【資安月報】2025年4月，臺灣資安產業蓬勃發展，PQC、零信任、產品資安受矚目，LLM安全風險因應成最新主軸

回顧2025年4月的資安新聞，隨著臺灣資安大會連續3天盛大舉行，臺灣政府發布國家資通安全戰略2025，還有多項LLM安全風險的示警與應對的消息，都讓我們更進一步了解臺灣與全球資安領域的蓬勃發展與態勢演變，因此，這些資訊的傳達成為我們本月首先關注的3大焦點。

其他還有3個層面的議題，同樣值得我們重視，包括臺灣資安事件現況、國際產業安全進展，以及預算影響資安專案的狀況。在此我們彙整6大資安焦點，帶大家快速回顧本月的關鍵新聞與趨勢。

（一）2025臺灣資安大會登場

CYBERSEC 2025 臺灣資安大會本月登場，橫跨30大資安議題，從網路韌性法到跨界整合，吸引400家廠商、1,500個攤位進駐，為期三天的活動吸引2萬名來自全球產官學界的資安專家參與，顯示企業對資安重視日益提升。

今年的CYBERSEC ARENA資安競技場War Game，更是特別引進美國海軍戰爭學院於美國Black Hat和DEF CON發表的臺灣情境資安模擬遊戲，透過建模、模擬與兵推技術，模擬真實資安威脅與戰略應對。

臺灣政府也持續展現政府對於資安的重視與支持，總統賴清德去年520上任，截至目前為止，他已連續四年親自蒞臨，並在今年大會致詞談到未來四年重要的資安推動工作，我們不只要強化全社會資安韌性、關鍵CI防護，同時強調發展資安產業生態系，持續推動國產自主研發的資安產品與服務，以降低對外部技術的依賴風險，並要應對AI、IIoT與5G乃至未來6G技術的快速普及，研究新興科技防禦技術；美國在台協會（AIT）處長谷立言也在現場公布臺美合作成果，包括今年3月主導舉辦5場聚焦半導體供應鏈防護的資安活動，並透露經濟部標準檢驗局已完成美國「NIST網路安全框架 2.0」的繁體中文版，同時強調資安不僅是IT技術課題，更是國家與經濟安全的重要環節。

（二）臺灣多項資安新舉措揭露

在國家資安防禦動向，本月臺灣政府有多項重大進展，最重要是《國家資通安全戰略 2025》在8日發布，揭露我國2025到2028這四年的重要工作，涵蓋4大層面，包括：全社會防衛韌性、國土防衛與關鍵CI、關鍵產業與供應鏈，以及AI應用與安全，同時也提及建立國家資安戰情協同應變中心，突顯我國更聚焦國安層級聯防體系的發展，還有資安院算正規化的進展。

還有其他多項新進展於臺灣資安大會揭露，涵蓋PQC、零信任、產品資安、個資保護，以下是我們關注的4個重大突破：
●數發部數產署與後量子資安產業聯盟（PQC-CIA）宣布，專為臺灣設計的「後量子密碼遷移指引」出爐，並於4月底公布取得自動化加密盤點工具的聯繫管道。
●金管會闡釋金融業導入零信任架構參考指引重要性，應從身分、設備、網路、應用程式、資料出發，另公布目前正發展金融雲端資安監控基準。
●資安院解析多國法規已對ICT產品訂明確安全要求，同時公布推動產業發展產品資安的3項計畫，涵蓋安全軟體開發與檢測的人才培育、推動PSIRT與建立資安院Bounty，以及國際法規的接軌。
●個資保護委員會今年即將成立，籌備處專家建議參考國際間的隱私框架，並用高強度MFA來確保使用者身分安全。

（三）LLM安全風險成2025年重要焦點

LLM應用風潮在這兩年持續發酵，然而其資安風險問題容易被忽略，我們在4月製作封面故事闡述此議題，並從OWASP Top 10著手，透過簡單易懂的詮釋方式，幫助讓大家了解提示詞注入、敏感資訊揭露、資料與模型投毒、錯誤資訊等LLM應用10大風險。同時我們也以真實世界發生的狀況來舉例，讓大家可以更清楚，當AI客服回應超出應有用途，員工將公司機敏資料上傳公用AI服務，以及AI幻覺回應被使用者誤信的狀況。

另一方面，隨著LLM推理模型與AI代理（AI Agent）的快速迭代，今年臺灣資安大會的主題演說或各項議程中，我們明顯觀察到，現場有多位專家演說都聚焦LLM風險。在此我們挑出一些重點，例如：有針對企業推動AI應用上的建議，包括資安管理策略可從資料、模型開發、員工使用及基礎架構管理來著手，以及探討LLM風險驗測的困境，並建議可打造自動化驗測機制、採取LLM-as-a-Judge做法，還有建議組織可從平衡AI利益及風險出發，依據WEF報告提出的6項問題來自評是否做好準備；另一方面，也有針對AI代理驅動網路犯罪商業模式Cybercrime-as-a-Servant的示警。

（四）臺灣資安事件頻傳，勒索軟體攻擊持續嚴峻

根據公開資訊觀測站刊登的重大訊息公告，本月有9家上市公司發布資安重訊，另外還有1起事故發生在地區醫院。其中勒索軟體攻擊是主要焦點，像是振曜、沛亨的事故與CrazyHunter有關，還有桃園中壢長慎醫院、倍力的事故則與NightSpire有關。這段期間，國內也接連有資訊服務商遭攻擊，需要特別留意。

●第一週4起，盛餘鋼鐵公告部份主機與電腦遭病毒攻擊（4月底發補充公告，員工個資可能外洩）；振曜科技、沛亨半導體表示部分資訊系統遭受駭客攻擊；精誠資訊獲匿名網路勒贖信件。
●第二週2起，力特光電公告資訊系統遭駭客攻擊；萬國通路表示發生資安事件。
●第四週3起，萬海航運公告資訊網站遭攻擊；萬潤科技表示部份主機與電腦遭病毒攻擊；倍力資訊表示資訊系統遭受攻擊。

此外，CrazyHunter的真實身分在4月初被查獲，臺灣刑事警察局公布犯嫌為中國浙江籍20歲的羅姓男子。

還有一項消息需要民眾多加留意，那就是有資安業者發現攻擊者散播常用軟體，對方佯稱提供即時通訊軟體LINE，並透過搜尋引擎最佳化（SEO）方式散布，讓民眾在Google搜尋第一頁就會看到仿冒LINE下載的網站，意圖植入木馬程式。

（五）國際多項產業安全重要進展

走出臺灣，我們看到其他國家有多項資安防禦新進展受關注，例如，持續演進的MITRE ATT&CK框架發布17.0新版本，同時針對VMware虛擬化平臺發布新矩陣；CA/Browser Forum針對HTTPS憑證祭出新的2項安全要求，通過可有效防禦BGP劫持的多方發行驗證（MPIC），以及降低誤發憑證風險的憑證檢查（Linting）；美國NIST發布1.1版的《NIST隱私架構》，以配合NIST CSF 2.0與AI RMF的修訂變化。

還有一些重要消息，例如GitHub推出Security Campaigns，協助企業開發團隊處理安全債更系統化並融於開發日常，還有Google發表資安AI模型Sec-Gemini，另也針對Gmail推出全程加密功能等。

（六）預算影響資安專案運作問題浮上檯面

因為具有國會多數優勢的在野黨大幅刪減與凍結政府預算，影響臺灣資安發展，像是我國的資通安全署、資安研究院的計畫，以及數產署在產業資安方面的推動計畫，皆深受影響，面臨專案縮減、擱置或延後等，因為這些單位上層機關數位發展部所編列的預算，被大幅刪除與凍結。

無獨有偶，其他國家也發生類似狀況，美國非營利組織MITRE傳出因該國政府預算刪減，將使維護CVE等多項專案停擺，此事更是引發全球關注，因為CVE的公布與指派已成全球漏洞管理基礎機制，一旦CVE漏洞無法集中發布與追蹤，將對整體資安生態造成衝擊。

雖然美國CISA隨後介入支援提供運作資金，但這起事件也突顯CVE等體系的穩定運作，長年只有美國政府投入給予支持。目前CVE基金會已成立作為因應，不過歐盟漏洞資料庫（EUVD）Beta版的發展也受關注。

【資安月報】2025年4月，臺灣資安產業蓬勃發展，PQC、零信任、產品資安受矚目，LLM安全風險因應成最新主軸

【資安週報】0331~0404，CrazyHunter攻擊擴大至臺灣企業集團，刑事局偵破其真實身分為中國浙江羅姓男子

【資安週報】0407~0411，國家資通安全戰略2025正式公布，建立國家資安戰情協同應變中心

【資安週報】0414~0418，臺灣資安大會CYBERSEC 2025登場，AI資安風險持續受矚目

【資安週報】0421~0425，駭客組織NightSpire橫行全球，臺灣傳長慎醫院、倍力資訊遭攻擊

【2025年3月資安月報，出現專門鎖定臺灣攻擊的勒索軟體，CrazyHunter攻擊目標從醫院擴大至上市櫃公司

【2025年2月資安月報，臺灣海纜遭人為破壞、醫院遭勒索軟體攻擊，關鍵CI防護受考驗】

【2025年1月資安月報，國家級駭客的網路間諜攻擊事件不斷，海纜與國家通訊韌性也受到考驗】

【2024年12月資安月報，美國9家電信業遭中國駭客Salt Typhoon滲透，政府呼籲使用全程加密的即時通訊App】

【2024年11月資安月報，身分安全與AI成資安熱點，電信業滲透事件敲響警鐘】

【2024年10月資安月報】關切資安法修法、零信任、CMMC 2.0與資訊作戰，迎向不斷變化的資安威脅考驗

熱門新聞