新的一年到來,讓我們快速回顧2025年12月的資安新聞,本月有3大議題最值得關注,分別是網釣盜刷、產品資安與漏洞攻擊的整體態勢,還有國內外重大資安事故與AI Agent相關風險持續引發重視,而隨著年度更迭,2026年關鍵資安趨勢的發表同樣不容我們錯過。
(一)打擊日益氾濫的網釣盜刷威脅
在打擊網路詐騙方面,中國網路犯罪集團鎖定全球發動簡訊釣魚,以社交工程手法竊取全球信用卡資料,並且進行盜刷,成為不可輕忽的重要消息,近來我們報導事件嚴重到Google針對中國犯罪組織主動採取法律行動就是一例,包括11月中旬、12月中旬分別提告Lighthouse、Darcula釣魚即服務平臺(PhaaS)及幕後組織,突顯此類跨國詐騙問題的嚴重性。
簡單來說,中國駭客架設的Lighthouse釣魚即服務平臺,以及Darcula提供的神奇貓貓(Magic Cat)釣魚工具包,提供涵蓋數十個國家的釣魚簡訊腳本(可假冒當地品牌與語言),讓其他犯罪者在租用後,能迅速鎖定全球民眾發動網路詐騙。釣魚簡訊內容經常以「包裹卡關」或「未繳通行費」為誘餌,透過Apple的iMessage與Google的RCS發送釣魚簡訊給受害者。事實上,過去我們曾報導相關威脅的猖獗情形,例如,資安公司Netcraft揭露Lighthouse由開發者WangDuoYu維護,其平臺釣魚範本可冒充50國204個品牌名義來發動網釣;臺灣研究人員揭露2025年中國信用卡盜刷網釣即服務暴增,Magic Cat神奇貓貓主要提供偽冒全球郵政物流的主題,訂閱者數量超過3,000人。如今Google期望結合法律手段打擊此類威脅。
還有4則詐騙防範新聞也值得關注,例如,⑴數位發展部式宣布「網路詐騙通報查詢網」升級至3.0版本,納入更多元的通報和情資來源,開放縣市政府和第三方情資單位的通報,並強調從自主AI到情資共享;⑵政府打詐再祭出新手段,多數國際平臺業者有聯繫管道配合國內檢警偵辦案件,近期小紅書由於未配合,內政部依「詐欺犯罪危害防制條例」第42條,處以停止解析一年的處分;⑶美國FBI示警,指出社群平臺出現大量虛擬綁架,有不肖人士張貼以AI等工具製作的照片,並透過簡訊或文字訊息聯絡民眾,謊稱綁架其親人;⑷南韓要求明年3月起開通手機門號,需經過臉部辨識驗證身分,也是為了因應詐騙威脅而來。
(二)產品資安應對成產業頭條焦點
產品漏洞持續被大量揭露,全年登記在案的CVE漏洞數量逼近5萬個,比去年(40,303個)更高。根據CVEdetails.com統計,全年CVE數量總計48,448個,等於每天都有132個已經存在的漏洞被揭露。
2025年12月,我們針對安全漏洞議題,進行產品資安封面故事報導,不僅談及CVE溝通機制、PSIRT、Secure by Design、軟體物料清單SBOM,以及全球產品資安立法態勢,同時也報導3家廠商自身推動的實務經驗,讓更多臺廠理解產品資安制度該如何落實,以及推動這些機制的必要性。
關於其他重要產品資安消息,在Bug Bounty方面,資安院在本月揭露國家級「產品資安漏洞獵捕計畫」的進展,有11家廠商參與,包括研華科技、亞旭電腦、華碩電腦、華芸科技、正文科技、威強電工業電腦、四零四科技、威聯通科技、群暉科技、兆勤科技、勤晁科技,並有超過150位本土資安研究員投入,促進研究人員與廠商之間的合作與互信。由於近年韓國KISA已在推動全國性「漏洞通報獎勵制度」,臺灣在此方面的發展亦備受關注。
在Secure by Design方面,有2則重要焦點:一是美國CISA推動Secure by Design Pledge,全球多達340家企業簽署此項承諾,臺廠也有3家業者響應,包括群暉科技、趨勢科技、合勤科技;一是MITRE公布2025最危險軟體弱點前25名(CWE Top 25),提醒開發者應在開發源頭排除常見弱點類型,避免產品帶著資安漏洞上市。
(三)React2Shell漏洞攻擊威脅擴大
本月最受矚目的漏洞攻擊事件,莫過於React開發團隊修補的滿分漏洞CVE-2025-55182(React2Shell),在漏洞公開僅數小時內,AWS便示警,發現多個中國國家級駭客組織鎖定此已知漏洞來攻擊,後續還有北韓駭客與Mirai殭屍網路也相繼加入利用行列,Google威脅情報小組更發現至少8個中國駭客組織正積極參與這場收割行動。儘管目前尚未有受害企業正式承認遭駭,但根據Palo Alto Networks Unit 42的情資估計,全球至少50家企業遭受入侵。
零時差漏洞攻擊情勢同樣嚴峻,攻擊者持續鎖定邊緣裝置、作業系統、函式庫發動攻擊,進而入侵企業與特定人士,引發業者緊急釋出緩解與修補。包括SonicWall的SMA1000 AMC、WatchGuard的Firebox防火牆、思科電子郵件設備SEG、SEWM(Talos指出是中國駭客所為)都被針對。其他被鎖定的還有Git的伺服器Gogs、微軟Windows作業系統、Google Chromium ANGLE元件、Apple WebKit等,都出現零時差漏洞攻擊情形。
另一方面,在促進企業修補漏洞上,我們注意到英國國家網路安全中心(NCSC)提出新作法,將透過公開資訊與可觀察的外部行為,並與Netcraft合作,主動向企業發送漏洞預警通知信,促進漏洞修補,因應部分企業對自身曝險掌握不足的問題。
(四)國際重大資安威脅事件
在漏洞攻擊事件之外,國際間還有多起資安事故引發關注,特別是水利機關、電商與郵政領域的事件,還有供應鏈風險的消息,我們整理如下:
●羅馬尼亞水務局遭勒索軟體攻擊,影響近1000個ICT系統,駭客濫用BitLocker將檔案加密。
●韓國大型電商平臺酷澎的資料外洩事件頻頻登上新聞版面,後續該公司向受影響南韓用戶提出賠償,以購物券形式提供每人5萬韓圓(1,092臺幣)。
●法國郵政(La Poste)遭親俄駭客組織NoName057發動DDoS攻擊,導致其所有線上服務暫停運作,包括網銀、App、網站與數位身分服務等都受影響。
●義大利渡輪Fantastic疑似因間諜行動被企圖植入惡意程式,法國執法單位在港口登船逮捕嫌犯,外電稱可能與俄羅斯相關。
●資料分析服務公司Mixpanel遭ShinyHunters駭客組織攻擊,事件延燒至成人網站PornHub,該網站隨後證實部分付費會員的分析資料可能受到影響,突顯第三方供應鏈風險問題。
(五)臺灣上市櫃重大資安事件
視線轉回國內,本月共有8家上市櫃公司在公開資訊觀測站發布資安相關重大訊息,其中有兩個狀況受關注,一是關於炎洲與炎洲流通,再次出現同集團兩家公司同日發布資安重訊,一是三陽子公司南陽實業,攻擊者入侵後還發送簡訊給受害企業的客戶,對受害企業施加壓力。
●第一週2起,大樹醫藥公告部分檔案遭到勒索軟體加密;久裕興業科技公告部分伺服器資料遭加密或刪除。
●第二週3起,台郡科技公告資訊系統遭受駭客網路攻擊;炎洲與炎洲流通在同日相繼表示收到資訊系統遭受勒索病毒攻擊訊息。
●第四週3起,三陽工業公告子公司南陽實業有部分資訊系統遭駭客網路攻擊;信邦電子公告集團與海外子公司遭不明駭客入侵,伺服器資料被惡意加密;至上電子公告資訊系統遭受駭客網路攻擊。
此外,鴻海旗下鴻騰精密在香港證交所公告集團資訊系統遭入侵,勒索軟體組織INC Ransom聲稱是其所為。
還有2起事件亦引發關注,華碩傳出手機相機部分影像處理原始碼流出,該公司針對此事發布重訊說明回應,是某供應商遭駭;威聯通傳出myQNAPcloud的內部存取權限遭駭客取得,該公司回應指出是單一用戶的舊款設備因設定不當遭入侵。
(六)AI代理10大資安風險首度出爐
隨著AI瀏覽器與AI代理在2025下半年快速發展,本月OWASP首度公布AI代理的10大資安威脅,其中排名前三的風險情境最受關注,包括「Agent Goal Hijack」、「工具濫用及漏洞利用」,以及「身分與特殊權限的濫用」。在此同時,也有不少研究人員揭露這方面的潛在威脅,試圖在問題演變成大規模災難前通報並揭露問題,包括近期揭露的GeminiJack與PromptPwnd手法,顯現攻擊者可透過濫用CI/CD流程或RAG檢索機制,竊取企業金鑰與敏感資料,還有IDEsaster類型漏洞與AI瀏覽器連結雲端服務時發出「禮貌性提示注入」的研究。還有不同AI風險需要留意,像是發現市面上有4款擴充程式,會監看、記錄並傳輸使用者與AI的對話。
另一方面,包括OpenAI、Google也各自公布其AI安全進展,例如,在ChatGPT Atlas瀏覽器方面,OpenAI開始以自動化紅隊演練發現新型攻擊樣態,納入對抗式訓練,減少代理執行任務時被誤導的風險;Google針對Chrome的AI代理式瀏覽能力提出安全架構,強調將來源隔離與同源政策等原則延伸至代理式瀏覽領域,並建置自動化紅隊系統,透過沙箱化惡意網站測試 Chrome 代理人的安全性。
(七)2026年重要關鍵趨勢
在企業如何落實資安推動方面,本月我們報導3則重要新聞,分別探討臺北市資訊局的資安治理實務,說明零信任架構如何落實到多個層面;國泰金控分享從軟體供應鏈安全延伸至開源治理的經驗,包括打造開源套件管理平臺並成立開源審查委員會;以及永豐金控揭露其多AI代理策略,強調將安全基礎建設與AI治理前置化。此外,還有多項2026年關鍵趨勢也陸續揭露,同樣是企業與產業不容錯過的重點。
●身分與存取管理(IAM)需求攀升:隨著AI與Agentic AI快速成長,其產生的Token往往缺乏管理機制,加上NHI(非人類身分)與機器身分暴增,風險亦隨之提高,市場研究機構IDC預期,在2026年之後,將帶動人類與機器身分管理IAM相關產品及服務市場成長。
●資策會公布10大AI關鍵趨勢:其中兩項趨勢與資安有關,包括:需留意網路犯罪服務Disinformation-as-a-Service(不實訊息即服務)的興起,以及強調以信任為核心的AI風險管理──負責任的AI。
●縮短憑證有效期限:這方面已是產業共識,Let’s Encrypt公布將於2026年分階段調整相關措施,包括導入新一代Generation Y憑證簽發階層等。
●Passkey無密碼推動:FIDO聯盟在臺說明Passkey推動未來3大發展方向,包括:優化使用者體驗,改善不同瀏覽器、裝置間流程不一致的問題;強化整體安全設計,逐步淘汰知識型驗證(KBA),降低被濫用風險;深化企業部署能力,推動企業環境的同步與裝置管理機制。
●人工智慧基本法(AI基本法)通過:立法院在12月23日通過此法,顯示國內在相關立法方面已有實質進展,但如何接軌國際是問題,單靠分類卻不分級處理,是否能發揮管制效果?AI治理的推動仍面臨很大挑戰。
【資安週報】1201~1205,臺灣有6家業者分別傳出遭勒索軟體攻擊的消息
在2025年12月第一星期資安新聞中,最多人關注的是勒索軟體針對臺灣產業攻擊的狀況,有6家業者遭入侵;韓國金融業前陣子亦遭受勒索軟體Qilin襲擊,如今指出是當地MSP業者GJTec遭駭成為入侵管道,此供應鏈攻擊導致超過20家資產管理公司的資料遭竊,研判是北韓國家級駭客發動
【資安週報】1208~1212,React2Shell漏洞遭大規模利用,攻擊活動升溫
回顧2025年12月第二星期資安新聞,React2Shell漏洞攻擊態勢擴大成為主要新聞焦點,另需特別關注的是,Git伺服器Gogs有零時差漏洞被利用,且目前尚未釋出修補;在資安事件方面,國內有傳出4家企業遇害,其中炎洲及其子公司炎洲流通的揭露格外引人關注,因為這又是集團兩家公司同遭資安事件的情況
【資安週報】1215~1219,零時差漏洞攻擊鎖定思科與SonicWall產品。IDC預期2026年機器身分安全風險增加
回顧2025年12月第三個星期資安新聞,駭客鎖定思科郵件設備、SonicWall防火牆發動零時差漏洞攻擊最受矚目,今年全球CVE漏洞已達4.5萬個再創新高的消息也引發關注;資安產業發展方面,2026年即將到來,IDC預期機器身分安全風險增加,帶動IAM市場成長
【資安週報】1222~1226,羅馬尼亞水務局近千臺電腦遭勒索軟體攻擊,攻擊者濫用BitLocker將檔案惡意加密
2026年即將到來,在2025年12月第四個星期資安新聞中,有3家上市公司發布資安事故重訊引發關注;國際方面,則傳出羅馬尼亞水務局近千臺電腦遭勒索軟體攻擊,值得注意的是,攻擊者在這起事件濫用BitLocker加密保護機制進行惡意加密
文⊙羅正漢
【2025年11月資安月報,「小烏龜」資安風險恐衝擊國家安全。網路詐騙防範挑戰備受關注】
【2025年10月資安月報,AI助攻漏洞防禦,自動化漏洞發現與修補快速崛起】
【2025年9月資安月報,臺灣企業組織的資安預算創新高,總統公布資安法修正通過】
【2025年8月資安月報,駭客鎖定Salesforce用戶,語音網釣與第三方應用程式成主要破口】
【2025年7月資安月報,語音網釣與ClickFIX網釣日益嚴峻】
【2025年6月資安月報,中華電信憑證失去瀏覽器信任,以伊戰事引發網路攻擊】
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2026-01-02