作者

國家資通安全研究院

[研討會] 9/24 資安院舉辦「產品資安論壇：共築產品資安責任鏈」歡迎報名

by 國家資通安全研究院 2025-09-12

作者國家資通安全研究院

國家資通安全研究院將於 9 月 24 日舉辦「產品資安論壇：共築產品資安責任鏈」，本論壇將聚焦產業最關切的核心議題，包括國際資安法規趨勢、軟體物料清單（SBOM）、漏洞獵捕計畫（Bug Bounty Program）、資安事件應變小組(PSIRT)建置實務及企業經驗分享，並舉行圓桌座談，凝聚產官學研共識，共同強化臺灣產品資安能量。

資安院說明，為強化產品資安，目前持續推動「產品上市前、上市中、上市後」的資安治理策略，並從國際資安政策、漏洞獵捕機制、國際產品資安驗證機制、PSIRT制度建置及人才培育等面向著手，研擬安全軟體開發與檢測課綱、PSIRT 與 Bug Bounty Program，並參考歐盟《網路韌性法》（Cyber Resilience Act, CRA）及美、日等國家之規範，研議產品資安治理策略，確保臺灣法規與制度設計與國際接軌。

資安院指出，隨著歐盟 CRA 將於 2027 年全面施行，國際市場對產品資安責任的要求將更加嚴格，臺灣作為全球資通訊產品的製造與出口重鎮，必須加緊腳步，建立完整的「產品資安責任鏈」。此責任鏈上將涵蓋產品全生命週期與利害關係人，確保產品從設計、開發、製造到上市後維運的資安，目的是要防堵可能引發超越單一企業衝擊、影響社會穩定與國家安全的潛在資安風險。

資安院副院長龔化中進一步強調：「做好產品資安，國家安全、廠商賺錢。產品資安的推動無法單靠政府或單一企業完成，必須仰賴跨部門、跨產業的協作，才能從法規、設計到驗證層層落實」。資安院表示，本次論壇將是重要政策與產業凝聚共識的對話平台，資安院將持續推動社會溝通與跨界合作，提升我國產品資安韌性，並讓 Made In Taiwan / Made By Taiwan 的電子產品成為全球信任的國際產業。

歡迎詳閱 : 議程資訊與報名

2025-09-12

編輯台

WinRAR 曾遭嚴重零時差攻擊　資安院呼籲民眾立即更新至最新版

by 國家資通安全研究院 2025-09-02

作者國家資通安全研究院

國家資通安全研究院提醒民眾，知名壓縮軟體 WinRaR 近日嚴重漏洞( CVE-2025-8088 )曾在修補程式釋出前遭駭客利用發動「零時差攻擊」。駭客會透過夾帶惡意壓縮檔的電子郵件，引誘收件人解壓縮後觸發惡意程式，進而竊取資料或遠端控制電腦。資安院呼籲民眾務必立即更新至最新版 WinRaR(7.13)，並避免在更新前開啟任何 RaR 壓縮檔，以降低受駭風險。

資安院進一步說明，已經有駭侵組織利用此漏洞製作惡意壓縮檔，將實際藏有惡意程式之壓縮檔命名為「履歷、自傳或職缺說明」，偽裝成求職郵件引誘收件人開啟。一旦收件人解壓縮檔案後，漏洞即被觸發，木馬程式(如 SnipBot, RustyClaw及Mythic agent )會直接植入電腦開機目錄，並於每次開機時自動執行。這讓駭客能長期潛伏竊取機敏資料，甚至完全控制電腦。

資安院觀測，國際資安公司ESET研究報告中揭露，駭侵組織 RomCom 已經利用這項漏洞，鎖定烏克蘭政府機關、外交單位及人權組織發動攻擊，顯示該漏洞已構成國際性資安威脅。資安院提醒類似手法亦可能擴散至全球，因此我國的組織與企業都必須保持高度警覺。資安院呼籲，民眾日常生活中常透過壓縮檔案分享文件，若不慎開啟惡意RaR壓縮檔，將使駭客長期潛伏於電腦中，甚至完全控制系統。除了立即更新軟體外，平時也應注意郵件防護，不點擊來路不明的連結或附件，以保障自身資訊安全。資安院將持續追蹤國際資安威脅，並透過漏洞通報、情資分享與防護建議，協助政府、產業與社會共同提升資安韌性。

更多更新方法與操作說明，請參考資安院8月20日發布之＜WinRAR存在高風險安全漏洞(CVE-2025-8088)，請儘速確認並進行修補漏＞公告。

2025-09-02

編輯台

雲端平台成駭客中繼站　資安院籲強化郵件與雲端安全防護

by 國家資通安全研究院 2025-08-19

作者國家資通安全研究院

國家資通安全研究院近期發現，駭客攻擊手法持續進化，開始濫用常見雲端服務作為「中繼站」，藉此躲避資安系統偵測並延長在受駭電腦中的潛伏時間，提醒企業與各機關提高警覺，防範看似正常的雲端連線暗藏惡意行為。

資安院本次觀察到的攻擊案例中，駭客會寄出看似與工作相關的郵件，例如「合約文件」或「會議資料」等業務主題，並附上雲端下載連結，誘使收件人下載一個經通行碼保護的壓縮檔。壓縮檔內為偽裝成文件檔的捷徑檔（.lnk），一旦點擊，便會執行內含的指令，悄悄下載更多惡意程式、建立長期控制機制，並連線至雲端試算表，將受駭電腦資訊回傳給駭客與接收駭客指令。這些資訊可能被用來鎖定進一步攻擊目標，或讓駭客完全控制受駭電腦，用於竊取個人資料、發送社交工程郵件，甚至成為入侵其他電腦的跳板，受駭者往往毫無察覺。

資安系統或設備往往不會特別攔截這類連線。駭客正是利用這一點，把「合法服務」變成攻擊流程的一部分，藉此降低被即時發現的風險。結果就是，惡意流量被「包裝」在合法服務的連線裡，導致難以被資安設備辨識為威脅。

資安院提醒，民眾和各單位應保持對可疑郵件與附件的高度警覺，特別是那些涉及核心業務或需要通行碼才能開啟的檔案，更應避免點擊副檔名為 .lnk 捷徑檔與 .exe、.bat 等執行檔。平時應透過宣導與教育提升資安意識，清查並停用不再使用的帳號，同時落實密碼強度規範。對於雲端服務的使用，也應將 Google 試算表、日曆等工具納入資安監控範圍，設定合理的使用權限，並結合端點偵測防護等設備，及早發現異常行為，防堵潛在攻擊。

資安院長期關注政府領域惡意電子郵件威脅，針對本次遭社交工程攻擊與受駭單位同步發布資安警訊通知並分享情資，協助進行後續應處，並持續透過相關通報機制，協助公私部門共同強化資安防護。

2025-08-19

編輯台

資安院攜手產業提升資安韌性，跨域協作聯防成就資安共好

by 國家資通安全研究院 2024-11-25

作者國家資通安全研究院

國家資通安全研究院於 11月22日(五) 辦理台灣電腦網路危機處理暨協調中心 (TWCERT/CC)「2024台灣資安通報應變年會」。為應對全球複雜多變的資安威脅與風險，2024 年會以「預見資安威脅，賦能通報聯防」為主題，邀集來自數位發展部、資安院、台積電、鴻海、華碩、合勤、雲林科大、永豐銀行、奧義智慧科技等公私部門的專家齊聚一堂，共同探討當前的重大資安議題、分享有效應對資安事件的實務經驗，以及如何強化跨域協作聯防提升企業的整體防護能力。

數位發展部闕河鳴政務次長於年會致詞表示，2024 年國際間發生許多影響重大的資安事件，攻擊者的手法不斷推陳出新，而且越來越隱蔽，不易及時發覺，並且攻擊規模與影響範圍也日益擴大。面對日愈嚴峻的資安威脅，單一的政府機關、企業或組織已無法獨自有效的及時因應，有賴政府與民間企業共同攜手協作聯防，並且重新思考及強化整體資安防護架構與應對策略。

資安院配合數發部強化企業資安防護政策，自今年１月１日起接手營運 TWCERT/CC，提供產業全年24小時不間斷的資安事件通報、情資分享、應變協調、國際合作、意識提升等資安服務。資安院接手營運 TWCERT/CC 之後，透過各種管道持續擴大與民間企業及公協會合作，進一步強化產業整體資安防護量能。

資安院何全德院長於會中表示，因應資安威脅日趨複雜與影響範圍擴大，資安問題已不再是單一國家、單一企業或組織可以獨自有效解決，亟需仰賴跨國、跨領域、跨組織的資安協作與聯防來共同防護數位網路安全。企業需具備及持續提升應對資安事件的基本能力，建立即時的事件通報與聯防協處機制並且定期演練，才能有效因應錯綜複雜的資安威脅與挑戰。

本次年會特別安排華碩金慶柏資安長、資安院通報應變中心孫偉哲主任、永豐銀行高大宇副總經理、奧義智慧邱銘彰創辦人、雲林科大林峻立教授、台積電資訊安全處許映威處長、合勤投控游政卿資安長、鴻海李維斌資安長等資安專家，發表專題演講，針對數位時代的全球資安治理、TWCERT/CC 成果與願景、資安事件實戰應對、生成式AI影響下之資安新戰略、零信任架構實戰經驗及企業供應鏈數位安全等議題，進行趨勢探討分析與經驗分享。

2024-11-25