2026-05-06 資安新聞重點報告

1. 衛福部推SBOM補強AI供應鏈漏洞，醫療主權雲8大方針正式版將出爐（iThome）
- 結論：衛福部以SBOM作為醫療與AI供應鏈資安治理工具，並將推出「醫療主權雲」八大方針正式版，強化醫療雲端與供應鏈可控性。
- 關鍵事實：推動SBOM以填補AI供應鏈漏洞；「醫療主權雲」提出8大方針；正式版近期將出爐。
- 後續：正式版內容與落地時程、適用範圍與稽核/採購要求仍待公布。

2. 政府機關資安長共識營：強化跨機關資安聯防新布局（經濟日報）
- 結論：政府以共識營方式凝聚各機關資安長，推進跨機關聯防與協作機制，強化整體防護韌性。
- 關鍵事實：資安長齊聚共識營；主軸為跨機關資安聯防；規劃新的聯防布局。
- 後續：聯防運作細節（情資共享、聯合演練、通報SOP與KPI）尚未明朗/待觀察。

3. Apache修補網頁伺服器高風險漏洞（iThome／資安日報）
- 結論：Apache釋出修補以處理網頁伺服器高風險漏洞，使用者需盡速更新以降低被利用風險。
- 關鍵事實：屬高風險層級；影響Apache網頁伺服器相關環境；官方已提供修補。
- 後續：是否出現大規模利用、各雲端/主機商修補覆蓋率待觀察。

4. Oracle擬調整例行更新週期：因應AI加速找漏洞態勢（iThome）
- 結論：Oracle考量AI工具加速漏洞挖掘，研議調整既有例行更新發布節奏，以縮短風險暴露時間。
- 關鍵事實：動機為AI加速找出漏洞；可能調整例行更新週期；牽動企業修補與變更管理節奏。
- 後續：新週期方案、適用產品範圍與過渡安排尚未明朗/待觀察。

5. 歐盟CRA倒數上路：產品安全成供應鏈生死線（iThome／臺灣資安大會直擊）
- 結論：隨歐盟《網路韌性法案》（CRA）上路進入倒數，產品資安合規將直接影響供應鏈與市場准入。
- 關鍵事實：聚焦CRA即將上路；強調產品安全要求；影響供應鏈合作與出貨合規。
- 後續：企業導入SBOM、漏洞揭露與修補承諾等合規落地進展待觀察。

6. 調查局揭「第五領域」資安攻防全貌：看不見的國土保衛戰（iThome／臺灣資安大會直擊）
- 結論：調查局從國安視角說明資安攻防態勢，凸顯數位空間已成關鍵戰略領域，需持續強化偵防與協作。
- 關鍵事實：由調查局長公開說明；主題為臺灣資安攻防態勢；定位為「第五領域」。
- 後續：具體偵防策略、跨部門協作與資源投入細節尚未明朗/待觀察。

7. 新網釣手法ConsentFix v3：可自動化攻擊Azure環境（iThome）
- 結論：ConsentFix v3針對Azure/O365同意授權流程進行濫用，並具自動化能力，提升雲端帳號與資料遭入侵風險。
- 關鍵事實：屬新型網釣/同意釣魚（consent phishing）變體；可自動化攻擊Azure環境；可能繞過部分傳統密碼型防護。
- 後續：防護建議與偵測規則、受害規模與攻擊活動擴散情況待觀察。

8. Edge被曝密碼明文常駐記憶體：共享電腦風險升高（4gamers）
- 結論：研究指出Edge在特定情境下可能使密碼明文長時間留在記憶體，若設備可被存取，憑證外洩風險升高。
- 關鍵事實：密碼明文可能常駐RAM；研究員提出共享電腦風險；屬憑證/瀏覽器安全議題。
- 後續：微軟是否發布修補/緩解措施、影響版本與再現條件待觀察。

9. 2026 CYBERSEC台灣資安大會：匯集59家自主研發業者（經濟日報）
- 結論：CYBERSEC 2026聚焦本土資安研發能量與產業展示，呈現自主產品與生態系集結趨勢。
- 關鍵事實：活動為2026台灣資安大會；匯集59家自主研發業者；聚焦資安產品與解決方案展示。
- 後續：採購導入、產官學合作與國際拓展成果待觀察。

10. 產業動態：資安廠商在CYBERSEC 2026發表聯防、AI與後量子布局（CIO Taiwan／蕃新聞／鉅亨等）
- 結論：多家業者於資安大會推出AI驅動防護、供應鏈治理與後量子資安方案，主打整合治理與韌性提升。
- 關鍵事實：精誠主打AI時代聯防與後量子布局；數聯資安與遠傳展示自研AI「智安Agent」；多家廠商（如飛象資訊等）以雙旗艦/整合方案參展。
- 後續：實際落地案例、與政府/關鍵基礎設施合作及商業成效尚未明朗/待觀察。

11. 檢視故宮「戰時保存機制」：國寶撤離不能只靠LINE（警政時報）
- 結論：針對故宮戰時保存與撤離機制提出警示，認為關鍵指揮通聯不宜僅依賴單一即時通訊工具。
- 關鍵事實：聚焦「戰時保存機制」檢視；點出撤離通聯風險；提出需更可靠的指揮通訊安排。
- 後續：是否調整SOP、通聯備援與跨單位演練規劃尚未明朗/待觀察。

12. CCISO資安長認證：強調從技術走向治理角色（iThome）
- 結論：CCISO認證與課程定位資安長職能，強調治理、風險與組織協作能力，協助資安角色升級。
- 關鍵事實：主題為CCISO資安長認證；強調由技術高手進化為治理關鍵；對應企業資安治理需求。
- 後續：認證採用度、與國內法規/職能框架對接情況待觀察。