - |
Citrix NetScaler ADC |
7.5 |
|
|
2 - |
GeoServer開放源碼伺服器 |
9.8 |
|
|
3 - |
Cisco IOS XE網通設備作業系統 |
10 |
|
|
4 - |
JetBrains TeamCity 持續整合/交付平台 |
9.8 |
|
|
5 - |
PHP |
9.8 |
近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:
HPE OneView存在高風險安全漏洞(CVE-2025-37164),類型為程式碼注入(Code Injection),未經身分鑑別之遠端攻擊者可利用此漏洞於受影響設備執行任意程式碼。
QNAP NAS應用程式存在以下2個高風險安全漏洞:
(1)Qfiling存在路徑遍歷(Path Traversal)漏洞(CVE-2025-59384),未經身分鑑別之遠端攻擊者可利用此漏洞讀取未授權之檔案或系統資料。
(2)MARS(Multi-Application Recovery Service)存在SQL注入(SQL Injection)漏洞(CVE-2025-59387) ,未經身分鑑別之遠端攻擊者可注入並執行未授權指令。
經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險
本期針對43個公部門單位進行EASM資安曝險檢測,共計發現344項重大與高風險弱點,其中包含13項重大風險與331項高風險弱點,詳見圖5。結果顯示,整體外部曝險情勢較上期(381項)有所改善,風險總數下降約9%。從風險類別分布觀察,本期仍以「TLS憑證不受信任(97項)」、「過時或弱加密協定(85項)」、「元件高風險漏洞(68項)」及「CSP設定不當(54項)」為主要類別,四類合計占比約88% ,此一分布反映多數單位在憑證管理、漏洞修補及網站安全設定上仍存在普遍性風險,亦為現階段資安防護的主要挑戰。
進一步比較兩期差異,「元件高風險漏洞」由96項降至68項,降幅達29% ,為本期改善最明顯項目;「TLS憑證不受信任」由97項持平;「過時或弱加密協定」由86項降至85項,呈現小幅下降趨勢;「CSP設定不當」由62項降至54項,顯示內容安全政策改善有所進展;另「未部署 WAF」則由17項增至20項,反映部分單位對網站應用程式防護重視程度仍待加強。
防護建議:
建議機關或關鍵基礎設施採取下列防護措施:
建議機關或關鍵基礎設施採取下列管理措施:
追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標
跨年檔期後降溫加速 高風險偵測量回到偏低區間
整體觀察「全部高風險」總量趨勢,本期數據呈現連兩週下行:在12月下旬一度走高後,前一週已轉為走低,而最新一週再度明顯下滑。這顯示跨年檔期帶動的偵測高峰已明顯降溫,總量也回到接近 11 月中與 12 月初的低點區間,詳見圖6。不過,年初仍常伴隨交易、金流與各式促銷題材切換,高風險詐騙容易以不同包裝持續出現,仍需維持基本警戒。
從詐騙類型來看,「產品服務」依舊是高風險主力來源,且本期回落幅度明顯。這類詐騙常搭上年末年初促銷、福袋、限量商品、二手交易與票券轉售等熱點,以假賣家、偽造付款或物流通知、催促付款或引導點擊不明連結的方式快速擴散。即使本期降溫,因其量體與觸及面仍大,仍是最需要持續注意的風險來源。
「身分冒充」本期同樣回落,但整體仍偏活躍,顯示「假冒親友」、「假冒公部門」、「假冒企業客服或金流客服」仍在運作。常見話術會結合「退款、取消交易」、「帳戶異常」、「需立即驗證」等情境,利用民眾急於處理交易與客服繁忙的心理,製造緊迫感並誘導配合操作。
「金融投資」在前期走高後已連續降溫,本期回落幅度更大,顯示短期熱度明顯下降;但此類詐騙往往呈現「一波一波」的擴散節奏,仍不可掉以輕心。常見手法仍以「投資理財」、「虛擬貨幣」、「老師帶單」、「高報酬穩賺」包裝,搭配獲利截圖、名人背書、社群群組與私訊邀請,容易在年初投資話題與資金調度需求下再度升溫。
綜整而言,本期高風險偵測量自高點回落,且三大類型同步下行,整體回到偏低區間;其中「產品服務」仍是最大宗風險來源;「身分冒充」雖回落但仍活躍,需防範假客服與假公部門話術;「金融投資」短期降溫,但仍具高損失特性,後續仍需持續警戒。
提升多平台風險警覺
強化身分驗證與求證習慣
善用官方資訊與檢舉機制
本週代表性詐騙關鍵字 Top 10 以「免費」、「優惠」、「點擊」、「私訊」為主軸,顯示詐騙話術仍以「低門檻誘因」搭配「引導下一步行動」作為核心吸引力,詳見圖7。其中「免費/優惠」仍是最常見的開場,常見作法是先用「零經驗可、限時優惠、免費提供」降低戒心,再要求民眾「點擊」短連結或改用「私訊」取得細節,藉此把互動從公開平台帶到私下情境,進入更難查證的後續溝通與操作(例如索取個資、引導下單、要求匯款或綁定付款方式) 。
值得注意的是,本週「點擊」、「私訊」與「問題」同時名列前段,顯示流程更常以「先引導點擊,再轉往私下對話」推進。先用看似正常的兼職合作、活動資訊或商品內容吸引目光,引導點擊連結查看;接著以「有問題請私訊」、「私訊才給名額/做法/報價」為由,要求改走私訊或其他通訊軟體。一旦進入私下對話,更容易被對方以分段話術與操作指令引導,降低冷靜查證的機會。遇到任何「必須點擊連結才看得到內容」或「私訊才提供關鍵資訊」的情境,都應直接視為高風險訊號。
此外,「市場」與「機會」仍在 Top 10,常被包裝成「機會難得、錯過可惜」的敘事,並延伸到投資、合作或兼職等高風險情境。這類內容往往先提供看似完整的流程或教學,接著以「合作方式」、「付款方式」、「帳戶驗證」、「保證金/手續費」或「指定平台操作」等理由要求先付款,或引導至不明網站進行認證與代收代付,最終造成金錢損失,甚至帳戶被利用為人頭帳戶的風險。
整體來看,本週常見手法是先用「免費/優惠」降低戒心,接著以「點擊連結、私訊洽談」把民眾帶離公開平台,轉入私下溝通後,再以各種「方式」(付款方式、合作方式、驗證方式、配送方式)逐步引導完成匯款或帳戶操作;同時搭配「市場機會」與「直播/高價商品」等包裝增加可信度。提醒民眾,只要對方要求先點不明連結、以私訊才提供細節,或以兼職、合作、課程、交易、直播喊單等名義要求先付款,或要求提供帳戶/身分資料,務必先停下來查證,改以官方網站與公開客服管道確認,避免落入「先付款才給資格、先操作才可成交/領取」的陷阱。
贖金不是解方:全球因應勒索軟體的三大趨勢
一、從 RaaS 到雙重勒索:勒索軟體的組織化威脅
近年,隨著勒索軟體(Ransomware)攻擊的頻率、規模持續攀升,使得政府、企業及關鍵民生基礎設施面臨嚴峻之威脅,且有別於過往零散的攻擊模式,目前已轉向「勒索軟體即服務」(RaaS)的組織化經營模式,由軟體開發者與負責執行入侵行為者分工,前者提供技術工具,後者負責尋找目標並執行攻擊,並由雙方共享收益,而其間形成的跨國產業供應鏈也使得調查、執法愈發困難1。
此外,攻擊者亦可能採取「雙重勒索」策略。首先,攻擊者會潛入系統並竊取大量機密資料,可能包含客戶資訊、財務報表、商業文件等;其次,攻擊者會將系統和資料全面加密,使受害者無法存取所需的關鍵資訊,並藉此發出雙重威脅:一方面要求支付贖金以換取解密工具,另一方面則以「將竊取的資料公開於暗網」威脅,使受駭組織不僅面臨業務停擺的危機,還可能因機敏資料外洩而承受聲譽損失、客戶流失甚至法律追究的重大風險2。
為此,各國政府也推出相關的因應措施,包括不鼓勵支付贖金、建立相關通報機制,並持續辦理持續營運計畫(BCP)與災難復原計畫(DRP)之演練活動等,本文簡要說明國際反勒索軟體倡議(Counter Ransomware Initiative, CRI)、英國、歐盟的政策主張,並嘗試提出相關建議。
二、國際政策趨勢
1. CRI:支付贖金非長久之計
國際反勒索軟體倡議(Counter Ransomware Initiative, CRI)為一由歐美、印太地區多國共同參與的倡議型組織,該組織於2023年發布聲明,表示不鼓勵受害者支付贖金,認為支付贖金無法確保事件得以有效處理,且將助長犯罪者及其行為持續擴張,不利於網路犯罪之打擊工作3。
2. EU:應通盤提升資安事件應變能力
根據歐盟網路安全局(ENISA)於 2022 年發布之《勒索軟體攻擊威脅態勢報告》(ENISA Threat Landscape for Ransomware Attacks),除建議受害者避免支付贖金外,並指出組織在事件發生後應主動諮詢執法機關、電腦安全事件應變小組(CSIRT)及資安主管機關,以取得調查、事件處置及威脅情報等必要協助。同時,報告亦強調各組織需建立並定期針對業務持續營運計畫(Business Continuity Plan, BCP)與災難復原計畫(Disaster Recovery Plan, DRP)進行演練,以確保在遭受勒索軟體攻擊時仍可維持營運能力,或進一步縮短系統中斷時間4。
3. 英國:以制度化措施抑制勒索軟體生態系
根據英國國家網路安全中心(NCSC)發布的《組織支付勒索軟體贖金之評估指引》(Guidance for organisations considering payment in ransomware incidents)5,支付贖金無法保證資料或系統得以復原,受害者不應直接支付贖金,而應採取資料備份(Backups),或透過執法部門等第三方取得解密金鑰來因應。
此外,英國內政部(Home Office)於2025年4月發起公眾立法諮詢(Ransomware: legislative proposals)6中,提及以下方案,希能藉此方案降低從事勒索軟體攻擊的經濟誘因:
(1) 禁止公共部門及關鍵基礎設施支付贖金。
(2) 建立贖金支付前的通報及審查制度,釐清是否涉及資助經濟制裁或恐怖主義團體風險,並提供支付贖金以外的替代方案。
(3) 建立勒索攻擊事件的通報機制,受害者須於72小時內提出初步通報,並於28日內補充完整報告。
三、國際政策趨勢
參考國際法制發展趨勢,歸納為以下3點建議供公私部門參考:
1. 避免支付贖金已成為各國共識,應調整制度以降低攻擊誘因
無論是國際反勒索軟體倡議(CRI)、歐盟或英國,均強調支付贖金不僅無法保證資料與系統順利復原,更可能促使犯罪產業生態系的持續發展,應逐漸朝向發展制度作為因應措施,例如英國提出的禁止公共部門與關鍵基礎設施支付贖金,以及建立支付前審查制度等。
2. 積極參與事件通報、資訊分享與跨部門協作,提升整體防禦能量
勒索軟體產業供應鏈的隱匿性,使得政府、企業難以即時掌握威脅態勢,故包括歐盟ENISA報告與英國立法提案皆特別強調通報制度的重要性,要求受害者於特定時限內回報事件資訊,並透過 ISAC、CSIRT與執法機關的情資分享與協作措施,改善防禦與因應能力。
3. 強化組織韌性,從被動回應轉向主動備援
組織除應建立持續營運計畫(BCP)與災難復原計畫(DRP)外,並應定期辦理演練活動,以確保營運韌性,因應勒索軟體及其他可能構成的潛在威脅。
------------------------------------------------------------------------------------------------------------------------------------
1. Trend,如何防止勒索病毒即服務(RaaS)攻擊?,參閱網址:
https://www.trendmicro.com/zh_tw/research/22/j/how-to-prevent-ransomware-as-a-service--raas--attacks-.html
2. 資安院,國際資安政策法制觀測週報 第105期 (11/08-11/14, Week 2) ,參閱網址:
https://www.nics.nat.gov.tw/core_business/information_security_information_sharing/International_Cybersecurity_Policy_Observation/09ab72f1-2ac9-4998-98a3-d2f0e1f26122/
3. Home Office, CRI joint statement on ransomware payments, available at:
4. ENISA, ENISA Threat Landscape for Ransomware Attacks, available at:
https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks
5. NCSC, Guidance for organisations considering payment in ransomware incidents, available at:
https://www.ncsc.gov.uk/guidance/organisations-considering-payment-in-ransomware-incidents
6. Home Office, Ransomware legislative proposals: reducing payments to cyber criminals and increasing incident reporting (accessible) , available at:
https://www.gov.uk/government/consultations/ransomware-proposals-to-increase-incident-reporting-and-reduce-payments-to-criminals/ransomware-legislative-proposals-reducing-payments-to-cyber-criminals-and-increasing-incident-reporting-accessible#proposal-1
關鍵字:產品安全、供應鏈、企業聯防