《資安新聞周報》蘋果爆Apple ID集體遭駭!大量登入位置在中國/幾秒內超隱私資料被看光光!踏入元宇宙前要知道的資安危機/在家用手機/網路報稅好方便 但這三件事情可以留意

本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。

資安趨勢部落格一周精選

資安新聞精選

FBI:2021 年網路詐騙導致全球損失 69 億美元        科技新報網

Log4j漏洞揭露數月後仍有隱憂,全球有9萬應用程式曝險   iThome

臺灣下載到舊版Log4j的比例持續高達8成,遠高於全球多國          iThome

蘋果爆Apple ID集體遭駭!大量網友出現登入位置在中國「3招搶救」          自由時報電子報

Windows 10老用戶注意!20H2版微軟官方下週將終止支援服務  自由時報電子報

Outlook出現災情!自動下載不明文件檔「微軟承認新Bug」        自由時報電子報

新 DNS 漏洞引發駭客下毒及中間人攻擊,數百萬路由器及 IoT 裝置安全拉警報!          科技新報網

Google 劇透發表會內容!Android 有四大更新、新產品也會登場  自由時報電子報

Google Cloud協助福特、Kyocera等製造業者 提高資料透明度與生產效率          聯合新聞網

Google 終於出手了!組建神秘 Web3 團隊,葫蘆裡賣什麼藥?    科技報橘網

商業電子郵件詐騙大行其道,相關損失居網路詐騙首位          iThome

Emotet駭客正另尋感染途徑,改用雲端空間及惡意Excel外掛元件XLL檔散播       iThome

Android 13、新手機手錶同步亮相!Google開發者大會重點一次看          ETtoday新聞雲

蘋果、Google與微軟擴大對FIDO的支援以加速無密碼時代的到來          iThome

微軟偷偷送驚喜「在搜尋框塞了一匹馬」 卻讓用戶誤會自己電腦中毒     台灣蘋果日報網

微軟Patch Tuesday修補74個安全漏洞,一個已被開採 iThome

幾秒內超隱私資料被看光光!解析在踏入元宇宙前,一定要知道的資安危機          科技報橘網

IG進軍NFT!祖克柏:本週開始在美國測試功能     新頭殼

Meta領台灣走進元宇宙!在台成立亞洲首座XR Hub,瞄準三大領域     數位時代

Meta首間實體店開幕!何謂元宇宙?八旬長者也嘗鮮   tvbs新聞網

謠言終結站》網傳武肺口服特效藥上線賣? 查核中心:是詐騙    自由時報電子報

價值200萬元特斯拉 被19歲青年抓出資安漏洞 還駭進13國電動車! 這家33年台廠看到新商機 「好多車廠找上門」     今周刊

車用資安攻防戰開打 台廠應看重「策略」而非「解決方案」     電子時報

F5 修補重大的BIG-IP遠端執行漏洞,概念性驗證攻擊程式即將現身          iThome

【專欄】資安是整個團隊的責任!企業轉型「DevSecOps」的三大關鍵技術          數位時代

2022 報稅季開跑!在家用手機/網路報稅好方便 但這三件事情可以留意     電獺少女

會不會設密碼?「這5組」台灣人超愛用 弱到無腦破解        三立新聞網

「無密碼時代」一年內來臨!外媒點名 2 大難關需克服        自由時報電子報

英國健保局有上百名員工的帳號遭駭,被用來發送網釣郵件          iThome

研究:中國駭客在歐美、亞洲地區狂搜企業商業機密     科技新報網

Google提「虛擬信用卡」 解決線上交易風險問題   聯合新聞網

美國懸賞千萬緝拿Conti組織駭客      iThome

Google 發布年度廣告安全報告,去年移除逾 34 億則廣告      科技新報網

Google Cloud 的新團隊將為 Web3 開發者打造相關服務          Engadget中文版

蘋果將刪除 App Store 上近 3,000 款應用程式!以確保用戶能有更佳的使用體驗          電獺少女

台灣微軟攜手台中榮總,打造 FHIR 長照平台  科技新報網

IBM預計在2025年推出超過4000量子位的量子運算系統打造「以量子為中心」的超級電腦     Mashdigi

歐盟管制科技巨擘的數位市場法2023年正式上路  iThome

ASRC 2022年第一季電子郵件安全觀察       iThome

企業進軍元宇宙!勤業眾信公布 2022 六大數位媒體趨勢      科技新報網

【資安日報】2022年5月11日,F5的BIG-IP漏洞已出現破壞性攻擊、美國與歐洲指控Ka-Sat衛星網路遭駭是俄羅斯主使          iThome

歐盟、英國及美國正式譴責俄羅斯駭客攻擊Viasat衛星網路           iThome

軟體供應鏈資安從最源頭做起:GitHub 要求所有開發者必須「雙重身分認證」     科技報橘網

防範資安威脅 強化制度刻不容緩 Microsoft CISO Salon 啟動 助企業接軌國際          CIO IT經理人

GitHub將全面啟用雙因素驗證,所有提交程式碼的使用者須在2023年底前啟用2FA      iThome

謠言終結站》陳時中掛保證的耳聾藥? 專家:詐騙網站勿上當    自由時報電子報

【資安日報】2022年5月10日,駭客竄改俄羅斯勝利日電視節目表表達反戰訴求、哥斯大黎加遭勒索軟體Conti攻擊宣布進入緊急狀態          iThome

Colonial Pipeline勒索軟體攻擊事件遭罰百萬美元    iThome

我的帳號密碼有外洩嗎?這 4 個工具幫你檢測帳號密碼安全性    蘋果仁

鴻海再砸11.15億元 增資電動車子公司     中央通訊社

Ansys 與 BMW 合作,BMW 集團成首個提供 L3 自駕方案車廠      科技新報網

微軟與福斯汽車合推「移動平台」新功能,讓 HoloLens 2 成為駕駛掌控路況的新利器          科技新報網

康揚導入微軟 AIoT 「彎道超車」歐洲大牌,搶先佈局智慧輔具市場   iThome

「M-Trends 2022」Mandiant網路資安前端洞察與指導報告   iThome

【資安日報】2022年5月9日,研究人員呼籲要儘速修補BIG-IP重大漏洞、RubyGems出現可竄改套件的漏洞       iThome

資安好手 就業市場搶著要  經濟日報網

OpenSSF發布惡意套件分析工具         iThome電腦報周刊

強化上市櫃資安措施政策大公開,提供資通安全管控指引,推動加入情資分享平臺     iThome

人人握有多重身分的資安防護需求     iThome

【資安日報】2022年5月6日, Avast與AVG防毒軟體元件存在嚴重漏洞、駭客藉由USB隨身碟散播蠕蟲程式         iThome

Outlook Web Access臭蟲使Safari用戶遭0byte檔案轟炸式下載          iThome

企業求轉型韌性 微軟五招因應    網管人

【資安日報】2022年5月5日, 研究人員的Docker蜜罐發現鎖定俄羅斯網攻的映像檔、Apple Silicon處理器存在Augury漏洞    iThome


Google 劇透發表會內容!Android 有四大更新、新產品也會登場  自由時報電子報

Google 稍早也在官方 Twitter 預告 Android 13 的一些新功能,主要包含四個層面,包括安全性、訊息、跨裝置整合,以及「新夥伴關係」(New Partnerships‑)。國外科技網站《9to5Google》認為,這可能包括使用 WearOS 手錶能解鎖 Chromebook、Android 手機及平板,以及將快速配對和資料共享等功能帶來 Windows 電腦上。         

<回到新聞條列重點>      

Google Cloud協助福特、Kyocera等製造業者 提高資料透明度與生產效率          聯合新聞網

Google Cloud宣布推出Manufacturing Data Engine以及Manufacturing Connect兩項全新解決方案,協助製造業者連接、處理既有孤島資產,並且讓資料標準化,藉此提高從廠區生產到雲端的資料可視性,同時也能在資料完成整合後,藉由人工智慧分析數據,以實現預測性維護及對應機器層級的異常檢測。    

<回到新聞條列重點>      

Google 終於出手了!組建神秘 Web3 團隊,葫蘆裡賣什麼藥?    科技報橘網

Web3 技術在元宇宙之後,成為了最熱門的新趨勢。各家企業以及新創爭先恐後地進入市場,以爭奪這龐大的商機。馬斯克在收購推特之後,更是讓許多網友相當期待馬斯克的「Web3 改造計畫」,更有人認為這會是一個加密貨幣與社群整合的機會。面對 Web3 來勢洶洶,Google 宣布將組織一個新團隊,進攻 Web3 領域。

<回到新聞條列重點>      

蘋果、Google與微軟擴大對FIDO的支援以加速無密碼時代的到來          iThome

Google、微軟與蘋果選在5月5日的「世界密碼日」(World Password Day)宣布,將擴大對專門推動無密碼的FIDO(Fast IDentity Online)聯盟的支持,以加速無密碼時代的到來。   

<回到新聞條列重點>      

蘋果爆Apple ID集體遭駭!大量網友出現登入位置在中國「3招搶救」          自由時報電子報

最近網路出現眾多台灣網友表示收到自己的Apple ID在中國被登入的要求,各大社群平台像是PTT、Dcard、Apple社團等都有網友反應,疑似是Apple ID大量被駭。

<回到新聞條列重點>      

Outlook出現災情!自動下載不明文件檔「微軟承認新Bug」        自由時報電子報

國外社群論壇Reddit近日出現多位網友反應,以蘋果瀏覽器Safari連上Outlook網頁,會自動下載一個名為「TokenFactoryIframe」不明文件檔、懷疑中毒;微軟承認這是一個Bug。     

<回到新聞條列重點>      

Windows 10老用戶注意!20H2版微軟官方下週將終止支援服務  自由時報電子報

微軟 Windows 10 作業系統的 1909、20H2,即將於下週二、5月10日正式停止支援,仍堅守這兩個舊版本的,屆時,電腦裝置將失去官方的安全性更新,恐暴露在安全風險的環境,建議務必在近日盡快升級。    

<回到新聞條列重點>      

微軟偷偷送驚喜「在搜尋框塞了一匹馬」 卻讓用戶誤會自己電腦中毒     台灣蘋果日報網

微軟之前為Windows 10和Windows 11帶來一項新功能,就是搜尋框的亮點搜尋,其特點之一是支援Emoji等圖形,可提醒你全年的各種季節變化及重要節日、時刻,也點類似谷歌的塗鴉。更新後你有時候會在Windows 10搜尋框的右邊或是Windows 11搜尋框的右上角看到一個可愛的小圖標。    

<回到新聞條列重點>      

微軟Patch Tuesday修補74個安全漏洞,一個已被開採 iThome

微軟於本周二的Patch Tuesday修補了74個安全漏洞,當中有7個被列為重大(Critical)漏洞,本月的修補包含一個已遭開採的零時差漏洞CVE-2022-26925,以及另外兩個已公開但尚未被利用的CVE-2022-29972與CVE-2022-22713。         

<回到新聞條列重點>      

Android 13、新手機手錶同步亮相!Google開發者大會重點一次看          ETtoday新聞雲

Google I/O 開發者大會於今(12)日凌晨登場,大會從虛擬恢復為實體舉辦,不過活動僅開放Google旗下員工、合作夥伴到場參加,其餘全球用戶與開發者則要透過線上直播來了解Google最新產品及技術。執行長皮查伊(Sundar Pichai)指出,這次包括Android 13、Google 助理、數位錢包外,還有Google新手機Pixel 6a與智慧手錶Pixel Watch等硬體,都是用戶們關注的重點。

<回到新聞條列重點>      

幾秒內超隱私資料被看光光!解析在踏入元宇宙前,一定要知道的資安危機          科技報橘網

據 CNBC 報導,網絡安全公司 Check Point 的報告顯示,與前一年相比,2021 年每週針對企業網路的攻擊,其總體數量增加了 50%。資安專家亦指出,在元宇宙尚未成熟發展的情況下,大多數公司仍未意識到元宇宙的隱私與安全問題。    

<回到新聞條列重點>      

IG進軍NFT!祖克柏:本週開始在美國測試功能     新頭殼

臉書母公司Meta執行長祖克柏(Mark Zuckerberg)在今年3月時透露旗下社群平台Instagram(簡稱IG)未來將進軍NFT市場。祖克柏的承諾實現了!祖克柏與IG創辦人Adam Mosseri在推特及臉書中宣佈這週IG將與幾位NFT創作者合作,在美國測試NFT功能。 

<回到新聞條列重點>      

Meta領台灣走進元宇宙!在台成立亞洲首座XR Hub,瞄準三大領域     數位時代

Meta在台灣成立全亞洲第一座「元宇宙 XR Hub Taiwan」,秉持著台灣在軟、硬體科技產業的優勢,未來預計往文化藝術、經濟商業、社會公益3大領域發展,藉由與文策院、外貿協會、台北市電腦商業同業公會合作,加速整體產業的人才培育、內容發展與科技創新。         

<回到新聞條列重點>      

Meta首間實體店開幕!何謂元宇宙?八旬長者也嘗鮮   tvbs新聞網

繼蘋果、微軟等科技龍頭,臉書Meta也開設他們第一間實體門市,並在周一正式開張,讓許多還不清楚什麼是VR虛擬實境,什麼又是元宇宙的民眾,有一個親自體驗的空間。儘管Meta很捨得在元宇宙領域砸重金,但由於營收狀況不佳,今年年底之前,將放緩新員工的招聘,以降低成本,Uber、亞馬遜也祭出類似措施。而隨著夏季旅遊旺季到來,民宿龍頭Airbnb則決定要加強規範,嚴禁開趴!    

<回到新聞條列重點>      

FBI:2021 年網路詐騙導致全球損失 69 億美元        科技新報網

網路詐騙犯罪次數和受害金額每年增長,去年 69 億美元損失總額已比前一年 42 億美元增加不少。常見手法方面,網路釣魚攻擊是首位,商業電子郵件入侵(Business Email Compromise)最嚴重,入侵企業電子郵件帳戶,然後欺騙企業或個人轉移資金或提供個人資料。FBI 提醒,疫情讓企業和個人都更依賴網路交易,人們要對可能的詐騙更小心。         

<回到新聞條列重點>      

謠言終結站》網傳武肺口服特效藥上線賣? 查核中心:是詐騙    自由時報電子報

國內武漢肺炎(新型冠狀病毒病,COVID-19)疫情持續升溫,社群平台近日流傳一廣告貼文內容稱「新冠口服特效藥正式上線」宣稱有賣輝瑞新冠口服藥,並搭配購買連結。對此查核中心表示此為詐騙連結,為「錯誤」訊息。         

<回到新聞條列重點>      

價值200萬元特斯拉 被19歲青年抓出資安漏洞 還駭進13國電動車! 這家33年台廠看到新商機 「好多車廠找上門」     今周刊

去年3月在中華民國資訊安全學會與鴻海研究院合辦的電動車資安挑戰研討會上,博歐CYBAVO執行長范紀鍠分享了幾個已公開的車聯網攻擊手法,其中包括比利時魯汶大學的研究小組2020年底發現,特斯拉Model X的免鑰匙啟動系統有2個安全漏洞。    

<回到新聞條列重點>      

車用資安攻防戰開打 台廠應看重「策略」而非「解決方案」     電子時報

根據Statista研究報告,2025年全球將有超過4億輛連網車於道路上行駛;此外,平均每輛車擁有1億行軟體程式,超過Windows程式1倍、波音787客機7倍之多的程式運行之下。         

<回到新聞條列重點>      

F5 修補重大的BIG-IP遠端執行漏洞,概念性驗證攻擊程式即將現身          iThome

專門打造應用層服務及應用交付網路的美國業者F5在5月4日修補其BIG-IP系統上的一個重大安全漏洞CVE-2022-1388,此一漏洞允許未經授權的駭客存取BIG-IP系統並執行任意命令,資安專家呼籲BIG-IP用戶應立即修補該漏洞,若無法即時修補,至少也要限制存取iControl REST的權限,僅允許可靠網路或裝置存取,以減少其攻擊表面。         

<回到新聞條列重點>      

【專欄】資安是整個團隊的責任!企業轉型「DevSecOps」的三大關鍵技術          數位時代

為了確保領先地位、透過新技術取得優勢,許多企業的 DevOps(開發維運)團隊開始採用一系列的IT工具、網路安全工具和基礎架構元件,然而,多元的解決方案也讓攻擊者有更多機會從入口點(entry points)攻破企業防線。

<回到新聞條列重點>      

2022 報稅季開跑!在家用手機/網路報稅好方便 但這三件事情可以留意     電獺少女

報稅季又到了,但現在可以透過手機或在線上就能完成報稅作業,免出門就能報稅方便很多,不過根據趨勢科技的調查,去年就偵測到 6.6 萬多起個資外洩事件,其中夠有高達 418 億組用戶的個資遭外洩,因此也整理出在使用網路或手機報稅時,可以多多留意的三件事情。    

<回到新聞條列重點>      

Emotet駭客正另尋感染途徑,改用雲端空間及惡意Excel外掛元件XLL檔散播       iThome

近期微軟為強化安全,預設關閉Office應用程式的VBA等多種巨集,似乎對遏止Emotet奏效,Proofpoint揭露4月Emotet新活動,一反Emotet組織慣用的典型大規模攻擊方式,以小規模活動測試新的擴散策略與攻擊手法。    

<回到新聞條列重點>      

Log4j漏洞揭露數月後仍有隱憂,全球有9萬應用程式曝險   iThome

資安業者Rezilion研究人員透過Shodan.io掃描,分析網路上應用程式是否使用舊版Log4j,並指出曝險的原因可區分成三大類型,包括:容器有新版但用戶未更新,或容器未更新,以及老舊專屬軟體風險。    

<回到新聞條列重點>      

臺灣下載到舊版Log4j的比例持續高達8成,遠高於全球多國          iThome

og4Shell漏洞揭露後,全球下載到舊版Log4j的情形,臺灣的比例遠高於多國。根據在Sonatype提供的Log4j下載狀態儀表板,當中資訊顯示,自去年12月10日以來,Log4j已被下載了超過5,000萬次,其次有38%下載到了有漏洞的舊版本,臺灣在這段期間,則是有8成下載到有漏洞的舊版本。         

<回到新聞條列重點>      

會不會設密碼?「這5組」台灣人超愛用 弱到無腦破解        三立新聞網

網友謠傳每年5月第1個星期4是「世界密碼日」,但也有人說是每年的5月8日,但無論確切日期是哪一天,為的就是在如今網路蓬勃發展的時代,提醒人們要注意自己使用的任何密碼,是否存在網絡安全隱患。照過去統計,全球用戶最頻繁使用的密碼是「123456」,這在台灣也有高達21萬人次使用,資訊安全恐怕已經出現危機。    

<回到新聞條列重點>      

「無密碼時代」一年內來臨!外媒點名 2 大難關需克服        自由時報電子報

蘋果、微軟、Google 透過 FIDO 聯盟發布聲明,即將在一年內於各大平台推出「無密碼」的登入選項,未來不再需要輸入繁瑣的密碼,可以改為生物辨識、簡訊認證,然而先前外媒《CNBC》在一篇文章中指出,「無密碼登入」存在 2 大困難需要克服。         

<回到新聞條列重點>      

新 DNS 漏洞引發駭客下毒及中間人攻擊,數百萬路由器及 IoT 裝置安全拉警報!          科技新報網

OT/IoT 安全方案商 Nozomi Networks 旗下實驗室研究人員在自家官方部落格撰文指出,他們在普遍被 IoT 裝置及網路路由器採用的流行 C 標準函式庫(包括所有版本的 uClibc 及 uClibc-ng 函式庫)中,發現會引發裝置劫持風險的未修補 DNS 漏洞。     

<回到新聞條列重點>      

商業電子郵件詐騙大行其道,相關損失居網路詐騙首位          iThome

FBI本周公布了2021年的網路犯罪調查報告,指出在各類詐騙手法中,以商業電郵詐騙(BEC)對受害者造成的損失金額最鉅,占所有網路犯罪不法所得的35%。    

<回到新聞條列重點>      

研究:中國駭客在歐美、亞洲地區狂搜企業商業機密     科技新報網

美國資安公司 Cybereason 指,中國駭客目標是想要竊取可廣泛用於製藥與航太領域的材料機密。且根據調查,這群中國駭客的行動最早可追溯到 2019 年,意味有大量商業機密數據早遭盜竊。Cybereason 研究人員  Assaf Dahan 表示,這顯然是最高等級的間諜行動,因這群駭客竊取的是企業智財權(IP)。   

<回到新聞條列重點>      

英國健保局有上百名員工的帳號遭駭,被用來發送網釣郵件          iThome

雲端電子郵件資安業者Inky本周指出,英國健保局(National Health Service,NHS)已淪為大型網釣活動的受害者,自去年秋天開始,駭客即利用盜來的該局員工電子郵件帳號來寄送網釣郵件,截至今年3月,已有139名員工的電子郵件遭到盜用。         

<回到新聞條列重點>      

Google提「虛擬信用卡」 解決線上交易風險問題   聯合新聞網

針對使用者經常透過Chrome、Android環境使用信用卡交易而導致的隱私安全問題,Google宣布推出虛擬信用卡解決方案。使用者透過Google Pay綁定信用卡時,在交易過程也會透過額外建立的虛擬卡號進行交易,避免信用卡卡號外洩或是被盜刷。         

<回到新聞條列重點>      

Google 發布年度廣告安全報告,去年移除逾 34 億則廣告      科技新報網

數位世界日新月異,Google 的廣告政策制定與違規處置策略也會隨之因應調整,希望在預防廣告濫用的同時,更能幫助品牌與企業觸及新的客戶、帶動成長。Google 發布最新的廣告安全報告指出,在 2021 年因為違規而移除超過 34 億則廣告、限制超過 57 億則廣告,並把超過 560 萬家廣告客戶的帳戶停權。      

<回到新聞條列重點>      

Google Cloud 的新團隊將為 Web3 開發者打造相關服務          Engadget中文版

Google 正在打造一個新團隊,為其 Google Cloud 雲端服務打造與 Web3 相關的服務,希望能吸引區塊鏈相關應用的開發者。Google Cloud 副總 Amit Zavery 表示,Google 這並非是想直接參與目前這波加密貨幣熱潮,而是提供技術支援給想要利用 Web3 各種特性的企業,並協助他們進行應用的開發。         

<回到新聞條列重點>      

蘋果將刪除 App Store 上近 3,000 款應用程式!以確保用戶能有更佳的使用體驗          電獺少女

剛有提到,蘋果現在已經打算要將過去三年內沒更新,且沒有達到最低下載量門檻的 App 刪除,但是蘋果還是有給開發者們 90 天的時間,來挽救即將被刪除的 App,像是推出最新版本,或是釋出應用程式的更新等,這項決定當然引起了部分開發者的不滿,不過蘋果也指出,這是屬於 App Store 改進和優化流程的一個環節,並確保用戶的隱私和資料安全是有受到保障的,且原本官方只給開發者 30 天的期限更新,現在則是延長到 90 天,讓開發者們有更充裕的時間來更新。         

<回到新聞條列重點>      

台灣微軟攜手台中榮總,打造 FHIR 長照平台  科技新報網

台灣微軟今日宣布攜手奇唯科技,與行政院國軍退除役官兵輔導委員會(以下簡稱退輔會)及台中榮民總醫院合作,於退輔會所屬各榮總分院「附設長照機構管理資訊系統」更新建置案中,運用 Microsoft Azure Healthcare APIs 建立台灣第一個符合國際醫療資訊交換標準 HL7 FHIR(Fast Healthcare Interoperability Resources)的長照平台,提供退輔會所屬各榮總分院共 20 所護理之家、超過 3,000 床生理量測裝置,透過 Azure IoT 自動將已經去辨識化量測資訊傳送到 Azure 雲端平台,即時進行住民生理資訊的監測與異常回報,成為台灣發展智慧醫療物聯網與智慧醫療長照的最佳典範。         

<回到新聞條列重點>      

IBM預計在2025年推出超過4000量子位的量子運算系統打造「以量子為中心」的超級電腦     Mashdigi

IBM預計在2025年推出超過4000量子位的量子運算系統,其中將包含以軟體管理編排、全新模組化與網路化的量子處理器,透過互聯架構與軟體技術實現更高量子位,並且透過可擴充性打造「以量子為中心」的超級電腦。    

<回到新聞條列重點>      

歐盟管制科技巨擘的數位市場法2023年正式上路  iThome

歐盟負責反托拉斯事務的執行副總裁Margrethe Vestager上周在德國柏林的演說中指出,歐盟和幾間科技巨型業者已在幾個星期前達成政治協議,數位市場法(DMA)預計在明年春天生效,委員會也必須做好準備。    

<回到新聞條列重點>      

ASRC 2022年第一季電子郵件安全觀察       iThome

Emotet的濫發,使用了各種藏匿及混淆的手段,用以躲避防毒及資安防護軟體的檢測,而其中最重要的一個手段就是壓縮加密。在傳輸檔案前先經過「壓縮加密」,這在過去的用途,多半是為了保護機敏文件在傳輸過程中,不被傳遞管道的中間人取得或窺探的防護手段;而現在,卻經常成為惡意程式用以躲避資安檢測的保護傘。         

<回到新聞條列重點>      

企業進軍元宇宙!勤業眾信公布 2022 六大數位媒體趨勢      科技新報網

勤業眾信聯合會計師事務所今發布《2022 數位媒體趨勢:向元宇宙邁進》,探討疫情及元宇宙浪潮,由 Z 世代所引領的全球社群媒體、串流平台與遊戲等數位媒體領域消費者行為變動趨勢,並歸納出六大趨勢,呼籲企業若要搶占市場先機,務必先行評估內部商業機會、法遵與資安等相關策略。         

<回到新聞條列重點>      

【資安日報】2022年5月11日,F5的BIG-IP漏洞已出現破壞性攻擊、美國與歐洲指控Ka-Sat衛星網路遭駭是俄羅斯主使          iThome

自5月初F5修補的BIG-IP重大漏洞,昨日已經出現毀壞該系統的攻擊行動;再者,衛星網路Ka-Sat遭駭的事故,美國、歐洲認為就是俄羅斯所主導。    

<回到新聞條列重點>      

歐盟、英國及美國正式譴責俄羅斯駭客攻擊Viasat衛星網路           iThome

三月底資安業者SentinelOne揭露Viasat部署於歐洲及中東的衛星網路,在烏克蘭戰爭爆發前夕遭網路攻擊,並懷疑兇手是俄羅斯駭客後,歐盟、英國與美國本周正式指控俄羅斯是該起攻擊的幕後推手。         

<回到新聞條列重點>      

軟體供應鏈資安從最源頭做起:GitHub 要求所有開發者必須「雙重身分認證」     科技報橘網

GitHub宣布至 2023 年底前,所有在該網站上傳程式碼的使用者都必須啟用雙重身分認證機制(2FA),否則將無法繼續使用該平台。         

<回到新聞條列重點>      

防範資安威脅 強化制度刻不容緩 Microsoft CISO Salon 啟動 助企業接軌國際          CIO IT經理人

COVID-19 疫情延燒超過兩年,引爆企業推動數位轉型風潮,而駭客也趁此機會擴大攻擊範疇。近兩年台灣高科技製造業紛紛傳出遭到勒索軟體入侵,也讓企業、政府單位更加重視資安防護,也凸現出建立一套完善資安制度的重要性。如在2021年年底金管會正式發布新版的「公開發行公司建立內部控制制度處理準則」,即明文要求資本額破100億、前50大市值的上市櫃公司,都需設置資安長,其餘上市櫃公司亦須依營運規模,配置對應資安人力。

<回到新聞條列重點>      

GitHub將全面啟用雙因素驗證,所有提交程式碼的使用者須在2023年底前啟用2FA      iThome

密碼安全性不足導致開發者帳號冒用的資安事故頻傳,程式碼共享平臺GitHub也為此從幾年前就開始持續推動雙因素驗證與無密碼的開發應用,該平臺的資安長Mike Hanley也在本月宣告,GitHub將在2023年底之前全面啟用雙因素驗證。           

<回到新聞條列重點>      

美國懸賞千萬緝拿Conti組織駭客      iThome

美國國務院透過跨國組織犯罪獎勵方案(Transnational Organized Crime Rewards Program,TOCRP),提供1,000萬美元酬賞可協助找到Conti變種勒索軟體集團核心領導人物的身份及所在位置的資訊,另外也提供500萬美元給協助可在任何國家逮捕和定罪實際或試圖參與Conti集團犯案的歹徒的資訊。 

<回到新聞條列重點>      

謠言終結站》陳時中掛保證的耳聾藥? 專家:詐騙網站勿上當    自由時報電子報

耳聾、耳鳴只要吃藥就會康復?最近社群媒體流傳一則標題為「衛生福利部強推,耳病專用藥,耳聾耳鳴終於有救了」的連結,點進去後會進入一個一頁式購物網站,詭異的是完全找不到該產品的公司、客服等聯絡資訊,經查核中心調查後認定,此為詐騙網站。         

<回到新聞條列重點>      

【資安日報】2022年5月10日,駭客竄改俄羅斯勝利日電視節目表表達反戰訴求、哥斯大黎加遭勒索軟體Conti攻擊宣布進入緊急狀態          iThome

有駭客組織針對俄羅斯舉行勝利日的閱兵典禮大肆發動網路攻擊,表達反對戰爭的訴求;再者,哥斯大黎加因為日前遭到勒索軟體Conti攻擊事故,新上任的總統隨即宣布國家進入緊急狀態,而成為今日資安新聞的焦點。         

<回到新聞條列重點>      

Colonial Pipeline勒索軟體攻擊事件遭罰百萬美元    iThome

美國運輸部旗下管線和危險物質安全性管理署(Pipeline and Hazardous Materials Safety Administration,PHMSA)是在完成2020年1月到11月,以及2021年10月底到11月初進行對該公司控管室管理的調查,發現數宗違規情形,而對這家燃油管道業者發出「可能違規及遵法建議通知(Notice of Probable Violation and Proposed Compliance Order)」,可望開罰986,400美元。        

<回到新聞條列重點>      

我的帳號密碼有外洩嗎?這 4 個工具幫你檢測帳號密碼安全性    蘋果仁

在網際網路的世界中,許多的服務都會需要註冊一組帳號以後才能使用,但是如果管理帳號密碼的系統安全性不高,就會很常發生密碼外洩的新聞,例如不久前許多網友反應 Apple ID 在中國大陸被要求登入的事件。    

<回到新聞條列重點>      

鴻海再砸11.15億元 增資電動車子公司     中央通訊社

Foxconn EV Technology是鴻海集團在海外布局電動車事業的重要公司,去年11月鴻海與美國商用電動輕型卡車供應商Lordstown Motors正式簽署俄亥俄州Lordstown廠房最終資產購買協議,Foxconn EV Technology即是投資主體。     

<回到新聞條列重點>      

Ansys 與 BMW 合作,BMW 集團成首個提供 L3 自駕方案車廠      科技新報網

電子設計自動化軟體 (EDA) 大廠 Ansys 宣布,將與 BMW 集團將擴大合作關係,創造首個特別符合 ADAS 和自動化/自駕開發驗證安全原則的端對端工具鏈。透過本次合作,BMW 集團將運用 Ansys 功能,成為首批提供 Level 3(L3)高度自動化駕駛給消費者的汽車製造商之一。本次合作是快速因應 ADAS 和自駕車(AV)系統可靠度議題,以大幅加快上市時程的關鍵。         

<回到新聞條列重點>      

微軟與福斯汽車合推「移動平台」新功能,讓 HoloLens 2 成為駕駛掌控路況的新利器          科技新報網

今年初,微軟 HoloLens 2 團隊傳出有 70 多名員工出走,其中超過 40 人被 Meta 挖角的消息,不僅讓人懷疑該團隊是否面臨營運上的困難。就在人們擔心今後微軟 HoloLens 2 專案發展進度是否受到影響之際,微軟週四(5 日)宣佈推出與 VW 福斯汽車合作的「移動平台」(Moving Platform)功能,以便讓自家 HoloLens 2 AR 頭戴裝置應用在汽車等空間中。此消息一出,除了展示微軟擴大 HoloLens 2 的應用觸角外,也完全破除 HoloLens 2 專案發展受挫的傳言。    

<回到新聞條列重點>      

康揚導入微軟 AIoT 「彎道超車」歐洲大牌,搶先佈局智慧輔具市場   iThome

聯合國預估 2050 年全球將有 64 個國家進入高齡化社會,國家發展委員會預估台灣預計將在 2025 年進入超高齡社會,各國人口高齡化趨勢已成為重要議題。台灣醫療輔具產業有研發與製造優勢,積極耕耘全球市場,讓台灣近年來躍升為世界第二大行動輔具出口國。         

<回到新聞條列重點>      

「M-Trends 2022」Mandiant網路資安前端洞察與指導報告   iThome

現代網路威脅形勢嚴峻且範圍廣闊,目前與烏克蘭衝突相關的網路攻擊激增且蔓延擴散中。由於資安修補的複雜性,諸如「Log4Shell」危急且高滲透性的漏洞導致網路資安巨大風險,此外,網路犯罪分子亦正加速利用複雜的勒索軟體遂行勒索行動。         

<回到新聞條列重點>      

【資安日報】2022年5月9日,研究人員呼籲要儘速修補BIG-IP重大漏洞、RubyGems出現可竄改套件的漏洞       iThome

資安業者針對上週F5修補的BIG-IP重大漏洞CVE-2022-1388提出警告,並認為可能不到一個星期就會有攻擊行動出現;再者,RubyGems套件管理平臺出現可讓人竄改上架套件的漏洞,也相當值得留意。    

<回到新聞條列重點>      

資安好手 就業市場搶著要  經濟日報網

虛擬貨幣和數位金融蓬勃發展,金管會也要求上市櫃公司今、明兩年設置資安團隊,資安人才成就業市場搶手貨,根據104人力銀行調查發現,資安工作機會數近五年成長1.5倍,薪資中位數5.26萬元,與2017年4.7萬元相比成長12%,也比整體工作者薪資增幅9%,高出3個百分點。        

<回到新聞條列重點>      

OpenSSF發布惡意套件分析工具         iThome電腦報周刊

開源安全基金會(OpenSSF)發表套件分析(Package Analysis)專案的原型,經過一個月的分析之後,找到了上傳至PyPI及npm專案的逾200個惡意套件。         

<回到新聞條列重點>      

強化上市櫃資安措施政策大公開,提供資通安全管控指引,推動加入情資分享平臺     iThome

為提升上市櫃公司對資訊安全的重視,近年政府要求證交所及櫃買中心成立強化上市櫃資安措施的任務小組,主要從資訊公開、公司治理、監理協助這三大角度,不只透過法令修正要求公司符合規範,還發布「上市上櫃資通安全管控指引」,提供予普遍公司能有可依循作法的參考,近期還將鼓勵公司加入領域ISAC或TWCERT。

<回到新聞條列重點>      

人人握有多重身分的資安防護需求     iThome

隨著數位化程度提高,一般消費型與商用IT技術的不斷演進,每個人在日常生活與工作的場合當中,可能都需要存取多個應用系統與網路服務,因而衍生了大量的身分(帳號、數位憑證),以及各式各樣的存取權限設定。    

<回到新聞條列重點>      

【資安日報】2022年5月6日, Avast與AVG防毒軟體元件存在嚴重漏洞、駭客藉由USB隨身碟散播蠕蟲程式         iThome

在今天的資安新聞中,Avast、AVG防毒軟體的元件漏洞,以及F5的BIG-IP系統重大漏洞,用戶都應該儘速採取緩解措施;再者,駭客利用USB儲存裝置傳送惡意程式的攻擊手法,相當值得留意。         

<回到新聞條列重點>      

Outlook Web Access臭蟲使Safari用戶遭0byte檔案轟炸式下載          iThome

本周微軟郵件服務Outlook Web Access(OWA)傳有臭蟲,讓Mac用戶以Safari存取OWA時不停收到0byte的不明檔案,昨日微軟表示已經解決了這個臭蟲。    

<回到新聞條列重點>      

企業求轉型韌性 微軟五招因應    網管人

面對後疫情時代充滿不確定與多變的全球局勢,強化企業韌性及加速數位轉型,是現今台灣產業首要任務,包含數位轉型的部署、供應鏈多元化經營、科技人才的缺口與培育、資安的衝擊等,都成未來企業亟需克服的挑戰。    

<回到新聞條列重點>      

【資安日報】2022年5月5日, 研究人員的Docker蜜罐發現鎖定俄羅斯網攻的映像檔、Apple Silicon處理器存在Augury漏洞    iThome

烏克蘭曾在對俄羅斯政府機關發動DDoS攻擊時,運用了Docker雲端基礎設施;再者,有研究人員發現多款Apple Silicon處理器的漏洞而值得關注。    

<回到新聞條列重點>      

訂閱資安趨勢電子報,每日掌握資安趨勢

加入趨勢科技LINE@好友,每週五資安新聞周報送到你手上

好友人數