資安

美國國務院透過跨國組織犯罪獎勵方案，重金徵求外界提供Conti變種勒索軟體組織成員資料

資安業者針對上週F5修補的BIG-IP重大漏洞CVE-2022-1388提出警告，並認為可能不到一個星期就會有攻擊行動出現；再者，RubyGems套件管理平臺出現可讓人竄改上架套件的漏洞，也相當值得留意

近期微軟為強化安全，預設關閉Office應用程式的VBA等多種巨集，似乎對遏止Emotet奏效，Proofpoint揭露4月Emotet新活動，一反Emotet組織慣用的典型大規模攻擊方式，以小規模活動測試新的擴散策略與攻擊手法

Log4Shell漏洞揭露後，全球下載到舊版Log4j的情形，臺灣的比例遠高於多國。根據在Sonatype提供的Log4j下載狀態儀表板，當中資訊顯示，自去年12月10日以來，Log4j已被下載了超過5,000萬次，其次有38%下載到了有漏洞的舊版本，臺灣在這段期間，則是有8成下載到有漏洞的舊版本

在5月第一個星期的資安新聞裡，從事竊密、暗中埋伏行動的資安事故占有相當高的比例，而且，駭客運用了過往可能較少出現的工具，或是較為罕見的手法，使得組織更加難以防範

平臺即服務（PaaS）供應商Heroku發現駭客盜用了該公司機器帳號的權杖，取得進入資料庫的權限，不僅盜走整合GitHub的OAuth權杖，也存取了存放客戶憑證的資料庫

在今天的資安新聞中，Avast、AVG防毒軟體的元件漏洞，以及F5的BIG-IP系統重大漏洞，用戶都應該儘速採取緩解措施；再者，駭客利用USB儲存裝置傳送惡意程式的攻擊手法，相當值得留意

為提升上市櫃公司對資訊安全的重視，近年政府要求證交所及櫃買中心成立強化上市櫃資安措施的任務小組，主要從資訊公開、公司治理、監理協助這三大角度，不只透過法令修正要求公司符合規範，還發布「上市上櫃資通安全管控指引」，提供予普遍公司能有可依循作法的參考，近期還將鼓勵公司加入領域ISAC或TWCERT