在2026年的第一週,資安威脅持續升級,全球與台灣企業皆面臨前所未有的挑戰。React2Shell漏洞更造成近6萬臺Next.js應用伺服器受害;同時,AI生成的「假員工」與YouTube上的AI假醫師影片,也暴露了企業與民眾面臨的新型資安風險。蘋果iOS裝置與PS5玩家帳號更成駭客攻擊目標,而NPM供應鏈蠕蟲、微軟M365釣魚攻擊事件,更提醒我們資訊安全防護不能鬆懈。從國際社群媒體到國內關鍵基礎設施,資安事件已不再是單一威脅,而是多面向的挑戰。
⭕️ 2026 第一週資安十大焦點新聞
繼續閱讀駭客集團 ShinyHunters 近期成功入侵 Google 資料庫,據傳可能導致高達 25 億名 Gmail 用戶(註1)的個人資料外洩。這起攻擊事件,是繼 六月Cybernews 揭露高達 160 億筆帳號密碼外洩,並點名 Apple(蘋果)、Google、Facebook(Meta)、Telegram 等科技大廠的用戶都受害後,又一重大的資安警訊。
Google 隨後發表聲明,表示「近期出現了數個不正確的說法,錯誤地聲稱我們曾針對所有 Gmail 使用者發出重大 Gmail 資安問題的廣泛警告。」 趨勢科技尊重這份更新資訊的正確性,並於 2025 年 9 月 3 日修正本篇部落格。擔心你的 Gmail 在外洩名單中?
利用趨勢科技ID 防護(ID Protection)的個資檢查功能輸入Gmail 帳號,可立即檢查是否已遭外洩:
您也可以手機下載趨勢科技個資保鏢,立即檢查
⭕️ iOS 用戶免費下載試用
⭕️ Android 用戶免費下載試用
Google 近日在部落格文章中證實,該公司採用的 Salesforce 資料庫系統遭受威脅組織 ShinyHunters 遭到未經授權的存取。雖然 Google 官方強調目前無證據顯示用戶密碼已外洩,但這些資料已被用於電話詐騙與釣魚攻擊,詐團甚至冒充 Google 員工,進行假冒來電,誘騙用戶交出更多資訊。
這起大規模資料外洩事件,起源於一名Google員工遭到詐騙,駭客利用竊取的登入憑證,成功入侵Google的後台資料庫,並盜取了大量的企業與客戶聯絡資訊。隨後,駭客便利用這些資料冒充成Google員工,向用戶發送詐騙訊息。
⭕️ 防止詐騙集團趁火打劫,建議使用AI防詐達人判斷電子郵件或簡訊是否為詐騙 ⟫立即免費下載。
駭客除了透過社交工程與釣魚詐騙外,還會將 資料外洩名單 作為攻擊清單,進一步進行「暴力破解」(Brute Force Attack)。他們會針對外流的 Gmail 帳號,批量嘗試輸入常見密碼組合,例如「123456」、「password」或生日日期,藉此成功登入帳戶。由於許多使用者仍習慣使用簡單或重複密碼,這讓駭客得以快速突破防線。
為何需要高強度密碼?
因爲重複使用密碼而造成的資料外洩占比超過 60%,利用高強度而不重複的密碼保護帳號至關重要。
⭕️ 建議使用密碼產生器,它可以免費提供難以破解的密碼⟫立即試試看。
資安防護三層加強策略:檢測、更新、防詐
繼續閱讀資訊安全:它是一場旅程
作者:Rik Ferguson(趨勢科技全球安全研究副總裁)
影片裡「只想把事情做好」的員工,竟成最脆弱的資安漏洞,問題出在哪裡?
人,是最大弱點,企業,不管大小,都必須想辦法去解決「只想把事情做好」之原意良好員工所帶來的風險。同樣地,雇主也有責任去隨時瞭解技術和網路犯罪的發展,以提供有效的教育訓練。
企業必須確保他們真正瞭解今日所面對的威脅,不只是他們自己所認為的。他們需要確保他們的使用者被訓練好可以有能力且謹慎地去使用網路和公司資源,而非只是盲目地相信技術解決方案。員工應該知道無形的危害會如何發生和他們要關心哪些地方。
同樣地,人們需要清楚他們自己以及別人個人資料的真正貨幣價值,給予應有的對待,而不是隨便地透過社群和專業網路、部落格、電話、假問卷調查等方式提供給好奇的不知名者。
目前大多數公司的資訊安全訓練僅提供給新進員工。作為新進員工,你必須消化所有相關的政策並簽名。問題是這通常是一次性事件,三個月或三年過去,不僅員工會忘記如何實際應用這些政策,而且也沒有重新審查這些政策,只是假定威脅或技術環境本身沒有變化。
教育訓練,尤其是在資訊安全領域,應該是一個持續的過程而不是一次性事件。理想情況下,它應該有樂趣和被參與,確保安全性會放在公司意識的前線,無論是在工作還是外面。良好的資訊安全實踐應超出工作場所範圍,如在家裡活動,尤其是在自帶設備和消費者化時代,可能會帶給工作嚴重的影響。
資訊安全訓練對於提供給不感興趣的對象來說會是個棘手的問題;許多重要經驗可以向行銷、創意和網站內容學習,成為你企業的一部份。安全訓練不只是安全小組的任務;它需要企業內部多個團隊共同合作才能達到真正的成功。
遊戲化的概念或利用遊戲設計技術來提高非遊戲領域是能夠被成功應用在安全訓練的地方。將你的員工以功能性或地域性分組;用分階段的方式來提供員工相同的訓練,隨著時間慢慢的升級。制定排行榜來激發你員工的競爭心理,用一系列意想不到的測試來讓他們接受挑戰;比方說神秘來電者嘗試進行社交工程技術,嘗試在社群網路上建立關係,網路釣魚電子郵件活動設計用來誘捕粗心的人。如果你的員工隊伍已經被事先警告過訓練中包含實作元素,而且他們的安全雷達將會被不斷的測試,這只會加強他們的一般安全意識。能夠持續性的賺取成就和獎項,建立激勵動機來將安全性保持在你做日常一切事務時的列表頂端。
重點不是要懲罰或用其他方式對待得分最低的個人或團體;而是要建立安全的文化,讓每個員工都更加瞭解到他們行為所造成的後果,即時這些行為在當時看起來完全無害。
資訊安全不是一個目的地,這是一場旅程。
在10月份,我們支援國家網路安全聯盟以慶祝網路安全月 – 旨在教育企業和個人如何保持網路安全。到這裡來看看我們為你所收集的有用影片、圖表、部落格文章和報告。