關於CPU資安漏洞的研究，持續成為電腦科學界的熱門議題，在4月底、5月初，由國際計算機協會（ACM）舉行的年度程式語言與作業系統架構支援大會（ASPLOS），有一篇由多位學者共同發表的論文探討攻擊CPU的新手法，稱為Pathfinder，作者來自加州大學聖地牙哥分校、普渡大學、喬治亞理工學院、北卡羅來納州大學教堂山分校、Google。

與2018年引發各界熱烈關注的CPU重大漏洞Spectre相同的是，Pathfinder所要突顯的問題，同樣與CPU的分支預測機制有關，也是屬於推測執行類型的漏洞。因為學者透過這篇論文所要探討的對象，主要是CPU的動態分支預測器（Conditional Branch Predictor）的歷程暫存器（Path History Register，PHR），以及預測歷程資料表（Prediction History Tables，PHTs），有心人士可在這些地方進行內容的洩漏與修改。

以阿長年處於敵對狀態，資安業者揭露伊朗透過輿論影響行動持續在以色列社會製造動盪

隨著近年資安領域已從網路安全延伸至認知安全的混合戰！最近不少資安業者特別關注這項議題，例如，Recorded Future旗下情報研究部門Insikt Group最近一份研究報告，揭露一項伊朗政府針對以色列發起的輿論影響行動（information operations）。

Insikt Group指出，這項輿論影響行動是由伊朗政府支持的駭客組織Emerald Divide（又名Storm-1364）所為，他們發現，該組織從2021年持續發起這樣的網路攻擊行動，不僅利用AI與社群媒體在以色列社會中挑起分岐，同時還涉及嚴重的網路安全威脅，例如，收集個人身分資訊與公開以色列官員的私人訊息，並且會持續利用以色列社會上有爭議的問題，來影響以色列的民眾。

根據Insikt Group的分析，他們觀察到三個行動階段，首先是三年前的第一階段，將以色列的極端正統派和LGBTQ+社群對立起來，接著是將焦點轉移到左派和右派之間的政治辯論，而目前進行的第三階段，是利用近期以色列與哈馬斯之間的戰爭，藉機擴大意識形態分歧，以及削弱對以色列政府信任的方式，來操弄以色列社會。

附帶一提的是，臺灣資安界如今也開始對這方面的議題抱持高度重視，強調我們需要提出資安即國安3.0戰略來因應。

其他攻擊與威脅

◆資安業者Zscaler傳出遭駭，將其測試環境下線

◆研究人員揭露可針對小米檔案管理工具、WPS Office等安卓應用程式的攻擊手法Dirty Stream

【資安產業動態】

臺灣資安大會將於5月14到16日連三天舉行，今年邁入第十屆，規模更盛大

邁入第十屆的CYBERSEC 2024臺灣資安大會，將於5月14日到16日在南港展覽館二館舉辦，今年展會再度擴大規模舉辦，以「Generative Future」為主題，揭開AI資安新時代。目前完整議程內容已經公布，共有超過300場專業資安演講、近30個資安主題論壇，並增設增設全英文專屬議程「CYBERSEC Global」，以及「CYBERSEC Arena資安競技場」、「資安十年歷史牆」等新活動。

其他重要焦點還包括：「臺灣資安館」、「Cyber Talent資安人才專區」，以及規模比往年更盛大的資安品牌展區。還沒線上報名的企業、民眾，可於會展期間現場報名參與這項亞洲最大的年度資安盛事。

工程會偕數位部5月公布資服採購經費估算編列手冊

行政院公共工程委員會和數位發展部共同研訂的「政府資訊服務採購經費估算編列手冊」已於5月1日正式公布，對於未來個別機關資訊、資安的委外採購事項，都可以參照經費估算編列手冊的內容「照表操課」進行編列，對於促進資訊、資安產業的發展也有正向助益。

此一經費估算編列手冊經過產業界多次討論、意見彙整後產出，行政院公共重委員會副主委葉哲良表示，這份預算編列手冊是屬於操作型手冊，採取正面表列的方式，可以大幅度減輕負責政府資訊、資安委外的公務人員壓力。

近期資安日報

【5月9日】BIG-IP Next集中控管系統的高風險漏洞有可能被用於建立隱藏帳號

【5月8日】多明尼加COVID-19疫苗接種資訊外流，影響82萬人

【5月7日】執法單位預告將揭露勒索軟體駭客組織LockBit首腦身分