CYBERSEC 2025 臺灣資安年鑑─全球地緣政治衝突激化，國家級駭客鎖定企業

<簡介>

掌握近期企業重大資安事故以及資安防禦觀念，有助於企業了解即將面對的各種挑戰以及如何因應。

<推薦序>

◎越演越烈的網路資安威脅，以及全球地緣政治衝突，為人類社會的發展帶來極大的阻礙，但並非束手無策。我們要有足夠的心理韌性去迎接這股潮流，並且具備見招拆招、見機行事的敏捷性與彈性。──李宗翰∕iThome電腦報週刊副總編輯

<作者序>

◎慢跑是我目前唯一長期固定從事的運動，多數天氣變化均不能成為阻礙我運動的理由，除非遇上打雷閃電、以及颱風這類大型致災氣象。平時很少外出跑步的人們，可能遇到吹大風、下大雨、低溫等狀況，就會打退堂鼓，但對於如我一般不認真但持續的臺灣業餘跑者而言，雨中慢跑雖然有點狼狽，但其實不會有太大影響，因為就算穿著的衣服、褲子、襪子都淋濕，感到有點寒冷，只要身體持續運動、不失溫，仍有足夠體力，還是能夠繼續運動，而且，跑步結束後趕快去洗澡更衣，就能回到原本的生活作息，並不會因此著涼、感冒。相對而言，日常被其他人傳染濾過性病毒，而得到感冒的機會大得多了。
更何況，身處在這個變化莫測、苦樂輪轉不休的世界，我們可以樂觀看待各種改變，因為雖然無法每天都晴朗，但也不會每天都下雨，而且，晴天、多雲、雨天都會帶來正面、中性與負面的影響，也各有其存在的必要。晴天跑步雖然不必擔心身體淋濕，但在熾熱的陽光之下，也面臨皮膚曝曬與水份大量流失之苦；雨天跑步的身體不舒服又是不同面向，不僅需設法習慣潮溼、涼冷的感受，衣褲鞋襪因為緊黏在身上、持續摩擦，而可能造成破皮、燒檔、水泡等狀況，但好處是不需忍耐身體與外在環境的高溫，也不需擔心過度曝曬對皮膚的傷害；至於多雲，雖然沒有前兩種天氣帶來的麻煩與不便，但如果遇到沒風、濕氣過重的環境狀態，還是要面對悶熱之苦。
其實，無論面臨何種天氣，準備好適當的因應對策，就有機會能夠減緩不適感。舉例來說，如果我們想要降低陽光、高溫的影響，可以改變運動的時間、地點，像是避開相對較炎熱的時段，尋找有更多遮蔽物的跑步路線；擔心下雨會著涼、影響視線，以及造成擦傷，我們可以戴上帽子、穿上長袖運動衣褲，以及在可能造成劇烈摩擦的皮膚部位貼上醫療透氣膠帶，增加抵抗力與防護力。
這令我想到越演越烈的網路資安威脅，以及全球地緣政治衝突，為人類社會的發展帶來極大的阻礙，但並非束手無策。許多人都對未來感到無力、悲觀、甚至絕望，然而，數千來的人類世界從來沒停止改變，當大量歹徒、狂人從每個國家地區崛起，關於民主、自由、法治的良善價值該如何守護與弘揚，再度成為我們每個人都必須面對、承擔，以及重新建構的議題。
對於極端份子而言，他們有著各式理由埋怨、憤恨這個世界的不公義，想要不計任何代價地討回他們認為的公道。對於一般人而言，許多過去我們認為理所當然的價值，背後其實隱藏與累積各種沒被注意到的問題，導致這些變成有心人士操弄、扭曲，甚至抹黑的對象，如今只能設法從即將或正在爆發的大混亂變局當中，進行深刻的反思與重建。隨著多方對峙情勢日益劇烈、擴散，我們要有足夠的心理韌性去迎接這股潮流，並且具備見招拆招、見機行事的敏捷性與彈性。

<內容試讀>

◎◎對於現代人而言，網路資訊環境日益複雜，大家都深有所感。近年來，從智慧型手機的普及、雲端服務的盛行，一直到疫情期間居家辦公的需求激增，現在更是有生成式AI的迅速崛起，增添更多變數。
這些新技術與態勢的轉變，不僅是百年難得的機遇，也伴隨全新的風險，導致企業組織背後的IT與資安單位，面臨前所未有的挑戰，例如，BYOD與行動應用的普及、混合雲與多雲架構的管理，以及遠端存取成駭客攻擊焦點等。
如今，還有生成式AI加劇DeepFake問題，也帶來AI幻覺等不同風險，攻擊者亦濫用新興AI技術，發動更多逼真網釣、認知作戰內容，還能利用AI強化攻擊系統與竊取資料的技術。
隨著2025年的到來，我們該如何看待現在的網路安全局勢變化？許多專家都會引用世界經濟論壇（WEF）發布的全球網路安全展望報告，結合全球經濟角度，從更多元的視野審視此一問題。
你對網路威脅的想像是什麼？首先可能是「網路詐騙」消息，因為時常出現在新聞報導，這並非臺灣獨有的挑戰，所有國家與地區皆面臨各式各樣的網路詐騙挑戰，並對經濟帶來極大影響。
例如，全球防詐聯盟（GASA）每年都會發布全球詐騙現況報告，指出各國面臨不同的主流詐騙情境與態勢。以2023年為例，全球詐騙損失超過1兆美元，有些國家的損失甚至達GDP的3%。
根據美國聯邦調查局（FBI）旗下網路犯罪投訴中心（IC3）的估計，2023年美國因網路犯罪造成的損失，已超過125億美元（約4,100億元）。光是「投資詐騙」一項就有3.9萬案件被受理，平均每日108件，造成45億美元損失，躍升為近兩年最猖獗的網路犯罪型態。此外，針對企業的「商業電子郵件詐騙（BEC）」依然嚴峻，2.1萬受理案件就造成近30億美元損失，並且持續比前一年度更高，相當驚人。
對於企業政府而言，關注的網路安全風險其實有更多的類型。
以我們每年進行的iThome大調查結果來看，區分為網路釣魚／社交工程攻擊、資安漏洞濫用、勒索軟體資安事故，以及BEC詐騙、被植入竊資軟體或後門木馬、瀏覽惡意網站、DDoS攻擊等。而近年還有GenAI風險管控的做法，亦成為臺灣企業最新的關注重點。
若從資安業者揭露的種種威脅態勢來看，也涉及幾項關鍵議題，包括：APT（進階持續性攻擊）、供應鏈攻擊、零時差漏洞利用的威脅更加嚴峻，以及勒索軟體即服務（RaaS）、網釣即服務（PhaaS）盛行帶來的影響等。
上述的區分也突顯我們面臨的資安威脅，種類相當廣泛，彼此之間可能也有盤根錯節的關聯。
原因在於，每個威脅或技術層面，都有各自複雜性的議題，而且每一項都會隨著時間而持續演進，或是因為其他新技術的出現，讓老舊攻擊手法又升級。
不僅如此，在全球技術趨勢轉變的影響下，例如，IT與OT的融合，雲地混合的場景，也都持續帶來不同層次的資安管理挑戰。 
縱觀世界資安情勢的變化，WEF發布的全球風險報告，多年來受到非常多人的引用，而根據最新的2025年度報告指出，全球10大風險雖然仍以環境風險為主，但有3項科技風險的威脅大增，成為各界關注焦點。
尤其是「錯誤資訊與假訊息」因AI出現大幅加劇其風險，另兩項風險也不容忽視，分別是「網路間諜活動與戰爭」，以及「AI技術的不良後果」。
在此同時，WEF亦發布《2025年全球網路安全展望》報告，針對網路安全的複雜性該如何解讀的問題，特別針對6大因素探討。這點令我們十分印象深刻，因為可以帶給大家不同的審視角度。
這些因素分別是：網路犯罪技術精進、地緣政治緊張局勢、供應鏈相互依存關係、法規要求、AI與新興科技、網路安全技能缺口。更重要的是，它們同時也在交互影響，是造成網路安全日益複雜的主因。
換言之，目前我們所面臨的資安威脅態勢，不只是網路犯罪技術持續進化，形成更加精密的攻擊模式，另也降低攻擊門檻而擴大攻擊規模，加劇資安威脅。還有地緣政治的緊張，使整體環境更加充滿變數，供應鏈依賴程度的增加，也導致風險變得更不透明且難以預測，再有AI與新興技術的快速發展，又帶來了新的資安弱點與威脅。
另外，全球法規不斷增加與變化，這也造成企業面臨更高的合規壓力，在此同時，上述種種問題也都受到資安人才技能短缺的影響，造成進一步削弱了企業的風險管理能力。
從WEF統整的上述因素來看，對照iThome過去一年的資安新聞報導，有許多相關實際案例呼應。
例如，在地緣政治緊張方面，對網路安全生態系帶來顯著的影響，國家資助駭客組織（State-Sponsored）的網路間諜攻擊，這十年越加嚴峻。
例如，2024年底，多國電信業遭中國駭客組織入侵的消息，再次突顯其嚴重性，尤其美國同時發現多家電信業遭中國駭客Salt Typhoon入侵；還有許多精心設計的供應鏈攻擊、零時差漏洞利用的入侵與竊密攻擊事件，背後多半也都是國家級駭客所為。
微軟在2024年10月發布的2024年度數位防禦報告，也提供相關證據。這當中揭露2024年最常被國家級駭客鎖定攻擊的國家，美國的情況最嚴重，其次為以色列、烏克蘭、阿拉伯聯合大公國、英國與臺灣、南韓。我們認為，這也是反映地緣政治的衝突局勢。
隨著網路威脅進一步發展，針對國家關鍵基礎設施（CI）的攻擊，同樣持續引發各種危機。尤其是與OT安全有關油、水、電產業，雖然全球都更加重視這方面的資安，但事件仍然不斷發生，像是2024年10月，美國最大水利公用事業American Water Works遭駭客入侵。
甚至，過往並未受到熱烈關注的海底電纜，如今也成為新的實體安全焦點。因為，位於波羅的海的海底電纜，先前發生遭中國船隻疑似蓄意切斷的事故，臺灣最近幾個月以來，也面臨同樣的問題，像是臺馬與臺澎的海纜，都發現遭中國船隻疑似蓄意破壞。
在供應鏈依賴導致的重大危機方面，2024年7月的CrowdStrike軟體更新出包，造成全球電腦大當機就是一例。由於其用戶數量龐大，產品更新出問題而造成許多企業Windows電腦當機，同時也衝擊許多關鍵民生服務的運作。
這次事件的發生，使得多項議題受到關切。例如，面對駭客入侵越來越刁鑽的態勢，促使資安偵測技術須深入作業系統的底層，這也導致作業系統平臺暴露在更多的風險之下；再者，全球電腦大當機事件，造成金融、零售、航空服務大亂，甚至影響醫療、媒體、鐵路運輸與911緊急救，因此IT系統風險過於集中的議題，更是受到各界探討。
供應鏈日益複雜與高度依賴狀況依舊
此外，若從資安研究人員持續發布的漏洞攻擊研究結果來看，亦顯現出當今資訊系統的複雜程度不斷提升。而且，許多缺乏安全開發設計的老舊系統仍在使用，甚至不安全的底層元件，異質系統之間的溝通聯繫，也導致企業難以全面掌握供應商的資安狀況。
關於網路犯罪技術持續精進，2025年我們要注意哪些重點？這有兩個面向，一是網路犯罪商業模式的持續演進，另一是AI助長網路犯罪。
首先，WEF指出，網路犯罪即服務（Cybercrime-as-a-Service，CaaS）已成全球網路犯罪市場的主流商業模式。
雖然WEF沒有對此更深入解釋，但事實上，我們在許多資安業者的研究揭露中，已經看到太多這方面的消息，有多種網路犯罪商業模式的興起到普及，包括：勒索軟體即服務（RaaS）、網釣即服務（PhaaS）、詐欺即服務（FaaS），分散式阻斷服務（DDoS）攻擊也有租賃服務等，還有專門販售入侵管道的初始入侵掮客（IAB），以及與存取即服務（AaaS）也成蓬勃發展的黑色產業。
過去大家可能分別看待網路犯罪議題，但若是通盤審視，我們確實可看出企業組織面臨這類挑戰的威脅，已經越來越巨大。雖然已有多國執法單位聯合資安業者採取行動取締，但現階段仍感到如同野火燒不盡的狀況一般。
較特別的是，WEF另還指出網路犯罪與傳統組織犯罪的結合之後，可能改變網路犯罪的性質，對社會帶來更大的影響。像是東南亞地區有許多人被誘拐至詐騙工廠拘禁，並且從事個資竊取、假訊息傳播與社交工程詐騙。
在AI助長網路犯罪方面，WEF指出，攻擊者利用AI強化網釣攻擊與社交工程攻擊的情形，在2024年已越來越多見；生成式AI的快速發展，也讓惡意軟體的開發、自動化漏洞的利用，以及攻擊的部署，都變得比過去更容易，使得我們身處的威脅態勢更嚴峻。
以Deepfake技術為例，相關的詐騙將嚴重衝擊企業與個人，尤其是偽冒企業高層影像、聲音與文字風格的情形。我們在2024年也實際看到威脅事件，有攻擊者利用Deepfake技術來實施傳統的商業電子郵件詐騙（BEC）。
2024年1月，香港警方指出一家跨國公司香港分行員工遭遇Deepfake詐騙，原因是駭客寄送釣魚郵件、假冒總部財務長召開視訊會議，導致員工依照上級指示轉帳，結果被騙走2,500萬美元（約8.2億元）。到了2024年5月，英國工程公司Arup證實此次資安事件。
我們認為，此案的特殊之處在於，當人類演進到生成式AI時代，攻擊者已經實際運用這項技術，將BEC詐騙手法重新包裝。不同於過去只是透過郵件管道指示變更匯款帳號，現在還能利用經過偽冒、操縱的影像與聲音，使受害者誤以為他們正在與真正的同事對話。
在地緣政治緊張、供應鏈依賴，以及網路犯罪技術精進之外，WEF還強調其他影響網路安全複雜程度的構面，分別是AI與新興科技、法規要求，以及網路安全技能缺口。
以AI與新興科技而言，除了前面談到新的生成式AI助長網路犯罪，還有生成式AI本身風險與立法方面的議題。WEF認為，企業組織應用生成式AI已成顯著趨勢，但普遍仍缺乏安全AI部署。
以法規要求而言，大多數企業均認為，資安與隱私法規能幫助降低企業生態系統的風險，然而，也有許多企業認為法規的日益繁瑣與碎片化，因此，確實帶來極大的合規挑戰。
至於資安技能缺口方面，全球過去幾年已在關注這樣的問題，WEF指出2024年人才短缺問題還會加劇，因為資安威脅持續擴大，導致企業對於專業資安人才的需求激增，但市場供應仍然嚴重不足，進一步削弱企業的防禦能力。
整體而言，資安領域的變化極快，挑戰也日益嚴峻，我們從全球資安事故與災情的發生與揭露，已經深刻體認到這些變化，對照WEF年初提出從上述六大構面的交互影響，同樣顯現其背後的複雜程度。