goldennet

📊資安署5月月報：政府機關面臨組態設定與入侵攻擊雙重威脅

根據資安署5月資通安全網路月報，政府機關本月蒐集資安聯防情資共9萬2,632件，較上月大幅增加近2萬件。威脅類型以資訊蒐集最多，占35%，攻擊手法包括掃描、探測與社交工程；其次為入侵攻擊，占34%，以及入侵嘗試，占20%。

資安事件通報部分，5月共有144件，較上月增加64件。實兵演練發現的不安全組態設定、注入攻擊與加密機制失效三者合計占通報58.33%，反映網站組態疏失已成政府資安防線的關鍵弱點，極需加強系統配置與權限管理。

📚 引用來源：資安人科技網新聞，〈資安署25年5月資安月報：情資蒐整量暴增 HiNet冒名釣魚攻擊現蹤〉，發布日期 2025 年 6 月 23 日

近期資安署監測發現，駭客冒用 HiNet 郵件服務名義，透過遭駭帳號向政府機關寄送釣魚郵件，偽稱信箱空間不足，誘導收件者點擊連結。攻擊者利用電信品牌的可信度提高社交工程攻擊成功率。另一起案例中，某機關網站將登入帳密以 GET 方法明文傳送，且日誌檔可外部存取，導致帳號外洩；演練期間更發現多個機關網站存在 phpinfo、.htaccess 等不當組態暴露，提升駭客攻擊前偵查成功機率。

資安防護需多層次整合，從信箱入口到應用存取全面強化!

政府與企業機關應正視社交工程與組態疏失交織的風險，採用新世代安全解決方案，主動預防、即時偵測、有效阻斷，打造韌性資安環境。