揭示逾半數網路攻擊與敲詐及勒索軟體威脅有關
文/Microsoft
在微軟資安團隊去年調查的資安事件中,有八成的網路攻擊目的是竊取資料,此趨勢主要源於金錢利益,而非情報蒐集。根據微軟資安長 Igor Tsyganskiy 共同撰寫的最新《Microsoft 數位防禦報告》(Microsoft Digital Defense Report)指出,已知動機的網路攻擊中,有超過一半(52%)出於牟利,並透過敲詐或勒索軟體等方式進行;單純以間諜活動為目的的攻擊僅占 4%。儘管國家/地區級威脅仍是長期且嚴峻的挑戰,但當前組織最常面對的即時風險,多半來自尋求快速獲利的機會型網路犯罪分子。
微軟每天處理超過 100 兆筆安全事件訊號、攔截約 450 萬次新型惡意軟體攻擊、分析 3,800 萬筆身分風險偵測,並掃描 50 億封電子郵件以防範惡意軟體與網路釣魚活動。自動化技術的進步與現成工具的普及,使技術能力有限的網路罪犯,也能大幅擴展其攻擊規模。而人工智慧的應用更進一步助長這股情勢,駭客得以加速惡意軟體的開發、生成更逼真的虛構內容,進一步提升網路釣魚與勒索軟體等攻擊的效率。如今,這些投機型的惡意威脅行為者幾乎將所有人視為目標,無論企業規模大小,網路犯罪已成為滲透日常生活、無所不在的威脅。
在當前環境下,企業領導者必須將資安視為核心策略重點,而非單純的 IT 議題,並從基礎架構與營運流程開始建立韌性。根據微軟最新發佈的 2025 年《Microsoft 數位防禦報告》,涵蓋 2024 年 7 月至 2025 年 6 月的最新趨勢。報告指出傳統的安全措施已無法應對現今威脅,唯有採取現代化防禦手段並推動跨產業與政府間的強力合作,才能跟上攻擊的步伐。對個人而言,採用強化的安全工具,特別是具備防釣魚功能的多重要素驗證(MFA),能產生顯著效果,因為 MFA 可阻擋超過 99% 的身分識別型攻擊。報告中的重點趨勢如下:
關鍵公共服務成為網路攻擊主要目標,衝擊已延伸至現實生活
惡意威脅行為者持續聚焦於關鍵公共服務領域,這些目標一旦遭到入侵,將對民眾的生活造成直接而立即的衝擊。例如,醫院與地方政府因儲存大量敏感資料,或者資安預算有限、事件應變能力不足且常使用版本老舊或不再受支援的軟體,而成為攻擊的首選目標。過去一年中,針對這些領域的網路攻擊造成的實際影響包括急診醫療延誤、緊急服務中斷、學校停課,以及交通系統停擺等。
勒索軟體威脅行為者特別鎖定這些關鍵領域,因為受害單位往往缺乏其他應對選項。以醫院為例,若系統被加密而無法即時修復,病患的生命可能受到威脅,迫使院方不得不選擇支付贖金。此外,政府機構、醫療院所與研究單位皆儲存大量敏感資料,這些資料一旦遭竊,往往會被轉售至暗網等非法市集,進而助長後續的犯罪活動。政府與產業必須攜手合作,加強這些高風險領域的資安防護,特別是針對最脆弱的機構。這些努力對維護社區安全、確保醫療、教育及緊急服務的持續運作至關重要。
國家/地區級行為者的作戰行動持續擴張
雖然從數量上來看,網路罪犯仍是最大的資安威脅,但國家/地區級行為者(nation-state actors)依然鎖定關鍵產業與地區發動攻擊,其背後原因除了間諜活動之外,部分也與追求財務利益有關。地緣政治目標仍是推動國家資助網路行動激增的主要原因,特別是對通訊、科學研究與學術領域的攻擊範圍有顯著擴大的趨勢。
針對主要國家/地區級行為者的觀察:
- 中國大陸持續在各產業領域展開廣泛的網路間諜行動,竊取敏感資料。與國家相關的駭客組織日益頻繁地攻擊非政府組織(NGO),藉此擴大情報掌握範圍,並利用隱蔽網路與暴露於網際網路的弱點設備滲透系統,以規避偵測。同時也加快對新揭露漏洞的利用速度,使攻擊行動更具即時性。
- 伊朗則將目標範圍擴大至前所未有的層面,從中東延伸至北美,藉此強化其間諜活動。近期有三個與伊朗政府有關的駭客組織針對歐洲及波斯灣地區的航運與物流公司發動攻擊,以持續存取敏感商業資料,顯示伊朗可能正為未來干擾國際商業航運作業預作準備。
- 俄羅斯在持續聚焦烏克蘭戰事的同時,也擴大其攻擊目標範圍。微軟觀察到,與俄羅斯政府相關的駭客組織正針對支持烏克蘭的國家中的小型企業發動攻擊。事實上,除烏克蘭外,受俄羅斯網路行動影響最嚴重的前十個國家皆為北大西洋公約組織(NATO)成員,相關攻擊較去年增加 25%。這些俄羅斯的威脅行為者可能將小型企業視為資源投入較低、但可作為滲透大型組織的切入點。此外,他們也越來越常利用現有的網路犯罪生態系進行攻擊。
- 北韓則持續以資金籌措與間諜行動為主要目標。值得關注的是,數以千計與北韓政府有關的遠端 IT 工作者陸續向全球企業應徵職位,並將薪資匯回政府。一旦身分曝光後,部分人員甚至轉向以敲詐勒索等手段為政權籌措資金。
威脅行為者造成的網路威脅正變得愈加廣泛且難以預測。此外,部分國家級駭客組織開始更深入地利用網路犯罪生態系,使得攻擊來源的追查與歸因變得更加複雜,凸顯企業必須隨時掌握所屬產業面臨的威脅動態,並與同業及政府部門緊密合作,共同因應這些威脅行為者造成的資安挑戰。
而針對台灣的威脅趨勢:
觀測數據顯示,台灣仍是亞太地區威脅行動的主要目標之一。
- 2025 年上半年,台灣客戶遭受網路威脅影響排名全球第十(佔全球總量的 1.8%)。
- 在亞太地區中,台灣以觀測到 143 起國家/地區級威脅活動居首,高於韓國(126 起)與印度(100 起)。
- 在來自中國大陸的威脅行動中,前三大攻擊標的鎖定美國(35%)、泰國(14%),以及台灣(12%)。
2025 年:攻防兩端大幅提升 AI 運用
過去一年中,攻擊方或防禦方都開始運用生成式 AI 的強大能力。威脅行為者利用 AI 自動化網路釣魚活動、擴大社交工程規模、製作虛構媒體內容、更快速地發現系統漏洞,並開發可自我調整的惡意軟體。國家/地區級行為者也將 AI 納入網路輿論與影響行動中,近六個月來,這類活動明顯升溫,威脅行為者藉由 AI 科技讓其行動更為縝密、更能擴展,且針對性更強。
對防禦方而言,AI 同樣展現出極高的價值。以微軟為例,AI 已被用於偵測威脅、彌補偵測漏洞、攔截網路釣魚攻擊,並保護高風險使用者。隨著 AI 的風險與機會快速演變,企業必須優先強化自家 AI 工具的安全性,並確保團隊具備相關防護知識。從產業界到政府,所有人都必須主動出擊,以因應日益精密的攻擊手法,確保防禦方能持續領先於對手。
敵人不再「入侵」,而是「登入」
在網路威脅日益精密的情況下,有一項數據格外引人注目:超過 97% 的身分識別攻擊屬於密碼攻擊。僅在 2025 年上半年,身分識別類攻擊激增 32%,顯示企業所遭遇的惡意登入嘗試中,多數都是透過大規模的密碼猜測所造成的。威脅行為者通常利用先前外洩的帳號與密碼(憑證)資料庫,作為發動這類攻擊的主要來源。
然而,憑證外洩並非威脅行為者取得憑證的唯一管道。今年,微軟觀察到「資訊竊取型惡意軟體(infostealer)」的使用明顯上升,這類惡意程式能在使用者不知情的情況下,大量竊取登入憑證及瀏覽器工作階段權杖(session token)等線上帳戶資訊。網路罪犯隨後可在地下網路犯罪論壇上購買這些被竊資料,輕易取得帳戶存取權,進而發動如勒索軟體等攻擊。
所幸,防範身分憑證遭入侵的解方相對簡單,只要導入具防釣魚功能的多重要素驗證(MFA),即使攻擊者掌握正確的帳號與密碼組合也能攔阻超過 99% 的此類攻擊。為打擊這條惡意供應鏈,微軟數位安全中心(DCU)正積極反制資訊竊取軟體的濫用。今年 5 月,DCU 與美國司法部及歐洲刑警組織合作,成功瓦解目前最活躍的資訊竊取工具之一 —— Lumma Stealer 的運作網絡。
展望未來:資安是所有人共同的防禦優先考量
隨著威脅行為者的手法日益精密、持續且具投機性,組織必須保持高度警覺,不斷更新防禦措施並積極共享威脅情報。微軟將持續透過安全未來倡議強化自家產品與服務的安全性,同時與各界合作,追蹤威脅動向、即時通知受攻擊的客戶,並在適當時機與公眾分享相關洞見。
然而,資安不僅是技術挑戰,更是一個重要的治理課題,僅靠防禦措施,無法有效嚇阻來自國家/地區級行為者的攻擊,各國政府必須建立明確的架構,對違反國際規範的惡意行為施以具可信度且相稱的懲處。令人鼓舞的是,越來越多政府開始公開指出網路攻擊的外國來源,並採取起訴與制裁等行動。這種日益提升的透明度與問責機制,是建立集體嚇阻能力的重要一步。隨著數位轉型加速推進、AI 迅速興起,網路威脅已對經濟穩定、治理體系與個人安全構成風險。除了技術創新之外,整個社會更需要齊心協力、採取行動,才能夠成功因應這些挑戰。
