台灣資安新聞彙整 2022.04.25-05.01

巨變時代，掌握資安資訊必不可少！HENNGE 為您彙整每週資安新聞，快速洞悉產業趨勢、資安新知！

04/24

Pwn2Own Miami for 2022 落幕，研究人員找到 26 個位於工業控制系統的零時差漏洞

因為工業控制系統中有太多唾手可得的成果，這是個安全性落後許多的領域。 在這次以工業控制系統為主題的競賽中分為 4 個類別，包括控制伺服器、開放平臺通訊統一架構（OPC UA）伺服器、資料閘道，以及人機介面。

https://www.ithome.com.tw/news/150589

04/25

日本的網路媒體公司告知他們的商業夥伴禁用 PPAP

日本網路媒體公司 IT media 近日向商業夥伴表示他們會封鎖任何帶有密碼保護壓縮檔的郵件，會有這樣的考量是出於近期頻傳的 Emotet 攻擊事件

https://www.itmedia.co.jp/news/articles/2204/25/news135.html

2,000 筆帶有個資的會議紀錄被意外發佈在網路上

日本的社群服務商 Mechu 表示他們意外在自家網站上洩漏了 2,000 筆含有個資的會議紀錄。Mechu 澄清這是由於內部員工的錯誤操作所為。

https://www.itmedia.co.jp/news/articles/2204/25/news184.html

04/26

多個公司推廣雲端的 CVE 系統

Common Vulnerability and Exposures (CVE) 這個用來管理和追蹤軟體的漏洞和威脅已經使用了 22 年了，可是 CVE 這套系統當初並沒有針對雲端服務的提供者去做設計。目前如果雲端服務提供商有漏洞和錯誤時，並沒有留下很好的追查記錄。雖然大部份的雲端服務都很快的做出反應，但卻缺少了像 CVE 系統裡有系統的整理和管理。
https://threatpost.com/cve-cloud-bug-system/179394/

一間日本的本土電商網站遭到洩漏 1,000 筆信用卡資訊

由宇都宮有線電視營運的電商網站宣布平台有大約 975 筆的信用卡資訊遭駭，且有一部分可能被用於非法用途。電視台表示，他們發現有些駭客會透過設置後門程式的方式發送發票訊息給使用者，從而進行駭客行為。

https://www.itmedia.co.jp/news/articles/2204/26/news121.html

04/27

勒索軟體的索取金額越來越高，但勒索軟體門檻也越來越高

根據 Sophos 的調查，近期的勒索軟體的索取金平均在812,260美金，跟 2020年的 ​​170,000美金比起來足足高了四倍之多。雖然大部份的不肖份子使用已公佈的軟體漏洞即可以入侵企業的系統。但是 Sophos 的研究者指出，大部份的企業會針對資安專家的建議去做修正，讓勒索軟體想要達到目標變得越來越困難。勒索軟體的情況可能會越來越好轉。
https://www.zdnet.com/article/ransomware-demands-are-growing-but-life-is-getting-tougher-for-malware-gangs/?&web_view=true

可口可樂傳被勒索軟體攻擊，竊走 161GB 資料

飲料大廠可口可樂（Coca-Cola）疑似遭到名為Stormous的勒索軟體攻擊，駭客宣稱竊走161GB資料。駭客並在暗網上兜售，同時公布了管理檔、電子郵件、帳號密碼、以及支付相關的文件及壓縮檔等13個檔案。

https://www.ithome.com.tw/news/150644

04/28

仍有上萬應用程式存在 Log4j 漏洞

Apache Log4j 漏洞自去年底揭露以來已過了4個月，不過安全廠商發現仍有上萬應用程式尚包含舊版Log4j。而一項數據顯示，臺灣下載舊版 Log4j 的比例高達80%，超過其他主要國家。

https://www.ithome.com.tw/news/150656