趨勢科技發布「2014年第三季資訊安全總評」 詳述前所未有的漏洞和最新的精密攻擊技巧

【2014 年 12 月 26日台北訊】今年第三季最重要的資安事件就是出現了一個新的重大漏洞：Shellshock，此威脅危及全球五億台以上的伺服器和裝置，其網路攻擊數量和精密度持續上升的發展趨勢，在趨勢科技 (東京證券交易所股票代碼：4704) 最新的資訊安全總評季報「漏洞攻擊：日漸擴大的攻擊面」當中有詳細的說明。此外該報告也指出，網站平台和行動裝置 App 程式的漏洞大幅增加，導致企業和消費者皆遭遇嚴重的攻擊。

趨勢科技資深技術顧問簡勝財表示：「根據我們所發現的證據顯示，我們正面臨網路駭客行動迅速與漏洞層出不窮的雙重挑戰。在這樣的情勢下，我們必須接 受一項事實，那就是資料外洩事件將源源不絕，而且無可避免。因此，做好萬全準備就顯得非常重要；同時，身為資訊安全廠商，我們必須不斷提醒企業和消費者， 讓他們對持續上升的攻擊數量及精密度有更深刻的認識。若能認清網路犯罪集團無時無刻不在挖掘各種裝置和平台可用的漏洞及潛在弱點，亦有助於我們面對這些挑 戰，讓科技發揮正面的力量。」

第三季的報告中詳述了一些最新的漏洞，例如威脅 Linux、UNIX 及 Mac OS X 等熱門作業系統的 Shellshock 漏洞。這個存在 20 多年的漏洞浮出檯面，意味著很可能還有其他更多未被發掘的歷史漏洞潛藏在各種作業系統和應用程式當中。

事實上，行動裝置平台和 App 程式當中的漏洞，將成為一項更大的挑戰。如同前幾季的報告一樣，該報告也指出，行動裝置平台 (如 Android 作業系統) 已經開始出現重大的漏洞。此外，歹徒更經常在網站平台植入漏洞攻擊套件，為網路犯罪集團提供了入侵受害者系統的額外管道。

該報告並指出，在一起信用卡資訊竊取案件當中，歹徒透過大型零售業者的銷售櫃台 (PoS) 系統竊取了大批資料。這項攻擊手法一再出現，顯示 PoS 網路相當脆弱、也相當容易遭到攻擊。不僅如此，網路竊賊更利用一些新版的知名惡意程式和網路銀行惡意程式成功發動攻擊。

以遭受攻擊的區域及對象來看，美國是 PoS 惡意程式、勒索程式、惡意 URL 來源以及連上惡意網站次數最多的國家，而政府機關則是遭受鎖定目標攻擊最多的對象。報告中並包含趨勢科技威脅研究專家所提出的各項分析：

• 整體威脅情勢分析，提供完整的統計數據和討論，如行動裝置威脅等等。
• 揭露重大漏洞的詳細資訊。
• 剖析過去熱門網站平台曾經遭受的攻擊，以及一些處心積慮竊取財務資料的精密攻擊。
• 分析行動裝置 App 開發人員 (以及一般使用者) 所面臨的安全挑戰。
• 揭露鎖定目標攻擊如何利用企業內部與外部入侵點。

如需完整報告，請至：
http://www.trendmicro.tw/cloud-content/tw/pdfs/security-intelligence/reports/rpt-vulnerabilities-under-attack-cn.pdf

另有一篇關於該報告的部落格文章，請參閱：
http://blog.trendmicro.com/vulnerabilities-attack-shedding-light-growing-attack-surface/

關於趨勢科技
趨勢科技為資訊安全軟體全球領導廠商 (2013 年榮獲 IDC 評選為伺服器安全防護第一名)，致力創造一個安全的資訊交換世界。憑著 26 年的經驗，我們的解決方案能為消費者、企業及政府機構提供多層式資料安全防護，涵蓋 行動裝置、端點、閘道、伺服器以及雲端。趨勢科技是智慧型資訊防護的動力，擁有創新的防護技術，不僅容易部署與管理，而且更能隨著不斷變化的生態體系而演進。我們所有解決方案皆以趨勢科技 Smart Protection Network™ 雲端基礎架構的全球威脅情報為後盾，更有全球 1,200 多位威脅情報專家在背後支援。如需更多資訊，請至：TrendMicro.com。