2019年12月十大資安新聞

2019年勒索軟體威脅不斷，駭客鎖定企業與其資訊服務供應商的態勢，持續成為關注焦點，而勒索軟體進化出的新手法也備受注目。在2019年12月，就有一隻名為Snatch的勒索軟體，演化出可在Windows電腦安全模式下運作的能力，雖然根據提供勒索軟體受害者諮詢服務業者Coveware的2019前3季報告指出，Snatch在勒索軟體市場僅有2.3%市占，但這些攻擊新演進都將讓勒索軟體變得更難防護。

在去年12月還有一些特殊的攻擊手法被揭露，例如有加密貨幣採礦殭屍網路營運組織的攻擊手法，近期開始將惡意程式嵌入到歌手Taylor Swift的照片之中，並上傳到公共儲存空間，試圖騙過安全偵測軟體的檢查，目的是為殭屍網路提供更新。

此外，針對Docker系統的罕見大量掃描網路活動被資安公司Bad Packets揭露，有駭客在網路上掃描曝露的API，除了植入挖礦之外，還能關閉系統的防護機制或留下後門；以及關於大多數Linux版本被新墨西哥大學的幾名資安研究人員發現，含有編號為CVE-2019-14899的安全漏洞，將允許駭客挾持VPN連線；還有關於中國駭客組織APT20最近一波攻擊行動破解了VPN網路的雙因素認證機制，經資安業者Fox-IT公布出，也是12月引起相關領域重視的資安問題。

較特別的是，2019年12月還有一些多數人容易輕忽資安防護議題，受到重視。例如，本月美國FBI特別警告大眾，家中使用的筆電最好不要與各類IoT裝置（如連網攝影機、遊戲機及智慧喇叭等）設於同一Wi-Fi網路。這樣的提醒，突顯過去大家可能低估家用IoT安全所帶來的風險，並成為本月最受大眾注目的資安新聞之一。此外，對於軟體開發工程師而言，由MITRE機構定義的通用弱點分類CWE，在本月更新了2019 CWE Top 25列表，因8年多來首度更新而成焦點，當中彙整了最常見也最嚴重的軟體錯誤，可提醒程式碼撰寫時需注意的潛在安全問題。

至於國內方面的資安事件中，近來企業或機關收到民眾通報釣魚網站並發出警告的案例增加，包括中華郵政與經濟部都發出公告提醒有假冒公司網站與名義的情況，值得注意。另外，臺灣在量子加密通訊技術上的初步進展，以及物聯網資安標章的推動，也都成為2019年12月相關領域關注的資安新聞。

額外一提的是，在這10大資安新聞之外，本月還有許多不同層面的消息也是可以關注的焦點，也是，包括像是北韓駭客發展Mac環境的無檔案攻擊程式手法，合法匿名GPS資料仍可帶來的隱私安全問題，部分物聯網裝置的RSA金鑰因具備共享的質因數而容易被破解，PWN College課程開源，以及軟體更新安全規範The Update Framework發展趨於成熟等。

另外，2019年12月還發生了多起勒索軟體災情，包括提供上百家療養院服務的IT業者VCP，美國路易斯安那州紐奧良市、以及美國資料中心供應商CyrusOne都成受害者，以及臉書員工將存有員工銀行及身份資料且未加密的硬碟攜出，放在車上遭竊的事件。

01. 勒索軟體將電腦以安全模式重開機以躲過防毒偵測

02. 採礦殭屍網路MyKings將惡意程式藏泰勒絲照片，中國、臺灣和日本都是災區

03. Linux漏洞將允許駭客挾持VPN連線

04. 駭客掃描網路Docker植入挖礦程式，還會修改設定與留下後門

05. 中國駭客集團APT20已破解2FA認證

06. FBI警告筆電不應和物聯網裝置共用Wi-Fi網路

07. CWE公布2019年最危險的25個軟體錯誤

08. 詐騙集團假冒國內企業與機關網站事件不斷，中華郵政、鉅亨網與經濟部相繼發出警告

09. 臺灣量子加密通訊技術新突破，專家深入剖析其系統設計與原理

10. 臺灣物聯網資安標章發展上軌道，已有9家業者的22款產品取得資安標準合格證書