在企業邊界設備成為全球攻擊者最愛的今日，Fortinet 再度曝出一項攸關身分驗證安全的重大漏洞。這一次，問題並不來自複雜的攻擊鏈，而是藏在 FortiCloud SSO 驗證流程的一個小小缺口。

這個缺口，足以讓未經認證的攻擊者，僞裝成合法管理者，直接走進管理介面。

---

故事是這樣開始的：一封被「信任過頭」的 SAML 訊息

Fortinet 內部安全人員 Yonghui Han 與 Theo Leleu 在例行檢測中，發現某些 Fortinet 產品——包括 FortiOS、FortiWeb、FortiProxy、FortiSwitchManager——在處理 SAML 訊息的加密簽章時，驗證流程並沒有做得足夠完整。

這是一種典型的 CWE-347（加密簽章驗證不當）。

也就是說，攻擊者只要打造一封「看起來很像真的」SAML 訊息，就能欺騙設備相信登入是合法的。
結果？
未認證的使用者 → 直接變管理員。

這對任何企業而言，都是最高等級的風險。

---

更棘手的是：這個開關不是預設開啟，但它「很容易被開啟」

理論上，FortiCloud SSO 在出廠時是關閉的。
但實務部署中，許多管理者會透過 GUI 將設備註冊到 FortiCare。
就在這個過程裡，問題發生了：

註冊頁面會自動把「Allow administrative login using FortiCloud SSO」切換成啟用。

如果管理者沒有注意、沒有手動關閉這個選項，那麼設備就會在註冊當下暴露於攻擊風險。
這種「容易被忽略的預設行為」，也正是本次漏洞格外危險的原因。

---

Fortinet 給出的建議很直接：能更新就更新，不能更新就先關掉這個功能

Fortinet 已提供修補版本，如果企業能立即更新，這是最推薦的做法。

但若更新需要變更流程、需要維運時間窗口，那麼：

先把 FortiCloud SSO 關掉，是你最快、最有效的防禦方式。

GUI 路徑：
System → Settings → 關閉「Allow administrative login using FortiCloud SSO」

CLI 指令：

config system global
set admin-forticloud-sso-login disable
end

這個簡單的步驟，便能阻斷漏洞的主要利用方式。

---

同時間，Fortinet 也修補了兩個同樣敏感的認證問題

• CVE-2025-59808： 攻擊者只要取得帳號，即可在未輸入密碼的情況下重設該帳號密碼。
• CVE-2025-64471： 可以直接用密碼的「雜湊值」通過登入。

這些漏洞都指向同一個趨勢：
攻擊者正在集中火力針對「身分驗證」這個環節動手。

---

Fortinet：攻擊者眼中的「黃金入口」

事實上，這並非 Fortinet 第一次成為攻擊熱點。

• 中國 Volt Typhoon 利用 FortiOS SSL VPN 弱點，攻擊荷蘭國防部軍事網路
• FortiSIEM command injection 漏洞爆出後，VPN 暴力破解攻擊量瞬間飆升
• FortiWeb 在短時間內連續出現兩起零時差攻擊事件

只要漏洞一公開，攻擊者往往能在數小時內實現武器化利用。

---

資安專家的最後提醒：這次事件不是孤立的，它反映的是新時代的攻擊邏輯

這次 FortiCloud SSO 的問題，再次驗證幾項重要趨勢：

1. 攻擊者不再打破大門，而是找你不小心開的側門。

被忽略的預設值、半自動啟用的設定，都是風險來源。

2. 身分驗證（SAML、SSO、Hash）正在成為攻擊核心戰場。

未來的攻擊不再靠 Exploit 進來，而是靠「登入」進來。

3. Assume Compromise 是最務實的策略。

假設攻擊者已經在網路裡，才能建立完整的偵測能力。

4. 導入 Deception（欺敵技術）能讓攻擊者自曝行蹤。

當攻擊者誤觸誘餌、假憑證、假服務時，企業得以搶下先機。

12月3日，根據國際知名資安媒體包括 HackRead, CyberDaily的報導，勒索軟體集團 Everest再次高調現身，這次宣稱鎖定的目標，是全球知名的跨國科技大廠華碩(ASUS)。據報導 Everest 在暗網上的公告，他們已成功入侵 華碩 內部系統，並竊走超過 1TB 的資料——其中包括疑似為華碩裝置所使用的 相機原始碼。「相機原始碼」很可能指華碩裝置（如筆電或手機）內建相機所使用的專有韌體或軟體，包括相機模組的底層控制程式、驅動程式，甚至與影像處理或硬體整合相關的核心程式碼。

Everest 要求華碩必須透過加密通訊工具 Qtox 聯繫；若未在期限內回應，該團體通常會直接公開被竊資料，

---

Everest 是什麼來歷？

Everest約在 2021 年崛起，是一支低調但技術成熟、專攻大型企業的勒索團隊。與一般勒索集團不同，Everest 更像是 APT 與勒索的混合體，偏好長期滲透與偷資料，而不是單純加密檔案。Everest 雖不像 LockBit、ALPHV那樣頻繁曝光，但在暗網圈內，它被視為 專攻大型組織與高價值資料的「精準型勒索團體」。
其行動具有以下特點：

• 不依賴大量加密，而是偏好竊取大量資料再威脅外洩
• 長期滲透能力強，行動隱蔽性高
• 鎖定國際級企業與政府機關

Everest 近期已陸續宣稱攻擊：

• Under Armour（美國運動品牌）
• Petrobras（巴西國營石油公司）
• Iberia Airlines（西班牙航空）

這些受害者的規模與資料價值，顯示 Everest 的目標一向是全球級的高價值獵物。此次華碩事件若屬實，將成為 Everest 針對高科技製造業的最新重大攻擊案例，也可能是華碩 繼 2019 年 ShadowHammer 事件後，再次遭受關鍵基礎設施與企業系統的重大威脅。當時，攻擊者利用 ASUS Live Update 工具散布惡意程式，被外界認為具有國家支持背景。

---

Everest 如何入侵企業？

Everest 的攻擊行為更像是「APT + 勒索商業化」的混合模式，關鍵步驟如下：

1. 入侵入口：先拿到一把鑰匙

• 使用被竊取的 VPN 帳密
• 利用弱密碼或管理不善的 RDP
• 透過社交工程與釣魚郵件取得登入憑證

他們偏好「合法」登入，而不是暴力突破，因為這更不容易被偵測。

2. 橫向移動：深入內網核心

取得初始權限後，Everest 會：

• 使用 NETSCAN.EXE 等工具探索整個內網
• 執行 Active Directory Dump，蒐集網域管理員資訊
• 取得高價值伺服器（例如 Git、NAS、研發機房存取點）

這階段的目標很明確：找到能賣錢、能威脅的資料。

3. 大量外洩資料：未談判前先「搬空」

Everest 會優先偷偷外傳：

• 原始程式碼
• 研發文件、設計圖
• 客戶與內部資料
• 財務、人資、法務文件

這些資料能成為談判籌碼，也讓企業難以忽視威脅。

4. 勒索：倒數計時的壓力戰

通常會發布倒數時鐘，要求受害企業在短時間內聯繫。

---

企業該怎麼防？

✔ 強化 AD 與憑證管理

• 偵測異常 AD 查詢
• 部署欺敵誘餌（Deception）
• 對所有遠端存取強制 MFA

✔ 監控敏感資料流動

• 偵測大量壓縮或大量上傳行為
• 落實敏感資料分類與權限管理

✔ 假設已經被入侵（Assume Breach）

這是對抗 Everest 這類安靜型 APT 勒索團隊最有效的心態。
你要問的不是「我有沒有被入侵？」
而是：

「我如何在攻擊者已經在內網的情況下抓到他？」

---

結語

據報導，華碩尚未正式回應，但 Everest 的手法、過往紀錄與近期攻擊強度，讓事件備受關注。

對所有企業而言，這不只是「某家廠商被駭」的新聞，而是再次提醒：
現代勒索攻擊已從檔案加密，進化成「深度滲透＋資料外洩＋供應鏈威脅」的複合型態。

2026 年，技術顛覆的速度比以往更快，AI 已經不再只是選項，而是企業生存與創新的核心。在 2025 年的 Gartner IT Symposium/Xpo 上，分析師 Gene Alvarez 與 Tori Paulman 強調，2026 年的十大策略性科技趨勢不只是新技術，它們將成為企業建立韌性基礎、協調智能系統、保護企業價值的重要工具。

以下，我們從資安的角度，逐一解析這十大趨勢，並探討它們對企業安全與營運的影響：

---

1. AI 原生開發平台（AI-Native Development Platforms）

描述：利用生成式 AI（GenAI）協助企業快速創建軟體，讓小型團隊也能開發高效能應用。
為什麼重要？縮短軟體開發週期，降低成本，讓業務與技術更緊密結合。
資安影響：AI 自動生成程式碼可能帶來安全漏洞或合規風險，需同步導入安全測試與治理規範。

---

2. AI 超級運算平台（AI Supercomputing Platforms）

描述：整合 CPU、GPU、AI ASIC、神經形態運算等硬體，並搭配協調軟體處理複雜運算。
為什麼重要？支援大規模 AI 訓練、模擬、分析，促進醫療、金融、能源等行業創新。
資安影響：高效能運算若被濫用，可能加速自動化攻擊或密碼破解，需要建立 AI 使用政策與監控機制。

---

3. 機密運算（Confidential Computing）

描述：透過硬體可信執行環境（TEE）隔離敏感資料，確保資料在使用中仍保密。
為什麼重要？提升金融、醫療與跨國企業的資料安全與合規能力。
資安影響：降低資料外洩風險，即便在雲端或第三方基礎設施也能安全運行。

---

4. 多代理系統（Multiagent Systems, MAS）

描述：由多個 AI 代理協作完成複雜任務，可分散部署並互相協作。
為什麼重要？提升自動化效率，優化企業流程與決策速度。
資安影響：代理間通信或協作若被攻擊，可能帶來風險；需建立代理行為監控與異常防護。

---

5. 領域專用語言模型（Domain-Specific Language Models, DSLMs）

描述：針對特定產業或流程調校的 AI 語言模型，精準度與合規性更高。
為什麼重要？在金融、醫療、法遵等領域提供更可靠的決策支援。
資安影響：可降低通用模型在敏感領域的誤判與資料洩露風險，強化企業內部資料分析安全。

---

6. 實體 AI（Physical AI）

描述：將 AI 智能引入實體裝置，如機器人、無人機、智慧設備。
為什麼重要？提升自動化、操作效率與安全性，特別適用製造、物流與能源領域。
資安影響：需確保物聯網設備安全、資料完整性與操作安全，並建立跨部門管理流程。

---

7. 前瞻資安（Preemptive Cybersecurity）

描述：利用 AI 主動預測與阻擋威脅，從被動防禦轉向主動防護。
為什麼重要？降低企業被攻擊的可能性，提高威脅響應速度。
資安影響：需要 AI 驅動的 SecOps、程式化誘捕與自動化防護策略，強化整體安全韌性。

---

8. 數位來源追蹤（Digital Provenance）

描述：驗證軟體、資料與 AI 生成內容的來源、所有權與完整性。
為什麼重要？確保供應鏈透明度與企業信任度，符合合規要求。
資安影響：可減少開源程式碼或第三方軟體帶來的風險，防止資料篡改或偽造。

---

9. AI 安全平台（AI Security Platforms）

描述：統一管理企業內外部 AI 系統的使用與安全策略，防範 AI 專屬風險。
為什麼重要？保障 AI 投資安全，建立企業信任與治理規範。
資安影響：對抗提示注入、資料外洩與惡意代理行為，集中監控 AI 活動並應用統一防護。

---

10. 地理資料主權化（Geopatriation）

描述：將資料與應用從全球公有雲遷移至主權雲或區域雲，以降低地緣政治風險。
為什麼重要？提升資料掌控、合規性與客戶信任度。
資安影響：幫助企業因應跨國資料管理與法規挑戰，降低地緣政治與合規風險。

---

Gartner 十大趨勢的三大策略與資安解讀

Gartner 將 2026 年的十大科技趨勢，依據企業數位轉型與資安需求，整理為三大策略主題：建築師（The Architect）、綜合者（The Synthesist）、先鋒者（The Vanguard）。以下為詳細解析：

1. The Architect：AI 平台與基礎設施

這類趨勢著重於建立安全、可擴展的 AI 與數位轉型基礎：

• AI 原生開發平台：利用 GenAI 讓小型團隊快速、靈活地創建軟體，對資安而言，需要同步導入開發治理與安全防護。
• AI 超級運算平台：加速模型訓練與資料分析，但需要嚴格治理與成本控管；同時應注意 AI 運算被攻擊者濫用的風險。
• 機密運算：透過硬體可信執行環境（TEE）保護敏感資料，即便在不受信任的雲端或基礎設施上也能安全運行，是金融、醫療與跨國企業的關鍵資安利器。

---

2. The Synthesist：AI 應用與協同

這類趨勢強調結合專用模型、代理與實體數位系統創造新價值：

• 多代理系統（MAS）：模組化 AI 代理可協作處理複雜任務，提升自動化與營運彈性，但需監控代理行為與異常。
• 領域專用語言模型（DSLMs）：提升特定產業或流程的準確性與合規性，可用於自動化威脅判讀與企業內部分析。
• 實體 AI（Physical AI）：應用於機器人、無人機與智慧設備，帶來操作效能提升，但需確保物聯網與實體設備安全，並建立跨 IT、運營與工程的管理流程。

---

3. The Vanguard：安全、信任與治理

這類趨勢回應企業維護聲譽、合規與利益相關者信任的需求：

• 前瞻資安（Preemptive Cybersecurity）：透過 AI 主動阻擋威脅，從被動防禦轉向主動防護。
• 數位來源追蹤（Digital Provenance）：驗證軟體、資料與 AI 內容的來源與完整性，降低供應鏈風險。
• AI 安全平台：統一管理第三方與自建 AI 應用的政策與可見性，確保企業 AI 投資安全。
• 地理資料主權化（Geopatriation）：將資料與應用遷移至主權雲或區域雲，以降低地緣政治風險，增強合規與資料控制能力。

---

為何這些趨勢當下如此重要？

2026 將是企業技術與資安策略的關鍵年份。CIO 與 IT 領導者若能及早行動，將能：

• 將數位策略與企業目標對齊
• 安全且負責任地擴展 AI 應用
• 應對地緣政治與法規複雜性
• 自信地領導數位轉型

Gartner 強調，這些趨勢互相交織，單一能力不足以應對未來挑戰。對台灣企業而言，提前部署 AI 原生安全、前瞻資安、機密運算與供應鏈透明化策略，將是未來五年維持競爭力與降低風險的關鍵。

根據國外資安媒體BleepingComputer的報導，美國大型風險管理公司 Crisis24 近日證實，其旗下 OnSolve CodeRED 緊急警報平台遭到網路攻擊，造成多州政府、警局、消防隊與公共安全單位無法正常對民眾發布緊急通知。此事件不僅癱瘓美國多地的防災與治安通報能力，也凸顯全球政府共同面臨的數位供應鏈風險。

全美通報中斷　用戶資料遭竊、平台被迫重建

CodeRED 為美國地方政府使用率極高的緊急警報系統，負責推播災害示警、治安警告和重大事故等關鍵訊息。然而本次攻擊造成：

• 緊急通知服務大範圍中斷
• 包含姓名、住址、電話、Email 等個資外洩
• 使用者密碼以明文形式曝光
• 平台核心系統損毀，僅能以 2025 年 3 月 31 日的備份重建

這代表約八個月內的新用戶與所有修改紀錄均遭永久刪除。對高度仰賴該平台維護民眾生命安全的政府單位而言，此為嚴重的供應鏈災難。

---

INC Ransom 承認犯案　攻擊模式直指關鍵基礎設施

雖然 Crisis24 僅表示事件由「有組織的犯罪團體」發動，但勒索組織 INC Ransom 已於其 Tor 外洩網站公開宣稱負責，並釋出客戶資料、Email、明文密碼及受害清單作為證據。

根據該組織貼文：

• 11 月 1 日入侵 OnSolve 系統
• 11 月 10 日開始加密內部檔案
• 要求贖金未果後，陸續兜售竊得資料

INC Ransom 自 2023 年起活躍全球，針對教育、醫療、政府與製造業等領域發動攻擊。過往受害者包括 Yamaha Motor Philippines、蘇格蘭 NHS 及荷蘭 Ahold Delhaize 食品集團。然而此次攻擊直接癱瘓涉及全國民眾生命安全的通報平台，破壞力遠超一般勒索事件。

---

技術觀點分析

1. Legacy 系統是攻擊者的主要弱點利用點

攻擊發生於舊的 CodeRED 環境，說明：

• 系統可能缺乏最新的安全更新
• 身份管理架構（IAM）未統一
• 密碼儲存方式仍採不安全模式
• 舊系統與新系統之間可能存在信任或授權連結，造成攻擊面擴大

對任何企業而言，Legacy 系統永遠是攻擊者最有利的切入點。

---

2. 明文密碼外洩 = 身份管理重大失敗

INC Ransom 公開展示的截圖顯示：

• 密碼並未經過雜湊（hashing）
• 密碼可能以資料庫欄位明文存放
• 或是在部分功能流程中以明文暫存

這代表 IAM 流程存在以下風險：

• 使用者可能重複使用密碼，造成擴散性風險
• 管理員帳號可能已橫向被攻擊者利用
• 其他整合服務（API / SSO / SMTP）可能連帶遭入侵

這是一個 身份安全（Identity Security） 與 敏感資料保護 的嚴重缺陷。

---

3. 備份落後近 8 個月：暴露災難復原（與備援能力不足

Crisis24 必須使用「2025/3/31」的備份重建平台，這意味著：

• 備份週期過長
• 備份資料未異地備援（或未隔離）
• 最近版本的備份已被攻擊者破壞或加密
• 缺乏有效的還原測試（Restore Validation）

---

結語：通報系統已成新戰場　台灣不能再以「理所當然」看待

CodeRED 遭駭事件並非偶然，而是各國緊急通報系統長期暴露於威脅下的結果。美國已因 RaaS 攻擊造成全國混亂，然而台灣所面對的攻擊者具備更高資源與更強動機。

真正值得警醒的是：
癱瘓「通報系統」比癱瘓「政府」更能製造混亂。

一旦這些關鍵節點被攻破，影響可能包括：

• 社會恐慌
• 民眾不信任政府通知
• 錯誤資訊快速傳播
• 危機放大
• 形成資訊戰效果

對台灣而言，這不僅是國外案例，而是一面明確的早期警鐘。

近期，一場名為 Operation WrtHug 的大規模攻擊行動席捲全球，根據資安公司 SecurityScorecard 的 STRIKE 團隊分析，成功入侵超過 50,000 台華碩 WRT 系列路由器，受害設備多為已達生命週期終點（EoL）或未更新的型號。此次攻擊在 台灣、美國與俄羅斯造成最嚴重影響，並持續向 東南亞及歐洲擴散。

這起事件顯示不僅是個別設備的安全漏洞，更牽動 供應鏈資安、基礎網通設備韌性，以及國家級攻擊面擴張等重大議題，對台灣而言尤其值得高度關注。

---

1. 攻擊核心：鎖定已停止維護的 ASUS WRT 路由器，全面利用已知 N-day 漏洞

Operation WrtHug 並非使用 0-day，而是有策略地鎖定 已公開、但因產品 EoL導致仍大量未修補的 N-day 漏洞。
攻擊行為大量集中於 ASUS 的 AiCloud 服務模組，亦是多數被入侵設備的共同特徵。

此次被武器化的漏洞包含：

• CVE-2023-41345 ~ CVE-2023-41348：OS Command Injection（作業系統指令注入）
  攻擊者可透過特製請求，在路由器上直接執行系統層級指令。
• CVE-2023-39780：Arbitrary Command Execution（任意命令執行）
  可讓駭客在無需授權的情況下植入後門或執行惡意命令。
• CVE-2024-12912：Remote Command Execution（遠端命令執行）
  更高風險的 RCE 漏洞，使攻擊者能完全掌控設備行為。
• CVE-2025-2492：Authentication Bypass（認證繞過）
  讓攻擊者無須合法帳密即可進入管理介面，使後續入侵更容易持續化。

大部分攻擊行為集中在 AiCloud — ASUS 的雲端存取服務。SecurityScorecard 的研究指出：

99% 的受害設備均啟用 AiCloud，並共同使用一張有效期 100 年的自簽 TLS 憑證（自 2022 年 4 月起）。

這張憑證讓攻擊者更容易追蹤感染鏈，也代表攻擊者可能已建構 長期隱匿通訊管道，而非短期 DDoS 類 botnet。

---

2. WrtHug = 新型隱匿式 ORB？屬性與中國相關攻擊活動高度重疊

報告指出 WrtHug 雖不是傳統的 Operational Relay Box- ORB( 隱匿跳板節點 )，但其架構、感染手法與多起中國相關 ORB 行動高度雷同。ORB是近年在國際威脅情報中頻繁出現的一種概念，用來描述攻擊者用來隱藏真實位置、掩護指揮控制（C2）流量、並長期滲透目標的「跳板節點。

近年與中國攻擊者相關的 ORB / router botnet 包含：

• AyySSHush（ViciousTrap）
• LapDogs
• PolarEdge

其中 七組 IP 同時出現在 WrtHug 與 AyySSHush 感染清單，使分析師推測可能存在基礎設施共享、或由同一威脅集團操作的可能性。

這類攻擊行動的共同特性：

• 大量入侵 EoL 路由器
• 使用 命令注入與認證繞過
• 部署 持久化 SSH backdoor
• 攻擊模式具備情報蒐集與橫向滲透特性

從目標區域（特別是台灣）與技術手法推測，研究團隊普遍認為 WrtHug 的操作方式 與中國國家級行動相符。

---

3. 被攻陷的 華碩 路由器型號（部分）

這些大多為企業常用或家庭高階機種，其中不少已進入 EoL：

• 4G-AC55U
• 4G-AC860U
• DSL-AC68U
• GT-AC5300
• GT-AX11000
• RT-AC1200HP
• RT-AC1300GPLUS
• RT-AC1300UHP

此類 EoL 設備無法再獲得官方更新，等同長期暴露在攻擊面。

---

4. 攻擊者如何建立「耐重啟、耐升級」的持久化後門

研究指出攻擊者透過以下方式達成永久存活：

1. 利用漏洞取得 root 權限
2. 植入 SSH backdoor
3. 利用合法功能（如自動同步、腳本）進行隱匿啟動
4. 確保後門在重開機或韌體更新後仍存在

這種持久化方法符合 國家級攻擊者搭建跨境跳板網路 的典型手法，其目的通常包括：

• 覆蓋來源 IP（匿名化）
• 建立隱匿指揮通訊通道
• 長期偵蒐特定地區（如台灣）的流量
• 執行供應鏈滲透

---

5. 對台灣與企業合規的啟示

從合規視角來看，WrtHug 的核心問題並非「漏洞」，而是 使用已 EoL、無支援的網路設備。

此事件涉及多項合規風險：

● 1. 資產管理與生命週期缺失（ISO 27001 / A.5 / A.8）

若企業仍在使用 EoL 網通設備，即意味：

• 無補丁計畫
• 無風險控管
• 無支援或更新

這在任何 ISO 27001、NIST CSF、BSP Guidelines 中都是重大缺失。

● 2. 供應鏈資安風險（NIST 800-161 / ISO 27036）

大量 EoL 路由器被植入後門意味：

• 攻擊者可以利用企業網路邊界設備作為跳板
• 企業可能在不知情下成為跨境攻擊節點

● 3. CISO與治理責任（Governance）

設備老化、缺乏盤點與風險評估，是治理（GRC）最常被忽略的盲點。
WrtHug 明確展示：

未更新 ≠ 低風險；EoL 設備 = 國家級威脅的入口點。

---

6. 華碩回應與現況

華碩 已修補所有相關漏洞，但：

• EoL 機種無法取得更新
• 企業與家庭大量仍在使用
• 攻擊者已建立持久後門，無法僅靠補丁移除
• 大量設備已實際落入控制，形成活躍 botnet

換言之：
補丁存在 ≠ 風險解除
EoL 設備永遠無法「補」到安全。

---

7. 建議（從企業、政府與家庭三角度）

企業 / 政府機關

*立即盤點 EoL 路由器與網路設備
*將所有高於 5 年的路由器列入淘汰計畫停用 AiCloud 與其他不必要的 WAN 功能部署邊界偵測（IDS/IPS）與異常 TLS 憑證監控

*制定「網路設備汰換政策」並納入年度風險報告（GRC）

家庭使用者

*進行路由器韌體更新
*停用 AiCloud（若無使用需求）
*重置並變更所有密碼
*若機型已 EoL → 直接更換

---

結語：WrtHug 是國家級攻擊使用「老舊設備」作為武器的典型案例

攻擊者不需要 0-day；大量未更新、被忽視的老舊設備，就是最容易被利用的攻擊入口。

WrtHug 與 AyySSHush 的重疊，加上其集中攻擊台灣，顯示此行動並非單純的 botnet，而更像是一場 針對性、長期、具情報目的、並與中國攻擊集團風格相符的行動。

對台灣的企業與政府單位而言，下一步不是只問「是否有被感染」，而是：

我們的設備生命週期管理、供應鏈資安與治理機制，是否能承受下一個 WrtHug？

2025 年 11 月 10 日，美國國防部（又稱戰爭部）正式宣布，將 「網路安全成熟度模型認證」（Cybersecurity Maturity Model Certification, CMMC 2.0） 納入所有新的國防招標與合約續約條件，象徵這項長達六年的資安制度改革正式從「規劃階段」邁入「強制執行」的新里程碑。

對所有處理 受控非機密資訊（Controlled Unclassified Information, CUI） 及 聯邦合約資訊（Federal Contract Information, FCI）——亦即政府提供或產生但未公開的合約資料——的承包商、製造商與供應鏈夥伴而言，資安成熟度已成為能否競標國防合約的關鍵門檻。

簡言之，資安防護能力 = 市場競爭力 = 國防戰備力（Mission Readiness）。
這不僅是一場合規制度的變革，更是對整體國防產業鏈「信任體系」的重塑。

---

為何這次改革至關重要

CMMC 的核心理念是 「以可驗證的證據取代口頭承諾」。
多年來，美國國防供應鏈依靠自我聲明運作，導致實際落實度參差不齊。CMMC 2.0 強化了以下三大改變：

1. 標準化：所有承包商依同一套資安標準評估。
2. 分級化：依資訊敏感度實施對應控管。
3. 可執行：大部分企業必須通過第三方認證（C3PAO）或受限自評核查，並將結果上傳至 Supplier Performance Risk System (SPRS)。

依據 DFARS 252.204-7012 條款，承包商需達到 NIST SP 800-171 Rev.2 的 110 分合格標準，並提供可驗證的技術與管理證據，包括：

• 多因子驗證（MFA）與帳號控管
• 系統修補與漏洞修復紀錄
• 存取控制與稽核追蹤文件
• 定期備份測試與復原計畫

簡言之，CMMC 將國防資安從「信任」轉變為「可證明的信任」。

---

三階段實施：從自評到全面第三方核證

CMMC 2.0 將分三年逐步推動：

1. 2025–2026 年：所有廠商完成 Level 1 或 Level 2 自我評估。
2. 2026–2027 年：需透過第三方（C3PAO）驗證 Level 2。
3. 2027 之後：處理最敏感資料者，必須達到 Level 3，並通過 DIBCAC 審查。

專案經理（Program Managers）亦可在第一階段要求特定專案進行外部審查，以確保關鍵防務項目符合最高資安門檻。

---

現況與挑戰：準備落差與錯誤認知

儘管 CMMC 自 2019 年提出，多數企業仍存在「觀望」或誤解現象。
CMMC授權第三方評估機構(C3PAO)Redspin的報告指出，在美國超過 8 萬家防務供應鏈企業中：

• 截至2025 年10 月份 CyberAB (CMMC官方授權的認證管理機構)的公開說明會，僅不到 500 家通過 CMMC Level 2 認證
• C3PAO發現僅約 1% 承包商具備審查準備度

主要原因包括：

1. 政策歷史反覆，企業對落地時程缺乏信心
2. 對法規要求誤讀，以為 CMMC 引入全新標準
3. 缺乏完整文件化證據與稽核機制

實務上，CMMC 並非全新規範，而是要求企業證明已落實既有 NIST 標準。過去「簽了就算符合」的時代已結束，現在必須「證明你真的做到」。

---

法律與財務風險：虛假聲稱將引爆合約風暴

簽署含 CMMC 條款的合約即承擔法律義務。未達要求或虛假宣稱可能導致：

• 合約違約與停權
• 美國司法部（DOJ）調查與懲處
• 吹哨者訴訟與名譽損害
• 《虛假申報法》（FCA）罰金，每項違規可超過 10,000 美元，並附加三倍政府損失賠償

對中小企業而言，CMMC 不僅是合規挑戰，也是生存門檻與財務風險管理課題。

---

供應鏈重構：強者恆強，弱者出局

隨著 CMMC 強制化，國防供應鏈正出現兩極化：

• 已完成認證且資安成熟的廠商 → 擴張市占，成為首選合作夥伴
• 尚未準備的供應商 → 可能被主承包商取代

主承包商必須確保所有次承包商符合相同 CMMC 標準，否則自身合約亦可能受影響。對中小企業而言，資安治理能力將成為合作入場券。

---

對臺灣的啟示：供應鏈韌性治理新方向

美國 CMMC 2.0 為全球防務產業建立新的供應鏈資安標準，其精神對臺灣同樣具借鏡意義：

1. 供應鏈安全是共同責任 → 主承包商需確保每一層供應商皆具備等級化防護
2. 「證明能力」比「承諾能力」更關鍵 → 透過稽核、文件與技術控管展示成熟度
3. 從法遵走向戰備思維 → 資安不只是防禦，更是產業韌性與國防安全的一環

未來，臺灣若希望參與美國或北約防務供應鏈，導入類 CMMC 架構（以 NIST 800-171 為核心）將是必然趨勢。

---

結語：CMMC 合規即國防戰備力

CMMC 強制執行代表美國國防供應鏈正式邁入「可驗證安全」時代。
它不僅是法規要求，更是一場關於 「信任、透明與國防韌性」 的制度革命。
對全球供應鏈而言，CMMC 正成為衡量合作夥伴「是否值得信任」的新基準。

「CMMC 合規，即是國防戰備力。」