2025 年下半年，常見文字編輯器 Notepad++ 發生一起供應鏈攻擊事件。攻擊者沒有修改軟體原始碼，而是入侵更新相關的基礎設施，使部分使用者在檢查更新時接收到被竄改的更新資訊。由於攻擊利用官方更新機制的信任關係，過程相當隱蔽，使用者難以察覺。 多家資安研究機構研判，此行動與 APT 組織 Lotus Blossom 有關，主要鎖定政府、金融與科技相關機構。事件也再次提醒企業，即使是日常使用的開發工具，也可能成為供應鏈攻擊的入口。 漏洞說明 在本次事件中，攻擊者並未入侵使用者電腦本身，而是先取得更新基礎設施的控制權，再利用此漏洞將合法更新流程轉變為惡意程式散布管道。當受害者透過舊版 Notepad++ 檢查更新時，系統可能下載並執行未經授權的安裝檔。 CVE-2025-15556 CVSS 評分約 8 分以上（高風險）。此漏洞存在於舊版 Notepad++ 的更新程式 WinGUp。更新流程在下載更新清單與安裝檔時，缺乏完整的數位簽章驗證機制。攻擊者若能攔截或重新導向更新流量，便有機會提供偽造的更新資訊與惡意安裝檔。 哪些使用情境容易成為攻擊

美國網路安全暨基礎設施安全局（CISA）近期更新「已知遭利用漏洞（KEV）」目錄，將 VMware 漏洞 CVE-2025-22225 列入清單，並確認該漏洞已遭勒索軟體集團實際利用。 該漏洞最早於 2025 年 3 月由 Broadcom 在安全公告 VMSA-2025-0004 中揭露，並與另外兩項高風險漏洞（CVE-2025-22224、CVE-2025-22226）一併修補。隨著被正式納入 KEV，代表此漏洞已從「已公開弱點」升級為「持續遭攻擊利用」的實戰風險。 由於漏洞涉及虛擬機逃逸與 Hypervisor 層級影響能力，對廣泛使用 VMware ESXi 作為核心基礎架構的企業而言，其風險層級遠高於一般應用程式漏洞。 漏洞說明 CVE-2025-22225 屬於 Arbitrary File Write 漏洞 ，存在於 VMware ESXi 的 VMX 程序處理機制中。在特定條件下，若攻擊者已在虛擬機中取得管理員權限，便可透過 VMX 程序觸發核心層級的寫入行為，進 而 沙箱逃逸 （Sandbox Escape）、操控主機核心記

許多企業投入大量資源建立資安制度，卻在日常流程中不經意地留下空隙。權限管理看似簡單，實際上牽動著人的行為與部門的默契。制度若沒有被一致地遵守，即使是最基本的權限調整也可能出現延遲與遺漏。這些小細節往往不會立刻引起注意，但時間久了便形成風險來源。從離職流程到跨部門合作，再到組織文化本身，這些因素交織在一起，決定了制度是否能真正落地。 權限治理的核心在於保持資訊環境的秩序 企業的資訊環境像一座城市，系統是道路，資料是建築，而權限則是能在城市中通行的許可。這些許可若缺乏管理，城市外觀看似正常，內部卻可能逐漸失去秩序。隨著企業擴張，系統、資料與協作關係都變得更複雜。如果權限沒有跟著更新，原本清楚的邊界會慢慢模糊，企業也會越來越難掌握誰能接觸哪些資訊。 權限治理的目的不是限制，而是維持這座城市的穩定 。人員調動、新專案啟動或組織變化，都意味著權限需要重新調整。如果缺乏這樣的節奏，許多不再需要的權限就會被保留在系統中，表面上沒有問題，實際上卻增加了誤用與外洩的機會。許多意外並非源自攻擊，而是來自已無相關職務的員工仍保有存取能力，讓原本應該封閉的資訊持續暴露。

過去談到 ISO 27701，多數企業的第一反應是它與資安標準的關係，這樣的理解，在 2025 年新版發布後已經不再成立。ISO/IEC 27701:2025 首度將隱私管理設計為可獨立運作的管理系統，不再只是資安體系中的附屬章節。這項改變，並非技術升級，而是治理邏輯的轉向。它要求企業正面回答一個問題：當資料被使用、被分享、被重新定義用途時，組織內部是否真的知道誰在做決定，以及這些決定是否能被說明與檢視。 ISO 27701:2025 為什麼必須獨立 ISO 27701:2025 將隱私管理設計為可獨立建立與稽核的管理系統，反映出企業已無法再用既有的資安架構承接隱私決策。過去資料保護多被視為系統安全的延伸，只要技術措施到位，隱私風險就被認為已受到控制。但在實務運作中，企業逐漸意識到，引發爭議與責任問題的關鍵，往往在於資料被如何使用，以及這些使用方式是如何被決定的。 資料再利用、新產品設計與跨部門共享，已成為企業日常運作的一部分。這些情境牽涉的是風險理解、決策權責與說明能力，而非單純的技術問題。當隱私仍附屬於資安體系，相關判斷往往分散在不同專案之中

隨著企業逐步導入更多自動化技術，各式 IoT 與邊緣設備已成為日常營運不可或缺的一部分。從工廠的感測器、倉儲的追蹤設備，到辦公室的智慧會議系統，這些裝置雖然能提升效率，但也悄悄把新的風險帶入企業內部。由於設備本身的保護能力有限，加上部署環境多半分散，常使企業難以即時掌握所有狀況。若未提前思考管理方式，攻擊者便能利用這些看似不起眼的設備作為進入內網的入口。以下內容將從設備特性、管理挑戰與人員流程等角度，逐步說明企業最常忽略的風險來源。 IoT 與邊緣設備的技術限制與風險 IoT 與邊緣設備的設計多半以成本與功能優先，因此在安全防護上存在許多限制。這些限制累積起來，使設備成為攻擊者偏好利用的薄弱點。 主要風險 運算能力不足，無法負荷傳統資安工具 大多數設備的硬體規格非常精簡，無法安裝防毒、行為監控或入侵偵測工具。這讓企業無法用既有的端點防護方式延伸到 IoT 裝置，設備也難以即時阻擋惡意活動。 缺乏加密與身分驗證機制 許多設備仍使用簡易密碼或預設密碼。部分設備甚至未加密管理介面或通訊內容，使攻擊者可以在網路中直接攔截或控制設備。 事件紀錄有限或完全缺

OWASP 近期發布一份針對 AI 代理（Agentic AI）的 Top 10 風險清單。 從這份清單的內容來看，所呈現的風險型態其實透露出一個值得注意的趨勢： 當 AI 不再只是產生內容，而是開始執行行動，資安風險的性質正在改變。 何謂「AI 代理（Agentic AI）」 在多數既有的 AI 應用中，AI 的角色偏向「輔助決策」： 提供建議 產生文字 協助分析 是否採取行動，仍由人類決定。 但在被稱為「AI 代理」的架構中，可以觀察到三個明顯不同的特徵： 被賦予目標，而非單次提問 可自行規劃步驟與決策流程 能直接呼叫工具或系統執行動作 這使得 AI 的角色，從「建議者」轉變為「執行者」。 從 OWASP AI 代理 Top 10 所揭露的風險特徵 從 OWASP 所列出的 AI 代理 Top 10 風險內容來觀察，可以發現這些風險在型態上，與傳統應用程式或一般生成式 AI 的風險有明顯差異。這些差異並不集中於單一技術漏洞，而是反映出一種新的風險結構。 多數風險並非來自傳統意義上的漏洞，而是來自「被授權的行為」 其中一個明顯的共同特徵是，許多

React2Shell 漏洞曝光後，企業多半將其視為需要立即處理的技術事件，忙於版本確認與系統修補；但對一般使用者而言，這卻是一段難以理解、也無從判斷的過程。使用者不知道自己常用的網站是否受影響，更無法選擇是否繼續承擔風險。這樣的落差並非源於漠不關心，而是因為現代網路服務本就未替使用者保留選擇空間。React2Shell 不只是一個漏洞案例，更清楚揭示了當網站背後的技術出問題時，承擔後果的往往是毫不知情的使用者。 使用者不知道自己其實沒有選擇 對多數使用者而言，網站的存在方式其實相當單純。只要能登入、完成操作、達成目的，服務就被視為正常運作。至於背後使用了什麼技術、採用了哪些架構、是否存在潛在風險，這些資訊並不在日常使用的考量之中。這並不是使用者不在意安全，而是現代網路服務的設計，本來就假設使用者不需要理解這些細節。 React2Shell 事件清楚放大了這樣的現實。當漏洞被揭露時，許多使用者才意識到，自己每天使用的服務，可能建立在存在風險的技術元件之上。然而，即使察覺風險，使用者仍然缺乏實際選擇的空間，既無法要求平台立即修補，也無法切換到相對安

企業資安成熟度常被誤解為擁有越多工具就越安全，從防火牆、端點防護、漏洞掃描到 SIEM 系統，工具的數量似乎成了衡量標準。然而，當實際事件發生時，工具無法自動解讀威脅，也無法協調跨部門決策。SOC 團隊對事件的定義可能與 IR 團隊不同，IT 部門與風控部門對風險接受度存在差距，管理層與工程師對安全優先順序的理解也不一致。真正的成熟度在於整個組織對威脅、風險和回應的 認知一致性 工具多寡與資安成熟度的誤區 資安工具的數量並不等於安全的高度 。許多企業在部署多種資安工具後，誤以為安全問題已經解決。然而，工具只是協助蒐集資訊和提供防護的手段，它們本身並不會判斷風險或決策應對措施。如果 SOC 團隊將某個安全事件定義為低風險，而 IR 團隊卻認為該事件可能影響業務流程，缺乏統一標準就會導致誤判或延遲回應。同樣地，IT 團隊可能認為某些系統漏洞優先級低，但風控部門出於合規考量卻要求立即修補。當不同部門對事件的優先順序、風險接受度或回應措施有差異，即便企業擁有再多工具，也無法保證安全事件得到正確處理。 另一個誤區是過度依賴自動化功能。許多資安工具可以提供告

近來不少企業陸續收到看似正常的工作郵件，內容要求先建立 LINE 群組並提供QR Code，語氣自然，流程也符合日常工作經驗，乍看之下不像異常行為，卻在不知不覺中引導收件者做出高風險的配合。這類事件多半不是因為系統失效，而是企業在日常運作中，對「誰該判斷、誰該確認」缺乏清楚界線。當攻擊者理解企業的工作節奏，風險就不再需要複雜手法。 社交工程為何越來越難分辨 最近的社交工程郵件與過去印象中的詐騙手法已有明顯不同。它們不再依賴誇張的威脅或不合理的要求，而是刻意貼近企業日常工作的節奏，讓收件者在沒有明顯警訊的情況下，自然地配合後續行動。常見現象包括以下幾點。 • 內容看似單純的工作協助 信件通常不長，沒有複雜說明，也不附帶連結或檔案，而是以工作需要為由，要求配合某項安排，例如建立通訊群組或協助後續聯繫。這類請求本身並不突兀，反而與日常工作場景高度相似。 • 符合企業的協作模式 攻擊者明顯理解企業內部常見的 工作流程，例如跨部門合作、臨時任務交辦或專案溝通。當郵件內容符合這些既有模式時，收件者第一時間往往思考的是如何配合，而不是是否存在風險。 • 利用

企業的資安防護常聚焦於內部系統，但實際上，第三方供應鏈可能是最脆弱的一環。軟硬體供應商、SaaS 服務、外包運維或顧問服務，都可能成為攻擊者的入口。即便企業自身安全措施完善，供應鏈環節出現漏洞，也可能導致資料外洩、服務中斷或聲譽受損。企業需要了解供應鏈資安風險與常見威脅類型，並採取可落地的管理策略，降低第三方帶來的風險。 第三方資安漏洞的威脅 現代企業的運作越來越依賴第三方服務，軟體供應商、雲端平台、外包維運團隊、系統整合商和外部顧問都是日常營運的重要環節。然而這些外部夥伴所維護的系統、憑證以及更新流程，未必都能維持同等水準的安全標準。攻擊者深知企業之間的連結越緊密， 彼此之間的信任越高，入侵的機會就越大，因此供應鏈正在成為駭客最喜愛的攻擊目標 。 舉例來說，攻擊者滲透供應商後，利用其軟體更新機制散布惡意程式。企業通常信任正式更新並允許其直接進入核心系統，因此如果供應商的開發環境被操控，惡意程式便能藉由更新流程進入客戶的伺服器與網路。此外，許多 SaaS 平台透過 API 與企業系統整合，一旦 API 憑證管理不當，就可能被攻擊者截取，以合法身份

很多企業把資安重點放在防火牆、端點防護和入侵偵測上，卻忽略了一個核心風險來源：員工行為。無論是錯誤操作、社交工程攻擊，還是對外部設備或文件的過度信任，都可能讓企業安全防線瞬間瓦解。為了讓資安真正落地，企業必須同時改善人員意識、強化技術控管，並以清楚的流程當作支撐，形成一套能抵禦內外部威脅的整體機制。 員工行為是資安風險的重要來源 在多數企業的資安案例中，破口往往是員工日常工作中一個看似無害的動作。這些行為並非出於惡意，只是因為忙碌、習慣或疏忽，使風險在不知不覺間累積並爆發。 最常見的情況，就是 純粹的錯誤操作 所造成的風險。這類事件背後並沒有複雜的攻擊手法，而是員工自己在操作上發生失誤。像是有人在整理檔案時，誤把雲端資料夾設定成「所有人可讀取」，結果內部文件在網路上被任何人都能打開；也有人把機密文件寄錯收件人，甚至把敏感資料放進未加密的 USB 帶出公司，讓資料在外流動時毫無防護。還有些情況更常見，例如為了方便處理文件，下載了來路不明的免費工具，卻不知道裡面暗藏惡意模組。這些行為沒有攻擊者的誘導，是典型的人為失誤，但後果往往非常嚴重。 另一類常見

過去企業面對資安威脅，多半依賴傳統工具、固定流程與專業人力。只要補好漏洞、強化防火牆，似乎就能提升安全性。但近兩年情況急遽改變， 攻擊者開始大量利用自動化工具提升效率，不再需要投入大量時間設計攻擊；攻擊內容更逼真、速度更快、範圍更廣 。 企業端也逐漸導入智慧分析、行為偵測、自動化回應等新型防禦工具，希望以更快的節奏應對威脅。然而新的攻防格局不只是「工具升級」，而是整個節奏與遊戲規則的改變。企業不再只是面對駭客，而是面對「能快速產生攻擊手法的系統」。同時，防禦工具也越來越倚賴自動化決策，帶來效率的同時，也帶來新的信任與治理問題， 企業在 AI 資安時代必須誠實面對的核心挑戰。 AI 已成為攻擊者的新武器 你以為的威脅，速度比你想像快。 多數企業仍以為駭客攻擊需要高技術門檻、反覆測試、手工撰寫程式，但現今攻擊者的生態已完全不同。自動化工具的普及，使得攻擊者能以極低成本產生大量針對性的攻擊內容。過去需要花數小時或數天準備的攻擊流程，現在可能在數分鐘內就能完成。 首先， 社交工程攻擊的規模與真實度都大幅提升 。許多企業內部主管、財務人員、採購單位近期都遇

近年來，企業在防禦社交工程攻擊時面臨最大的挑戰，不再只是防堵惡意連結、仿冒網域或可辨識的可疑附件，而是「熟悉且可信」的內部情境被高度精準模擬，使得信任成為攻擊者最容易取得、卻也最難防禦的資源。根據資通安全署明確指出：駭客在社交工程中的核心策略，就是「扭曲人對組織、流程與熟悉人物的信任」，並利用這份信任進行更深層的滲透。這意味著，攻擊手法不再主打『陌生感』，而是有意製造『熟悉感』。在多數案例中，駭客並不需要突破複雜防線，只要成功誘使員工「主動開門」，攻擊便得以快速展開。 尤其 近兩年 AI 技術更使此趨勢急遽升級。深偽語音、仿冒主管口吻的聊天訊息、生成式 AI 打造的高仿真內部郵件，使攻擊者能輕易打造「100% 看起來合理」的情境。過去，駭客可能要花數天蒐集目標資訊，如今只需以公開資料加上 AI 建模，就能自動產生具備口吻特徵、格式相似度極高的假冒訊息。當攻擊者能用幾小時生成並大量佈署高度擬真的「內部溝通風格」，信任便瞬間從企業防禦的基礎變成最脆弱的破口。 更值得警惕的是，攻擊者不僅仿冒角色，更操控情緒。例如：「幫我快速處理這件事」「請你協助一下」

網路安全相當於現代企業的數位健康，從預防醫學的角度做好網路安全衛生是降低資安風險的最佳方法。

深入探討資安攻擊的根本問題，即使企業已投資知名資安產品和專業人員，仍無法完全防禦威脅。面對資安挑戰，企業需避免祈禱，轉而思考欠缺之處。文章介紹MITRE ATT&CK Framework，以駭客視角提供共通語言，定義14項戰術，包括偵查、執行、持續性控制等，助於理解威脅行為。

LockBit勒索軟體的霸道崛起，由1.0至3.0的進化軌跡。LockBit 2.0以Linux、VMware為攻擊目標，具高效率的加密與竊密速度，熟練運用合法工具掩飾非法行徑。LockBit 3.0更進一步，具備反分析、反偵察、合法工具操控等高階功能，攻擊範圍全球擴大。

企業資安最常見的10資安設定錯誤曝光！軟體預設、權限混淆、內部監控等關鍵錯誤，導致資安漏洞，企業應及早改進。主動防護和快速應變的新世代MDR服務成為企業資安的關鍵。尋求專業協助，定期檢測漏洞，是降低潛在攻擊風險的有效途徑。深度分析資安配置錯誤，提供實用建議，讓企業確保安全防線。

揭露你我生活中不為人知的供應鏈攻擊真相！從 KMPlayer 到 WinRAR，第三方軟體驚人的安全漏洞讓你目瞪口呆。駭客如何透過你日常使用的軟體入侵你的電腦？不只企業，就連你我身邊都可能已成攻擊目標！WIZON 資安團隊為您剖析供應鏈攻擊真實案例，教您如何懂得自我保護。

供應鏈攻擊的關注度不斷增加,Gartner將其列為2022年的第二大安全威脅，預測到2025年全球有45%的組織將經歷供應鏈攻擊，82%的CIO認為其企業容易受到此類 威脅。我們來探討供應鏈攻擊的原因以及如何防範這些風險，包括攻擊類型和攻擊目標。 建立強大的供應鏈，建議採取措施。

勒索攻擊的目標！在國內，絕大多數的中小企業及SOHO族更是將許多工作上的資料跟服務放在NSA裝置上，而在缺乏保護下就容易出現資安災害事故，今天就來聊聊NAS常見的威脅及建議做法！