資安

資安周報

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 勒索軟體

【資安週報】0407~0411,國家資通安全戰略2025正式公布,建立國家資安戰情協同應變中心

回顧2025年4月第二星期的資安新聞,臺灣最新國家資安戰略出爐是主要焦點,當中揭露了我國國安層級聯防體系的發展,以整合六塊基礎聯防體系、跨部會協防體系與戰略夥伴國際合作;其他網路攻擊活動的揭露,以多起勒索軟體攻擊臺灣與全球的消息,還有中國駭客鎖定臺灣、圖博、維吾爾族散布間諜軟體的情形最需留意

2025-04-14

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 勒索軟體

【資安週報】0331~0404,CrazyHunter攻擊擴大至臺灣企業集團,刑事局偵破其真實身分為中國浙江羅姓男子

在2025年4月第一週的資安新聞中,關於CrazyHunter鎖定臺灣醫院與上市公司攻擊的消息仍然不斷,臺灣振曜集團有3家公司遭受攻擊,不過,警方在偵辦進度上取得重大突破,先前在馬偕醫院事故後,已成立專案小組,如今發現犯案者是中國浙江籍羅姓駭客,而這也是國內警方第一次能關聯出勒索軟體攻擊者真實身分

2025-04-07

資安週報, 資安一周, 資安周報, IT周報, 網路攻擊, 零時差漏洞, 資料竊取, 勒索軟體

【資安週報】0324~0328,臺灣上市公司有3家在同一日發布資安重訊,涵蓋運動健身、建設、網通業者

回顧2025年3月最後一星期的資安新聞,國內有喬山健康科技、國揚建設遭遇勒索軟體攻擊的情形,還有居易科技路由器傳出不斷重開事故,該公司表示攻擊者是策略性的攻擊,攻擊了該公司註冊的主機、網站及路由器

2025-03-31

臺灣資安大會 | 臺灣資安大會直擊 | Y2Q | 後量子資安產業聯盟 | PQC-CIA | 量子運算威脅 | 後量子密碼學 | 量子破密 | PQC | 後量子晶片公版 | PQC遷移指引

後量子資安產業聯盟成立屆滿一年,數產署頒布專為臺灣設計的PQC遷移指引

PQC遷移成大勢所趨,在2025臺灣資安大會第二天舉辦的後量子密碼遷移暨晶片應用產業論壇,數位發展部數位產業署與後量子資安產業聯盟(PQC-CIA)宣布,正式發表我國首版後量子密碼遷移指引,同時活動現場亦展示臺灣產業在PQC晶片領域的重要進展,並有7家廠商從不同面向分享後量子密碼技術的經驗

2025-04-18

勒索軟體 | CrazyHunter | GitHub | 自帶驅動程式 | BYOVD | Prince Ransomware builder | ZammoCide | SharpGPOAbuse

趨勢科技證實CrazyHunter鎖定臺灣而來,運用來自GitHub的工具犯案

針對從今年2月開始接連對臺灣企業組織發動攻擊的勒索軟體駭客CrazyHunter,趨勢科技公布駭客的犯案手法,這些駭客廣泛運用可從GitHub取得的工具作案,並搭配自帶驅動程式(BYOVD)手法,而能迴避資安防護機制的偵測

2025-04-18

生成式AI | OWASP Top 10 for LLM Applications | OWASP

LLM上路,資安停看聽

有了新技術幫忙,還是必須眼觀四面,耳聽八方,善用與發揮我們的心智與行動力,才能充分因應各種變局

2025-04-18

企業LLM應用安心上路!先從十大AI資安風險著手

大型語言模型(LLM)已滲透到各行各業,但享受生成式AI便利的同時,必須了解這項新興科技背後的風險,長期耕耘網站安全的OWASP組織已訂定10個主題,想認識AI安全議題可從這裡開始著手。

2025-04-18

LLM資安風險 | 提示注入 | 敏感資訊洩漏 | 錯誤資訊

【當心提示注入、敏感資訊洩漏、錯誤資訊等問題】已在真實世界發生的LLM資安風險

生成式AI不當使用出現實際案例!臺灣有北捷AI客服可代寫程式碼,國外有三星員工將內部資料上傳至公用服務,以及美國律師誤用AI虛構判例打官司,均具體呈現LLM在不同層面的潛在風險

2025-04-18

LLM | 資安 | OWASP | 10大資安風險 | OWASP Top 10 for LLM Applications

【LLM發展需考量資安,2025年OWASP新榜單出爐】導讀LLM應用程式的10大風險

各行各業對LLM技術應用需求快速增長,其應用已深入客戶互動與企業內部營運,然而,伴隨新科技而來的風險不容忽視

2025-04-18

臺灣資安大會 | 個資 | 林逸塵 | 隱私 | MFA

【臺灣資安大會直擊】個資保護委員會籌備處建議用MFA確保使用者身分安全,並以高安全性多因子驗證來提高攻擊難度

「許多人會問個資保護與資訊網路安全到底有什麼關係?答案是兩者之間有關係!」,個人資料保護委員會籌備處隱私科技組組長林逸塵在今年資安大會上這麼說。

2025-04-17

資安大會 | 資安韌性 | 資安人才 | 資安梯隊 | 國家資通安全研究院

【臺灣資安大會直擊】安碁學苑:企業應從實務出發,打造涵蓋內外部人員角色的資安人才梯隊培訓藍圖

安碁學苑營運長劉孟昌強調,整合內外部資源,依照專業分類、能力分級,建立全企業的資安職能培訓藍圖,來打造具有即戰力的資安人才梯隊,才能強化資安韌性,進而支持企業營運韌性。

2025-04-17

資安日報

【資安日報】4月17日,CVE專案長年靠美國政府資金運作議題浮上檯面

廣泛受到全球資安界運用的「常見漏洞披露(CVE)」資料庫傳出MITRE維護合約終止的消息,如今出現了轉圜,美國將延長合約,暫時不讓CVE服務中斷,但這也突顯該服務長期依賴美國資助的現象

2025-04-17

CISA | CVE | CWE | CVE Foundation

針對MITRE維護CVE和CWE合約到期,美國政府延長合約因應

針對美國政府傳出終止MITRE的合約,將導致「常見漏洞披露(CVE)」資料庫,以及「通用缺陷列表(CWE)」停止運作的情況,引起全球資安圈高度關注,這起風波出現進展,CISA表示他們根據合約選項延長服務,暫時免於CVE停止運作而可能引發的後續效應

2025-04-17

蘋果 | 零時差漏洞 | CVE-2025-31200 | CVE-2025-31201 | iOS | iPadOS | macOS Sequoia | tvOS | visionOS

蘋果修補已被用於實際攻擊iPhone的CoreAudio、RPAC零時差漏洞

本週蘋果針對行動裝置、電腦、穿戴裝置發布更新,主要是修補已有實際攻擊行動的零時差漏洞CVE-2025-31200、CVE-2025-31201,而這是該公司今年修補的第4、第5個零時差漏洞

2025-04-17

【臺灣資安大會直擊】趨勢科技:企業可以LLM應用架構設計安全邊界檢視風險,以LEARN方法論強化LLM應用安全

從LLM應用開發生命周期,對照LLM應用架構,根據應用架構內不同區塊的安全邊界,及對應可能發生的風險,逐一檢視建立緩解風險的措施。

2025-04-16

PHP | 安全稽核 | PHP-FPM | 漏洞 | Quarkslab | PHP 8.4

PHP核心執行環境稽核揭露多項漏洞,衝擊PHP-FPM與加密模組安全性

PHP核心執行環境完成安全稽核,揭露17項具風險漏洞,涵蓋PHP-FPM與加密模組,官方已修補並建議開發者升級版本

2025-04-16

資安日報

【資安日報】4月16日,MITRE停止維護CVE等多項專案,恐波及全球資安漏洞分析

有人取得MITRE主任Yosry Barsoum寫給CVE委員會信件,提及美國國土安全部委託非營利組織MITRE進行維護的CVE與CWE專案即將到期,恐影響全球所有使用CVE的資安機構,引發外界高度關注

2025-04-16

Cleo | MFT | 零時差漏洞 | CVE-2024-55956 | CVE-2024-50623 | Hertz | 資料外洩

MFT檔案共享系統Cleo受害者首度現身,租車業者Hertz證實受害

Cleo零時差漏洞攻擊首度有企業出面證實受害!大型租車業者Hertz發布公告表示,他們在今年2月遭遇資料外洩事故,而駭客入侵的管道,就是Cleo旗下MFT檔案傳輸系統的零時差漏洞

2025-04-16