跳到主要內容區
  1. 首頁
  2. 最新消息

【資安週報 第29期】(115/1/23 - 115/1/29)

 

2026/1/29 上午 11:47:59

全文下載

  1. 資安週報-第29期   PDF 

資安儀表板

事件通報、聯防監控、蜜罐誘捕、外部曝險分析及網路巡查高風險詐騙等五類量化指標

 

事件通報:

近一週公務機關資安事件通報之類型與數量,同時包含民營機構依規定揭露重大資通安全訊息

備份機制除確保可用性外 亦須兼顧安全性與可還原性

本週總計接獲16件公務機關與特定⾮公務機關事件通報,詳⾒圖1,公務機關⾮法⼊侵事件中以異常連線占多數,詳⾒圖2。機關設備對外連線惡意 IP,除主要設備遭植入惡意程式外,異地備援主機亦因每日資料同步機制,將受感染內容一併抄寫至備援環境,導致備援主機同時受害。
 

當設備遭惡意程式入侵時,若備份或備援機制採自動同步方式,受感染資料可能隨同步流程寫入備份環境,進而影響備份檔案之安全性。建議於資料同步或備份前進行掃描,以避免受感染資料寫入備援環境;同時強化備援主機之惡意程式防護與監控,採用具版本控管或不可變特性之備份機制,並透過權限控管與網路區隔降低橫向擴散風險,另定期驗證備份還原可用性,以確保於資安事件發生時仍能有效復原。
 

圖1 | 本週公務機關暨特定非公務機關資安事件通報概況

圖1 | 本週公務機關暨特定非公務機關資安事件通報概況
 

圖2 | 本週公務機關非法入侵事件類型占比

圖2 | 本週公務機關非法入侵事件類型占比
防護建議:

除修補漏洞外,應:
以攻擊為出發評估潛在風險,如:

  1. 自動同步機制未進行資安檢核,導致惡意程式隨資料寫入備援主機
  2. 備份未具不可變或版本控管,事件後難以確保可用且乾淨的復原點

針對潛在風險執行相應改善,如:

  1. 於資料同步或備份前執行惡意程式掃描,避免受感染資料寫入備援環境
  2. 強化備援主機之防毒、防護與異常行為監控,降低同步感染風險
  3. 採用具不可變特性及版本控管之備份機制,確保可回復之安全備份
  4. 落實帳號權限最小化與網路區隔,防止惡意程式橫向擴散

 

◎2間民間企業揭露重大資安訊息

本週2家民間企業發布重大訊息,產業類別分為光電業與電腦及週邊設備業。

  1. 公司名稱:億光電子工業股份有限公司
  2. 發布時間:115 年 1 月 19 日
  3. 事件說明:億光代子公司億力光電發布重大訊息,億力光電於115/1/19發現部分資訊系統遭受駭客網路攻擊,資訊部門已全面啟動相關防禦機制和復原作業,且與外部資安公司協同處理。目前將所有資訊系統及檔案徹底掃描後,即能備份資料復原運作。初步評估對公司運作無重大影響,後續修復安全漏洞並持續提升網路與資訊基礎架構之安全控管,以確保資訊安全。
     
  4. 公司名稱:永擎電子股份有限公司
  5. 發布時間:115 年 1 月 22 日
  6. 事件說明:永擎公司於115/1/22發布重大訊息,因公司外包廠商帳密外流,已確認外流帳密權限僅限於官網資料、已公開資訊或須搭配特定硬體產品才能運作的產測程式。經內部盤查後,已初步排除內伺服器被入侵的可能性,受影響範圍不含公司之機密文件、重大財物資訊或任何客戶及員工之個人資料。目前評估對公司營運無重大影響,後續將持續密集監控,以確保資訊安全。

聯防監控:

近⼀週以MITRE ATT&CK Matrix 分析攻擊者⾏為,提醒公務機關留意攻擊趨勢變化,是否由初期之偵測刺探進⼊影響層⾯更⼤竊取資料與破壞資通系統

攻擊態勢轉向深層滲透 「防禦迴避」手法佔比居冠達15%

本週資安聯防監控顯示,詳見圖3,整體攻擊態勢呈現從初期偵測階段逐步轉向深層滲透的趨勢。相較於上週,「偵測刺探」階段佔比由15.54%下降至13.76%,「攻擊整備」亦從10.68%降至7.98%,顯示攻擊者已完成前期準備工作。

 

值得關注的是,「防禦迴避」持續位居首位,本週佔比達15.35%,攻擊者常透過關閉或清除指令紀錄、利用合法系統工具執行惡意命令等手法,企圖規避資安監控機制。其次為「偵測刺探」13.76%,攻擊者持續進行目標環境的資訊蒐集。第三高為「初始入侵」9.75% ,較上週8.92%上升,顯示攻擊者正積極嘗試突破防線。
 

同時,「維續存取」從6.83%提升至9.14%,「資訊蒐整」從1.36%增至2.50%,「資料滲出」從1.46%增至2.39%,顯示部分攻擊已進入後期階段。此趨勢提醒企業應密切留意攻擊是否由初期偵測刺探進入更具破壞性的資料竊取與系統破壞階段,及時採取應變措施。
 

 

圖3 | 資安聯防監控攻擊階段統計

圖3 | 資安聯防監控攻擊階段統計
 
防護建議:

建議機關採取下列防護措施:
強化防禦迴避偵測能力

  1. 導入端點偵測與回應(EDR)解決方案,即時監控異常行為模式
  2. 強化指令紀錄稽核機制,確保所有系統操作留有完整軌跡
  3. 限制高風險工具濫用,建立白名單管控機制
  4. 落實特權帳號管理,定期檢視權限配置並實施最小權限原則

加強初始入侵防護

  1. 定期更新系統與應用程式漏洞修補
  2. 強化電子郵件安全閘道,過濾惡意附件與釣魚連結
  3. 實施多因素驗證機制,降低帳號遭入侵風險

建立縱深防禦體系

  1. 部署網路分段隔離,限制橫向移動範圍
  2. 建立資料外洩防護(DLP)機制,監控敏感資料傳輸
  3. 定期進行資安演練與事件應變計畫驗證

蜜罐誘捕:

近⼀週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利⽤的弱點趨勢

Citrix NetScaler ADC與Cisco IOS XE網通設備作業系統成攻擊熱點

本週透過部署於國內外之蜜罐系統觀測攻擊行為動態,相較於上週「網頁應用」服務攻擊占比75.16%、「遠端控制」服務攻擊占比21.41%,本週各類服務之平均偵測攻擊比例無明顯變化,結果顯示「網頁應用」服務仍為攻擊主軸,占比高達78.37%。「遠端控制」服務亦有18.41% 的誘捕比例,反映攻擊者仍積極針對公開遠端連線介面進行入侵行動。
 

網頁應用是最為常見之對外服務類型,若存在已知漏洞,將面臨高風險曝露情形,易成為攻擊者入侵與滲透重要管道,為優先防護之項目。本週網頁應用介面之誘捕狀況,詳見圖4。本週通用型Web介面占比最高,此類別為攻擊者廣泛的進行HTTP掃描與探測,顯示攻擊者企圖尋找可能存在之Web漏洞進行攻擊。

 

另Web服務系統類別包含各類以網頁為基礎的服務與應用,例如常見的網頁框架、應用程式伺服器、檔案傳輸與資料管理平台等,由於此類服務多建置於企業應用環境,且直接面向外部提供功能與資料交換,為僅次於通用型介面的攻擊目標。而網通設備管理介面比例大幅上升主因為Cisco IOS XE網通設備作業系統特權提升漏洞的CVE-2023-20198,遭攻擊次數大幅上升導致。網通設備管理介面涵蓋路由器、防火牆等網通設備管理介面,以及智慧攝影機、NAS等物聯網設備管理介面,皆容易遭受攻擊者透過弱密碼、預設帳號或已知漏洞進行入侵。其他類型服務雖比例極小,但若涉及關鍵業務系統,仍需留意潛在風險。

進一步解析國內外之蜜罐系統誘捕漏洞攻擊之情形,詳見表1。近3年揭露之攻擊漏洞,前5大攻擊以「網頁應用」服務之漏洞為主要入侵路徑,本週漏洞類型多集中於越界讀取漏洞、特權提升、程式碼注入及遠端程式碼執行漏洞,攻擊目標涵蓋Citrix NetScaler ADC、Cisco IOS XE網通設備作業系統、GeoServer開放源碼伺服器、PHP及Apache Solr企業搜尋平台,顯示此類系統已成為高風險熱點。 

 

圖4 | 本週網頁應用服務之誘捕攻擊比例統計

圖4 | 本週網頁應用服務之誘捕攻擊比例統計

 

防護建議:

建議存在漏洞之設備應更新至最新版本軟體或韌體以修補漏洞;若原廠已無法提供更新支援,應考慮汰換存在漏洞之設備或軟體套件,如因故無法汰換,應採對應之漏洞緩解措施。 

排名

漏洞編號

受影響產品

CVSS 3.x Base Score

1

-

CVE-2025-5777

 Citrix NetScaler ADC

7.5

2

↑1

CVE-2023-20198

 Cisco IOS XE網通設備作業系統

10

3

↓1

CVE-2024-36401

 GeoServer開放源碼伺服器

9.8

4

-

CVE-2024-4577

 PHP

9.8

5

↑New

CVE-2023-50386

 Apache Solr企業搜尋平台
 

8.8
表1|本週前5大攻擊使⽤之近3年漏洞排⾏列表

 

近期重⼤弱點提醒

近⼀週本院研究⼈員發現以下重⼤弱點資訊,建議組織內部進⾏檢查與修補:

  1. Cisco已發布安全性更新,修補Secure Email Gateway(SEG)與Secure Email and Web Manager(SEWM)所使用之AsyncOS作業系統中高風險安全漏洞(CVE-2025-20393),類型為不當輸入驗證(Improper Input Validation),該漏洞允許未經身分鑑別之遠端攻擊者可利用此漏洞以root權限於受影響設備底層作業系統執行任意指令。

  2. Cisco整合通訊多項產品存在高風險安全漏洞(CVE-2026-20045),類型為程式碼注入(Code Injection),未經身分鑑別之遠端攻擊者可透過傳送特製HTTP請求至受影響設備以執行任意指令,進而提升至root權限。

外部曝險分析:

經由外部檢測政府機關資通安全狀況,例如使用EASM工具或實兵演練,及早發現曝露於外部之風險

元件高風險漏洞改善幅度最大 成為本期風險下降主因

本期針對43個公部門單位進行EASM資安曝險檢測,共計發現310項重大與高風險弱點,詳見圖5,其中包含12項重大風險與298項高風險弱點。結果顯示,整體外部曝險情勢較上期(344項)有所改善,風險總數下降約10%。從風險類別分布觀察,本期仍以「TLS憑證不受信任(101項)」、「過時或弱加密協定(83項)」、「CSP設定不當(54項)」及「元件高風險漏洞(36項)」為主要類別,四類合計占比約88%,此一分布反映多數單位在憑證管理、漏洞修補及網站安全設定上仍存在普遍性風險,亦為現階段資安防護的主要挑戰。
 

進一步比較兩期差異,「元件高風險漏洞」由68項降至36項,降幅達47%,為本期改善最明顯項目;「TLS憑證不受信任」由97項增至101項,呈現小幅上升趨勢;「過時或弱加密協定」由85項降至83項,顯示加密協定改善有所進展;「CSP設定不當」由54項維持持平;另「未部署 WAF」則由20項降至19項,反映部分單位對網站應用程式防護重視程度略有提升。
 

防護建議:

建議機關或關鍵基礎設施採取下列防護措施:

  1. 定期更新憑證,全面啟用TLS 1.2以上版本協定,停用未加密或舊版協定
  2. 儘速修補已知漏洞,淘汰無維護之軟體版本
  3. 部署WAF並導入CSP等網站安全標頭,降低跨站攻擊與惡意存取風險
  4. 關閉不必要對外服務,管理服務改採加密通道(如SSH)

建議機關或關鍵基礎設施採取下列管理措施:

  1. 定期盤點並更換外洩帳號憑證,搭配多因素驗證(MFA)以強化存取安全
  2. 建立弱點修補與驗證流程,確保風險持續改善 
  3. 強化資安教育與演練,提升人員對憑證、加密與服務設定之安全意識
     

圖5 | EASM檢測結果統計(前10大風險)

網路巡查⾼⾵險詐騙:

追蹤詐騙訊息與⼿法演變,掌握政府機關實施之打詐政策與機制,是否達成其控制⽬標

年初話題降溫 整體趨勢較前週回落 仍請留意假促銷、假客服與假投資

整體觀察「全部高風險」總量趨勢,本期監測數據較前一週回落,詳見圖6,顯示先前因年初交易、金流與投資話題帶動的活躍度,本週已有所降溫。不過,趨勢回落不代表詐騙消失;詐騙內容常隨題材更換而改變包裝,仍請民眾持續落實「先查證、再行動」原則,避免因一時鬆懈而受害。

 

從詐騙類型來看,「產品服務」仍為主要風險來源,但本期整體較前週減少。此類詐騙常搭配年初促銷、福袋、限量商品、二手交易與票券轉售等情境,透過假賣家、偽造付款或物流通知、催促付款,或引導點擊不明連結等手法進行。提醒民眾,交易資訊請以官方 App 或官網查詢為準,避免被引導改走私訊下單、站外付款或不明連結流程。
 

「身分冒充」本期亦較前週回落,但仍持續可見「假冒親友」、「假冒公部門」、「假冒企業客服或金流客服」等手法。常見話術多以「退款、取消交易」、「帳戶異常」、「需立即驗證」等情境製造壓力,進一步要求提供驗證碼、配合操作或下載工具。提醒民眾遇到自稱官方來電或私訊時,先中止互動,再改以官方電話或官方客服管道查證。
 

「金融投資」本期降溫最為明顯,顯示先前投資題材造成的活躍度已暫緩。然而,此類詐騙常以「投資理財」、「虛擬貨幣」、「老師帶單」、「高報酬穩賺」等話術包裝,並透過社群群組、私訊邀請、獲利截圖或名人背書引導入金;一旦受害,損失金額往往較高,仍請民眾保持高度警覺,切勿因短期回落而降低查證強度。
 

綜整而言,本期高風險整體趨勢較前一週回落,三大類型同步減少;其中「產品服務」仍是最主要風險來源;「身分冒充」仍以假客服、假公部門情境誘導操作;「金融投資」雖降溫但屬高損失風險類型,後續仍需持續宣導與防範。

 

圖6 | 偵獲高風險金融投資、身分冒充、產品服務類詐騙週趨勢

圖6 | 偵獲高風險金融投資、身分冒充、產品服務類詐騙週趨勢

 

高風險詐騙偵測趨勢分析與提醒

提升多平台風險警覺

  1. 面對「產品服務」相關訊息,凡出現不明連結、短網址、要求私訊下單、改用站外付款或「限時、倒數、最後一波」等催促話術,請先停下並回到官方 App 或官網自行查詢與確認。
  2. 面對「投資理財」廣告或社群邀請(帶單、老師、群組),請優先查證機構或人士是否具合法登記與可追溯資訊;對「保證獲利、穩賺不賠、限時名額」等說法務必提高警覺,避免匆忙入金。 
  3. 凡自稱「官方客服」主動聯繫並要求操作 ATM、轉帳、提供驗證碼,或下載指定 App、遠端工具者,均屬高風險警訊;請立即中止互動,並改以官方管道查證。

強化身分驗證與求證習慣

  1. 接獲疑似「身分冒充」親友急需匯款或代付之訊息,請務必改用電話或影音再次確認,避免僅以文字訊息往返。
  2. 自稱「公部門、金融機構、電商或物流客服」要求提供帳戶資訊、協助解除分期、退款驗證或資金檢核時,請先掛斷,並改撥官方電話或透過官方客服管道查證。
  3. 建議網路帳號開啟多重驗證(2FA),並定期檢查登入紀錄與綁定裝置,避免帳號遭盜用後成為詐騙工具。

善用官方資訊與檢舉機制

  1. 遇到疑似詐騙內容,請立即通報「165 反詐騙專線」或平台客服,並保留對話、連結、匯款資訊等相關證據。
  2. 請持續關注政府與金融機構發布之最新手法警示與高風險名單,特別留意「假客服、假投資」常見關鍵話術與誘導步驟。 
  3. 建議企業與平台持續更新詐騙偵測與攔截規則,針對年初常見之「假促銷連結、偽造金流或物流通知、假客服引導操作」加強風險控管與提醒曝光。
     

本週代表性詐騙關鍵字Top 10 以「優惠」、「推薦」、「設計」、「免費」為主軸,詳見圖7,顯示詐騙話術仍常以「折扣與贈送」包裝成看似正當的促銷或服務資訊,再透過「推薦背書、客製設計」等措辭建立信任,引導民眾採取下一步行動。常見情境包含「限時優惠、買贈活動、免費提供/免費體驗」等,藉此降低戒心,進而導向點擊連結、填寫資料或移轉至站外頁面,進行後續的蒐集個資、誘導下單、要求匯款或綁定付款方式等操作。

 

本週亦可見「必備」、「限量」、「神器」等字眼頻繁出現,常被用於團購、清潔用品、家電/小物等「看似實用、價格誘人」的宣傳,並以倒數、名額、限量組數等方式催促民眾立即點擊連結下單。此類貼文多導向陌生購物頁、短網址或多層跳轉頁面,風險包含釣魚頁面、假網站、盜刷,或以「加購、升級、保留名額」名義引導追加付款。呼籲民眾切勿在不明網站輸入信用卡、網銀、身分證件等敏感資訊,並應優先查核賣家資訊、退換貨規則、客服聯繫方式與付款安全機制。 
 

 另就「推薦」與「設計」之用語觀察,除商品行銷外,也常出現在加盟創業、課程顧問、量身規劃等服務型內容,透過「專業推薦、客製設計、完整方案」營造可信形象,實際卻可能將費用、合約條款、退費規則等關鍵資訊隱藏於私下說明或站外頁面,並要求先繳交訂金、入會費、教材費或其他名目費用。提醒民眾,凡涉及合約或付款事項,務必要求提供完整書面資料並審閱條款;若對方以「名額有限、立即決定」催促付款,請提高警覺並先行查證。
 

此外,本週亦出現以「台灣」或「日本」等在地/海外元素作為包裝之情形,例如宣稱「官網首賣」、「海外技術」、「日本最新」等,用以提高可信度並吸引點擊。此類內容可能用於商品銷售、保健宣稱、或各式資訊型貼文引流;若後續導向陌生連結、要求填寫資料、或引導至非官方客服窗口,即應視為高風險。建議民眾以品牌官方網站、公開客服與正式通路進行比對查核,避免僅憑貼文宣稱或截圖即進行交易。
 

綜合本週觀察,常見手法多為先以「優惠/免費」作為入口,搭配「推薦/設計」建立信任,再以「限量/必備/神器」等話術加速決策,並透過連結導流將民眾帶往較不透明的站外環境,進一步推動付款、匯款或提供敏感資料。提醒民眾:凡遇要求先點不明連結、先登記才能取得資訊、或要求先付款/提供帳戶與身分資料者,請立即停止操作並先行查證;建議優先透過官方網站與公開客服管道確認真偽,以降低受騙風險。 

 

圖7 | 本週代表性詐騙關鍵字 Top 10

焦點文章

 

政府機關導入零信任架構參考指引—信任推斷草案重點
 

我國政府零信任架構參考NIST SP 800-207文件,採行身分鑑別、設備鑑別及信任推斷三階段循序推動。所有使用者與設備在存取資訊資源(如資通系統)前,皆須通過存取閘道進行驗證,數位發展部資通安全署偕同國家資通安全研究院(簡稱資安院)已於113年頒布身分與設備鑑別之參考指引。
 

資安院於114年完成了政府機關導入零信任架構參考指引—信任推斷草案,本文說明指引重點,信任推斷機制在政府零信任架構中扮演重要的角色,其定位是作為決策引擎的最後一道防線,負責整合並分析所有相關資料,以產生最終的存取決策。信任推斷的流程設計在實現動態、持續的信任評估,確保所有存取請求都能基於蒐集資訊做出判斷,如圖8所示。
 

圖8 | 身分、設備鑑別與信任推斷架構圖
 
 

 信任推斷核心組件

  1. 信任推斷伺服器
    信任推斷伺服器收集信任推斷所需的來源資料,包含身分鑑別結果、設備鑑別結果、設備健康狀態等,並運用預設的信任演算法執行信任推斷,信任推斷的結果須通過預設的信任門檻或條件,才能允許資源存取。

  2. 設備健康伺服器
    設備健康伺服器從設備健康代理程式取得已註冊設備的健康狀態資訊,並呈現設備的即時健康狀態,確保能夠持續接收設備健康資料。
  3. 設備健康代理程式
    對納管設備部署設備健康代理程式,主動蒐集設備健康資訊,如防毒軟體運行狀態、作業系統版本與更新狀況、威脅偵測與回應(EDR)工具的運行狀態,或是否符合機關設定的組態基準(GCB)等資訊,並將這些資料安全地傳送至設備健康伺服器。

信任推斷機制

系統必須能夠基於所接收到的各類信任推斷資料來源,如身分鑑別結果、設備鑑別結果、設備健康狀態、來源IP與位置、時間資訊等,進行信任推斷,並最終依照資通系統的風險承受度來進行存取決策控制,為實現此目標,信任推斷可採用以下任一種或混合模式來完成:

  1. 規則形式為基礎
    信任推斷依據預先定義的資通系統風險承受度設定一系列規則,所有存取請求必須滿足所設定的所有必要規則才能被允許存取。

  2. 分數形式為基礎
    系統透過加權計算產生數值化的信任分數,再與預設閾值比較決定存取權限,每個風險因子都有其對應的權重與計分邏輯,系統會將所有因子的得分進行加權平均,可產生0-100的信任分數。
  3. 規則形式與分數形式之混合方式
    此模式允許系統在某些關鍵條件規則(黑白名單)必須被滿足的前提下,再決定是否透過分數來進行更細緻的風險評估,如某些高風險因子(如已知惡意IP)觸發拒絕規則,則直接拒絕。 

信任推斷必要功能

  1. 核心組件(3個要求): 部署信任推斷伺服器、設備健康伺服器、備健康代理程式。

  2. 信任推斷資料來源(5個要求):取得身分鑑別結果、設備鑑別結果、設備健康結果、來源IP與位置資訊、時間資訊。
  3. 信任推斷機制(2個要求):具備信任推斷演算法、決策引擎可針對信任推斷結果允許或拒絕存取。

  4. 通訊安全(2個要求):各組件之間採加密通訊、代理程式與伺服器之通訊資料須經鑑別與加密。

  5. 管理介面(4個要求):管理介面具備可視性、日誌、支援信任推斷演算法設定。

  6. 整合介面(1個要求):提供信任推斷伺服器整合介面。

  7. 資安檢測(1個要求):相關組件的弱點掃描與源碼掃描報告,不應存在中級以上風險議題。

結語
政府機關導入零信任架構參考指引—信任推斷草案,近日將公告徵求意見,此參考指引提供了具體的導入程序與驗證方法,有助於機關理解零信任架構與相關技術實作細節,系統化地規劃、執行、檢查並持續優化信任推斷系統,以利提升資安防護能量。
 

 

相關資源連結
資安院零信任架構專區:

https://www.nics.nat.gov.tw/core_business/cybersecurity_defense/ZTA/

 

關鍵字:零信任架構、參考指引、信任推斷

更正啟事

本刊第 28 期第 8 頁〈近期重大弱點提醒〉一文中,將「Google 近期發布 Chrome 144 版安全性更新」誤植為「Google 近期發布 Chrome 114 版安全性更新」,特此更正;網站與第 28 期電子版內容已同步修正。

瀏覽數:
友善列印