【資安週報 第28期】(115/1/16 - 115/1/22)
2026/1/22 上午 10:59:42
全文下載
- 資安週報-第28期 PDF
資安儀表板
事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標
事件通報:
近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息
智慧門禁與生物辨識設備屬於資訊系統並具備連線能力 應納入資安控管
本週總計接獲15件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,詳⾒圖2。本週發現有機關資訊設備下載惡意腳本,經查該連線設備為臉型指紋機,後續將其汰換下架。
臉型指紋機或門禁打卡機常被直覺認為「非電腦設備、不具資安風險」,惟實際上多數臉型指紋機具備作業系統、網路連線及程式執行能力,仍可能遭惡意程式入侵或被利用進行對外連線。建議將此類具網路功能之設備納入資訊資產盤點與監控,限制非必要對外連線並定期檢視韌體設定,同時於管理面納入資安規範與維運檢核,強化相關人員與委外廠商之風險認知與責任。
防護建議:
除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:
- 網路型門禁設備未納管,成為惡意程式入侵與對外連線跳板
- 非典型資訊設備缺乏監控,導致異常行為難以及時發現
針對潛在風險執行相應改善,如:
- 將具網路功能之門禁與生物辨識設備納入資訊資產清冊管理
- 限制門禁設備非必要對外連線,實施網路存取控管與隔離
- 定期檢視並更新設備韌體與系統設定,降低被利用風險
- 將門禁設備納入維運與委外管理檢核,強化人員資安責任
◎3間民間企業揭露重大資安訊息
本週3家民間企業發布重大訊息,產業類別分為農業科技業、化學工業及汽車工業。
- 公司名稱:祥圃實業股份有限公司
- 發布時間:115 年 1 月 12 日
- 事件說明:祥圃公司於115/1/11偵測部分資訊系統遭駭客網路攻擊,立即啟動相關資安防禦與系統復原,並委請外部資安技術公司及專家共同處理,且依程序向主管機關通報。目前評估對公司營運、資訊安全、個資無重大影響,後續將持續提升網路與資訊基礎架構之安全管控,以確保資訊安全。
- 公司名稱:磐亞股份有限公司
- 發布時間:115 年 1 月 14 日
- 事件說明:磐亞公司於115/1/14發現對外官網代管服務遭受網路DDoS攻擊時,立即通知委外代管廠商啟動相關防護及應變機制,並恢復及確保網站服務正常運作。目前沒有個資、機密或重要文件外洩,後續將持續密集監控,以確保資訊安全。
- 公司名稱:昭輝實業股份有限公司
- 發布時間:115 年 1 月 18 日
- 事件說明:昭輝公司於115/1/18發現部分電腦遭不明駭客入侵,且有部分伺服器資料遭加密,導致部分系統無法使用。目前已啟動資安防禦及復原機制,同時委請外部資安公司及專家共同處理,並依程序向主管機關通報。初步評估對公司營運、資安、個資等無重大影響,後續將持續提升網路與資訊基礎架構之安全管控,以確保資訊安全。
聯防監控:
近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統
攻擊者善用合法工具規避偵測 防護策略亟需升級
本週資安聯防監控顯示,詳如圖3,整體攻擊態勢呈現持續活躍狀態,其中「防禦迴避」階段最為顯著,佔比從上週的15.55%上升至本週的16.84%,成為最主要的攻擊手法。攻擊者慣用的技術包括關閉或清除指令紀錄、利用合法系統工具執行惡意命令,以及濫用信任的應用程式來規避偵測機制。
其次為「偵測刺探」階段,佔比從12.64%提升至15.54%,顯示攻擊者正積極進行目標環境的資訊蒐集與弱點掃描。第三高的「惡意執行」階段維持在11.65%左右,反映攻擊者在取得初步立足點後,持續嘗試執行惡意程式碼。
值得注意的是,「初始入侵」階段從10.88%下降至8.92%,而「權限提升」也從7.46%降至5.87%,顯示部分攻擊可能已進入更深層的滲透階段。聯防監控的目的在於提醒各單位留意攻擊趨勢是否由初期的偵測刺探逐步演進至更具破壞性的階段,如資料滲出或衝擊影響,以便及早採取對應措施。
防護建議:
建議機關採取下列防護措施:
強化防禦迴避偵測能力
- 導入具備行為分析功能的端點防護解決方案,監控異常的系統工具使用行為
- 強化指令紀錄稽核機制,確保所有關鍵操作均留存完整日誌且無法被輕易清除
- 建立應用程式白名單政策,限制高風險工具的濫用,特別是具備系統管理權限的合法工具
- 落實特權帳號管理,定期檢視並限縮不必要的管理權限,降低攻擊者利用合法憑證進行防禦迴避的機會
蜜罐誘捕:
近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢
Citrix NetScaler ADC與GeoServer開放源碼伺服器成攻擊熱點
本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比71.46%、「遠端控制」服務攻擊占比24.97%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達75.16%。「遠端控制」服務亦有21.41% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。
本週Web服務系統比例下降原因為JetBrains TeamCity 驗證繞過漏洞的CVE-2023-42793,遭攻擊次數下降導致。而網通設備管理介面比例上升主因為Juniper Junos OS EX系列與SRX系列PHP外部變數修改漏洞的CVE-2023-36845,遭攻擊次數上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。
進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、程式碼注入、特權提升、遠端程式碼執行漏洞及PHP 外部變數修改漏洞,攻擊目標涵蓋Citrix NetScaler ADC、 GeoServer開放源碼伺服器、Cisco IOS XE網通設備作業系統、PHP及Juniper Junos OS EX 系列與 SRX 系列,顯示此類系統已成為高風險熱點。
防護建議:
建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。
|
排名 |
漏洞編號 |
受影響產品 |
CVSS 3.x Base Score |
|---|---|---|---|
|
1 - |
Citrix NetScaler ADC |
7.5 |
|
|
2 - |
GeoServer開放源碼伺服器 |
9.8 |
|
|
3 - |
Cisco IOS XE網通設備作業系統 |
10 |
|
|
4 ↑1 |
PHP |
9.8 |
|
|
5 ↑New |
Juniper Junos OS EX 系列與 SRX 系列 |
9.8 |
近期重⼤弱點提醒
近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:
-
微軟釋出1月份安全性更新,共修補包含Windows Routing and Remote Access Service (RRAS)、Microsoft Office SharePoint、Microsoft Office Word及Microsoft Office等共115個漏洞,其中包含3個高風險漏洞與1個已遭利用之漏洞。
-
Elastic近期發布安全性更新,共修補7個安全性漏洞(CVE-2025-66566、CVE-2026-0528 、CVE-2026-0529、CVE-2026-0530、CVE-2026-0531、CVE-2026-0532及CVE-2026-0543)。
- Google近期發布Chrome 144版安全性更新,共修補10個安全性漏洞(CVE-2026-0899、CVE-2026-0900、CVE-2026-0901、CVE-2026-0902、CVE-2026-0903、CVE-2026-0904、CVE-2026-0905、CVE-2026-0906、CVE-2026-0907及CVE-2026-0908)。
- MOXA已發布安全性更新,修補交換器設備中OpenSSH高風險安全漏洞(CVE-2023-38408),類型為不帶引號搜尋路徑(Unquoted Search Path),該漏洞允許未經身分鑑別之遠端攻擊者透過SSH金鑰轉發機制於遠端執行任意程式碼。
- Fortinet FortiSIEM存在高風險安全漏洞(CVE-2025-64155),類型為作業系統指令注入(OS Command Injection),未經身分鑑別之遠端攻擊者可注入任意作業系統指令並於伺服器上執行。
外部曝險分析:
經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險
整體風險總數持平 元件漏洞改善惟憑證與網站防護問題微幅回升
本期針對46個關鍵基礎設施(CI)單位執行EASM資安曝險檢測,共計發現1,203項重大與高風險弱點,其中包含115項重大風險與1,088項高風險弱點。此數據顯示整體外部曝險情勢呈現持平狀態,風險總數較上期(1,205項)微幅減少2項。從風險分布觀察,本期仍以「元件高風險漏洞(332項)」、「TLS憑證不受信任(299項)」、「過時或弱加密協定(292項)」及「CSP設定不當(156項)」為主要類別,四項合計占比約90%,這突顯出多數單位在網站加密傳輸設定、憑證有效性管理及網頁安全標頭部署上仍有優化空間,詳見圖5。
進一步比較兩期差異,「元件高風險漏洞」由358項降至332項,雖仍居榜首,但數量有所下降,顯示部分機關已針對已知軟體漏洞進行修補;然而,「TLS憑證不受信任」由288項增加至299項,「未部署WAF」亦由60項攀升至70項,「CSP設定不當」則由152項微增至156項,反映出基礎防護配置與憑證管理仍需持續關注與加強。
防護建議:
建議機關或關鍵基礎設施採取下列防護措施:
- 定期更新憑證,全面啟用TLS 1.2以上版本協定,停用未加密或舊版協定
- 儘速修補已知漏洞,淘汰無維護之軟體版本
- 部署WAF並導入CSP等網站安全標頭,降低跨站攻擊與惡意存取風險
- 關閉不必要對外服務,管理服務改採加密通道(如SSH)
建議機關或關鍵基礎設施採取下列管理措施:
- 定期盤點並更換外洩帳號憑證,搭配多因素驗證(MFA)以強化存取安全
- 建立弱點修補與驗證流程,確保風險持續改善
- 強化資安教育與演練,提升人員對憑證、加密與服務設定之安全意識
網路巡查⾼⾵險詐騙:
追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標
年初交易與促銷題材更迭 高風險詐騙偵測量回升 請民眾持續提高警覺
整體觀察「全部高風險」總量趨勢,本期監測數據在前兩週走低後出現回升:前一週下降後,最新一週再度上揚。顯示跨年檔期帶動的高峰雖已退去,但在年初交易與金流活動恢復、促銷題材更迭的情境下,高風險詐騙仍可能以不同包裝持續出現。另就整體變化而言,最新一週雖較前一週增加,但尚未回到 12 月下旬較高區間,較接近回到常態波動範圍;後續仍需持續觀察是否延續增加,詳見圖6。
從詐騙類型來看,「產品服務」仍為主要風險來源,本期自前一週低點回升。此類詐騙常搭配年初促銷、福袋、限量商品、二手交易與票券轉售等情境,透過假賣家、偽造付款或物流通知、催促付款,或引導點擊不明連結等手法快速擴散。由於量體與觸及面仍大,請民眾與平台務必持續留意並加強防範。
「身分冒充」本期亦呈上行,顯示「假冒親友」、「假冒公部門」、「假冒企業客服或金流客服」等手法仍在運作。常見話術多結合「退款、取消交易」、「帳戶異常」、「需立即驗證」等情境,利用民眾急於處理交易、客服繁忙與資訊不對稱,營造緊迫感並誘導配合操作。提醒民眾遇疑似情形,務必先查證再處理。
「金融投資」本期增幅相對較明顯,為帶動整體回升的重要來源之一。此類詐騙常以「投資理財」、「虛擬貨幣」、「老師帶單」、「高報酬穩賺」等話術包裝,並搭配獲利截圖、名人背書、社群群組與私訊邀請,易在年初投資話題與資金調度需求下擴散。雖不一定為最大宗,但一旦受害往往損失金額較高,請民眾特別留意。
綜整而言,本期高風險偵測量自低點回升,三大類型同步增加;其中「產品服務」仍為最大宗風險來源;「身分冒充」增加,需防範假客服與假公部門話術;「金融投資」增幅較明顯且具高損失特性,請持續提高警戒並加強宣導。
高風險詐騙偵測趨勢分析與提醒
提升多平台風險警覺
- 避免直接點擊與「產品服務」相關之不明優惠連結(簡訊或社群貼文中的連結),特別是「年初限定、最後一波、限量福袋、倒數出清」等催促性訊息;請優先回到官方App或官網自行查詢與確認。
- 面對「投資理財」廣告或社群邀請(帶單、老師、群組)時,請先查證機構或人士是否合法、是否有正式登記與可追溯資訊;勿因獲利截圖、名人背書或「保證收益」話術而匆忙入金。
- 凡「官方客服」主動聯繫並要求操作 ATM、轉帳、提供驗證碼,或下載指定App或遠端工具者,均屬高風險警訊;請立即中止互動,並改以官方管道查證。
強化身分驗證與求證習慣
- 接獲疑似「身分冒充」親友急需匯款或代付之訊息,請務必改用電話或影音再次確認,避免僅以文字訊息往返。
- 自稱「公部門、金融機構、電商或物流客服」要求提供帳戶資訊、協助解除分期、退款驗證或資金檢核時,請先掛斷,並改撥官方電話或透過官方客服管道查證。
- 建議網路帳號開啟多重驗證(2FA),並定期檢查登入紀錄與綁定裝置,避免帳號遭盜用後成為詐騙工具。
善用官方資訊與檢舉機制
- 遇到疑似詐騙內容,請立即通報「165 反詐騙專線」或平台客服,並保留對話、連結、匯款資訊等相關證據。
- 請持續關注政府與金融機構發布之最新手法警示與高風險名單,特別留意「假客服、假投資」常見關鍵話術與誘導步驟。
- 建議企業與平台持續更新詐騙偵測與攔截規則,針對年初常見之「假促銷連結、偽造金流或物流通知、假客服引導操作」加強風險控管與提醒曝光。
本週代表性詐騙關鍵字Top 10 以「點擊」、「領取」、「免費」為主要特徵,並常與「優惠」、「加入」等行動導向字眼併用,顯示詐騙話術仍以「低門檻誘因」結合「引導立即行動」作為核心手法,詳見圖7。常見模式為先以「限時免費、登記領取、優惠活動」降低戒心,再要求民眾點擊短連結、加入指定帳號,或導向外部頁面(私訊、群組、網站)進行後續操作,例如蒐集個人資料、誘導購買下單、要求匯款或綁定付款方式。
提醒民眾注意,本週尤需防範「點擊」與「領取」相互搭配之導流情境。詐騙流程常以「先點連結、再要求登記或加入」方式推進:先以看似正常之活動資訊、福利贈品或限量名額吸引點閱,引導點擊連結;其後再以「登記領取」、「加入後提供名額/方式」等理由,要求轉往特定通訊軟體或外部頁面。一旦互動離開公開平台,資訊來源與對話內容不易查證,民眾亦可能在連續指令與話術引導下降低警覺。凡遇「必須點擊連結方可查看內容」或「加入/登記後才提供領取方式」等情形,請務必提高警覺並停止操作
另請留意,本週亦可見以「市場」、「策略」、「推薦」等措辭包裝之投資型高風險情境,例如以「量化分析」、「提供策略」、「推薦標的」建立專業形象,並以「把握機會」催促加入社群或前往指定網站。此類內容常以「不收費、不分成」等說法降低戒心,後續逐步引導下載或登入不明平台、加入付費方案,甚至出現代操、匯款或要求提供交易/帳戶資料等行為。凡涉及「保證獲利、帶領操作、指定平台、要求匯款或提供驗證資訊」者,均屬高風險態樣,請切勿輕信,並立即退出相關群組或頁面。
此外,生活型情境之詐騙風險亦仍存在,常見如以「免費贈送」、「限時發放」、「分享/留言即可領取」等互動任務吸引參與,或以「招募、工作機會、簡單流程、福利完善」包裝成兼職合作。此類作法多於初期提供看似完整之流程說明,後續卻以「手續費、保證金、驗證費用、帳戶設定」等名目要求先付款,或引導至不明連結填寫資料與操作。若對方要求提供身分證件、銀行帳戶、付款資訊,或要求協助代收代付、帳戶認證等,請立即停止配合,並避免提供任何敏感資料。
綜合本週觀察,常見手法可概括為:先以「免費/優惠」或「登記領取」作為入口,繼以「點擊連結、加入社群、外部登記」將互動帶離公開平台,再逐步提出付款、匯款或帳戶操作等要求,並搭配「市場策略、推薦背書、設計感福利、機會招募」等包裝提高可信度。呼籲民眾:凡要求先點不明連結、以加入/登記作為取得細節之必要條件,或以投資、兼職、合作、贈品領取等名義要求先付款、提供帳戶/身分資料者,應一律停止操作並先行查證;建議優先透過官方網站與公開客服管道確認真偽,避免落入「先操作才給資格、先付款才可領取/成交」之詐騙陷阱。
焦點文章
看似正常,實則危險:圖片密碼+捷徑檔的社交工程攻擊
資安院近期發現,駭客以「陳情」或「投訴」為由,透過常見的意見信箱與公開聯絡管道進行社交工程攻擊,誘使收件者開啟惡意附檔,進而執行惡意程式。
本次攻擊手法中,駭客刻意採用較不常見的方式,將開啟壓縮檔所需的密碼製作成圖片檔,並以附件形式隨信寄送,而非直接寫在郵件內容中。此舉可避開部分資安設備對文字內容的掃描與偵測,降低郵件遭攔阻的機率,進而提升攻擊成功的可能性,詳見圖8。
當收件者依照郵件指示解壓縮附件後,會看到一個看似一般檔案的捷徑檔(.lnk)。然而,一旦點擊該檔案,系統便會在背景中執行隱藏的惡意程式,同時開啟誘餌文件掩人耳目,讓使用者誤以為僅是正常開啟檔案,實際上電腦已可能遭到入侵,甚至與駭客的遠端控制主機建立連線。
整體而言,這類攻擊結合「密碼圖片化」與「捷徑檔執行惡意程式」等手法,再搭配看似合理且常見的「陳情/投訴」情境作為包裝,有效降低收件者戒心。一旦誤信郵件內容並開啟附件,即可能成為攻擊鏈的一環,衍生後續資安風險。
防護建議
- 慎防可疑郵件與附件:提高對社交工程郵件的警覺,勿點開來路不明或主旨看似合理卻夾帶附件的郵件,特別留意副檔名為.lnk、.exe等具執行風險之檔案,避免誤觸惡意程式。
- 確認檔案內容與開啟方式:針對需使用圖片密碼解壓縮,或指示點擊捷徑檔的附件,應提高警覺並審慎確認來源真實性,避免依照郵件指示直接操作。
- 維持系統更新並強化資安意識︰定期更新作業系統與防毒軟體,並透過持續宣導提升使用者對社交工程攻擊手法的辨識能力,以降低資安風險。
關鍵字:社交工程攻擊、圖片密碼、捷徑檔(LNK)