雲端服務已經成為我們日常生活不可或缺的一部分，但你知道，當我們越依賴各種雲端服務時，也會有越多駭客開始鎖定各種雲端服務，作為入侵企業的跳板呢？尤其是，當我們目前依賴的各種防毒軟體和偵測工具，無法即時發揮應該有的防護和告警功能時，這將對企業及個人造成何種衝擊與影響呢？

我們很榮幸在2020年5月21日（四）中午12點，邀請詮睿科技資安處處長陳昱崇（Zero Chen）和資安研究員陳正宏（Theo Chen）以「你知道嗎？Dropbox也能變成駭客的專屬後門喲！」為題，跟我們分享，他們如何發現常見的雲端儲存Dropbox服務，怎麼成為駭客入侵的囊中之物？

他們也會跟我們分享，這起Dropbox的APT資安事件和其他APT相較，有使用哪些特殊手法？也會實際分享，在進行資安事件處理（IR）的過程中，從使用者的架構，到鑑識調查過程中遇到的各種疑難雜症，甚至到，建議使用者如何做簡單的自我健診、確認可提供完善的資訊供調查等辛苦歷程，都會跟我們完整分享。

＠講題：你知道嗎？Dropbox也能變成駭客的專屬後門喲！

＠日期：2020年5月21日（四）中午12點

＠來賓簡介：

‧詮睿科技資安處處長陳昱崇（Zero Chen）

駭客食堂主廚，綽號祭肉陳，曾擔任經典線上遊戲（無盡的任務EverQuest）線上客服、遊戲企劃、IT系統管理與資料庫管理，在2008年因緣際會踏入資安領域，同時具備甲、乙方資安相關經驗，擅長資安事件應變處理、網頁滲透攻防與資訊系統架構安全分析，後期較專注於事件應變處理。

曾於2013年向TWCERT / KRCERT舉報KMPlayer APT供應鏈攻擊事件（TWCERT早期通報編號為ICST-ANA-2013-0018）；另於2020年3月，與趨勢科技共同研究發表Operation DRBControl APT事件調查分析報告。

‧詮睿科技資安研究員陳正宏（Theo Chen）

大學時期從程式設計競賽打到CTF競賽，在學期間，參加輔仁大學資訊安全研究會NISRA，內部有多次講授各類滲透測試技巧和實作的經驗。

畢業後主要從事程式開發以及網站滲透測試。近期的研究重心為惡意程式逆向分析，於2020年3月與趨勢科技共同發表Operation DRBControl的分析報告，揭露一場APT攻擊事件背後建構在雲端服務Dropbox上的全新後門。

負責公共政策的Amazon副總裁Brian Huseman發表公開信，要求美國國會應該制定一個聯邦等級的物價哄抬法令，以替全美消費者打造一個平等的保護機制。

在武漢肺炎（COVID-19）疫情爆發時，Amazon就發現該電子商務平臺上出現哄抬價格的現象，主要是與防疫相關的物品，像是各式口罩或洗手乳等，在將相關商品下架並向各州檢舉時，Amazon才發現各州對哄抬物價的法令不盡相同，使得對消費者的保護出現了落差。

為了防止業者過份地提高商品售價，Amazon除了部署動態的自動化技術，來尋找價位不合理的商品，並將它們下架之外，內部也有一個專門監控高需求商品價位的團隊。迄今光是在美國，Amazon便移除了近4,000個涉嫌哄抬價格的賣家帳號，同時把賣家資料交給各州的檢察官。

目前美國約有2/3的州具備在緊急時刻不得哄抬物價的法令，但規範並不一致，標準不一讓零售商很難與執法機關合作。例如有些州認為只要商品售價比平常高於10%到25%就算是哄抬物價，但有些州只是簡單地禁止業者「過份」提高價格，還有些州沒有明確的價格詐欺法令，另有一些州允許業者根據產品或供應鏈成本的提高，合理制定較高的售價。

Huseman指出，基於聯邦的價格詐欺法令應該建立清楚的價格標準，釐清哪些業者或商品應該受到規範，也應有強大的執行權限，才能夠確保全美消費者得到同樣的保護，也將讓諸如Amazon等零售平臺能夠更有效地防範這些詐騙者。同時，他也建議新法令應該賦予美國聯邦交易委員會（FTC）追捕這些詐騙者的權力。

由於Node.js技術債太多，Node.js之父Ryan Dahl乾脆重新建立的專案Deno，經過兩年多的開發，現在終於達到1.0了。

Deno是個JavaScript Runtime，能讓JavaScript和TypeScript程式，在瀏覽器之外的地方執行，並且為了安全起見，所有程式預設在沙盒中執行，而且全面地使用Promises，解決尾延遲（Tail Latency）的問題，不過，Ryan Dahl提到，比起已經發展十年的Node，Deno還很年輕仍有許多限制，開發者在發展專案選擇上要仔細考量。

Node.js在2009年開發，經過了十年發展，現在的JavaScript已經與當時相當不同，Ryan Dahl表示，當時Node必須要發明概念，這些概念被標準組織採納之後，再以不同的實作方式添加到語言中，但隨著JavaScript不斷的發展，還有像是TypeScript出現，管理建置系統和其他繁雜的工具等任務，當使得建構Node.js變成一件困難的事，而且他也認為，Node.js連接外部儲存庫的機制，從根本地整合了NPM儲存庫，這與網頁理想不符。

有鑒於各種因素，Ryan Dahl認為，JavaScript生態系已經發生了巨大變化，是時候進行簡化，他要創造出可用來處理多種任務的高效能腳本環境，而這個產物便是Deno，Deno提供了讓開發者快速編寫複雜功能腳本的獨立工具，可生成單一執行檔，不需要依賴其他工具，在單個檔案就可以定義複雜行為。

和瀏覽器一樣，在預設情況下，Deno會以沙盒執行程式碼，腳本也無法輕易地存取硬碟、開啟網路連接或是任何其他具潛在惡意操作的行為，Deno雖可以讓應用程式存取相機和麥克風API，但是需要經使用者授與權限，其能夠在終端中提供類似的控制，使用者除非在命令列使用--allow-net等特有標籤，應用程式才能使用指定的功能。

由於為了讓Deno適用於更廣泛的領域，因此強調能良好支援JavaScript語言擴展TypeScript，讓開發者能夠選擇性提供類型資訊，Ryan Dahl提到，特別是複雜的伺服器端商業邏輯，類型檢查的需求變得重要，因此Deno在設計時特別考量TypeScript，Deno類型命令的所有內容都提供類型宣告，Deno的標準模組也全部使用TypeScript編寫。

而Ryan Dahl也特別強調了Deno和Promises的深度結合，他提到，當初在發展Node的時候，還沒有Promises或async/await的概念，這些都是之後才出現的，Node是以EventEmitter來提供類似的功能，除了無法獲得async/await的好處之外，EventEmitter模式還會有背壓（Back-Pressure）的問題，而Deno沒有這些問題，Deno從低階繫結層到系統，都緊密的結合Promises。

在發布Deno 1.0的同時，Ryan Dahl也說明了許多Deno當前的限制，他提到，由於Deno不是Node的分支，而是一個全新的實作，從生態系發展角度來說，可能還不適用於部分應用程式，而且Deno與Node套件並不相容，雖然他們提供了一個相容層，計畫逐漸讓Deno能夠直接執行Node程式，不過目前這個專案還只是在初始階段。

而Deno的HTTP伺服器的效能，最大每秒約處理25,000個請求，最大延遲為1.3毫秒，而在類似的Node程式，每秒則可處理34,000個請求，最大延遲介於2到300毫秒之間。Ryan Dahl表示，Deno是一個適當的非同步伺服器，最大延遲的表現比Node更好，而每秒處理25,000個請求應該可以滿足大部分的應用，如果需要更高的處理量，或許不適合採用JavaScript開發。

在擴充套件上，Deno社群正在發展一個全新的套件系統，讓開發者自定義程式來擴展Deno Runtime，不過這個專案也還在初期階段，介面還在開發中未達穩定階段，因此目前要存取Deno提供之外的本機系統還很困難。

Nvidia今天（14日）推出採用全新Tesla A100 GPU打造的新一代AI超級電腦系統DGX A100，運算效能更翻倍可達到5 PetaFLOPS，但只要前一代DGX-2的一半價格，單臺售價只要19.9萬美元起（約新臺幣600萬元），未來將能用於企業資料中心，協助其打造AI訓練和推論執行所需加速運算環境。

Nvidia自2016年起，每隔兩年便翻新一代AI超級電腦DGX產品，以因應資料中心每年對於AI加速運算、HPC高效能運算需求的大量增長。在今日一場線上GTC大會主題演講上， Nvidia執行長黃仁勳一如往年發表DGX產品線新一代產品DGX A100，也是繼DGX-1、DGX-2之後，Nvidia最新推出的第3代DGX產品。

早在主題演講前兩天，就有一段黃仁勳從家裡烤箱熱騰騰端出超大型GPU運算卡的短片在網路瘋傳，短時間就吸引40萬人點閱。當時影片中的機器，正是這臺DGX A100，黃仁勳在今天大會中強調：「它是世上最大的GPU加速運算卡。」這不單指它的體積、重量，更強調其在AI運算加速的效能，更甚以往幾代。

有別於前一代DGX產品，該公司替這代DGX A100系統，一次裝進8張Tesla A100 GPU加速卡，與合計320GB HBM2記憶體，並以NVSwitch光纖互連。雖然，新系統配備的GPU張數僅有前代一半 ，但靠著翻新GPU架構與製程技術，採用效能更高的Tesla A100 GPU，使其運算效能可達到5 PetaFLOPS （每秒千兆次浮點運算），相較之下，還比原來採用16張Tesla V100 GPU的DGX-2更高，其效能僅有2 petaFLOPS。

Tesla A100 GPU也是Nvidia首款以7奈米Ampere新架構推出的GPU加速器產品，內含有高達540億顆電晶體。在這顆GPU內，還內建第3代Tensor GPU的AI運算核心，多達432個Tensor cores，在深度學習模型訓練，推論執行方面，都比前一代Volta架構GPU足足高出20倍之多。

值得一提的是，這代CPU首次改用AMD的伺服器CPU，取代前面二代使用的英特爾Xeon系列處理器，DGX A100搭配的是兩顆最新64核Rome伺服器處理器，並可容納最多1TB的記憶體容量，以加快資料存取的反應速度。

在對內GPU互連上，新款DGX A100運算主機，除了能以6個NVSwitch光纖互連架構，提供多達每秒4.8 TB的雙向頻寬，每顆GPU之間的頻寬亦提高到了600GB/s。另針對網路連接介面，該款設備也使用最近剛完成併購成為旗下網路品牌的Mellanox產品，能提供9個200Gb/s的Mellanox ConnectX-6 HDR高速網路介面，總頻寬可達3.6Tbps的傳輸能力。至於儲存方面也有所升級，採用高速儲存的第4代NVMe SSD陣列，並提供最多15TB容量用於内部儲存。

另外，這臺機器本身還提供多個軟體堆疊或工具，可用於加速AI運算的使用，包括了Spark3.0、CUDA加速函式庫RAPIDS、Triton ，以及常用DL開發框架如TensorFlow、PyTorch等。

Nvidia舉例，原來要打造一座現代化AI資料中心，用於ML模型訓練與AI推論，需要數十臺的DGX-1搭配上百顆的伺服器CPU，光是初期建置成本，就高達1千1百萬美元，現在改用DGX A100的話，只須一個伺服器機櫃，裝進5臺DGX A100，就能達到同樣的用途，用於資料分析、AI加速運算，而且費用只有原來十分之一，空間和能耗也更省。

同一場合，Nvidia還發表以140臺DGX A100打造擁有700 PetaFLOPS運算能力的DGX SuperPOD超級運算叢集節點，效能更遠遠高於TOP500超級電腦第一名，目前排名第一的超級電腦Summit的運算效能達到148.6 PetaFLOPS。而這代DGX SuperPOD還比它多出快5倍，甚至還可以擴充到最多４個SuperPOD節點建立運算叢集，其運算能力更高達2.8 ExaFLOPS 。

DGX A100目前已開始於全球出貨，每臺售價19.9萬美元起。並已有美國能源部的阿貢國家實驗室先採用，其他早期採用者，不少是國家研究機構或AI實驗室，像是德國DFKI研究中心、UAE人工智慧辦公室等，另外也有一些AI公司如Element AI、Harrison.ai等未來也要用。

受武漢肺炎疫情衝擊的影響，每年3月在美國聖荷西舉辦的GTC技術大會，今年首度改為線上進行，Nvidia更將主題演講延到5月中以網路播送方式舉行。而Nvidia執行長黃仁勳更是直接在家裡開講，不只向網路收看的資料科學家、還有眾多AI開發者，發表一系列整合GPU加速運算新產品，以及新AI開發工具或應用框架，他會中更揭露該公司新的戰略方向，就是要以打造全程端到端的資料中心等級GPU運算平臺為目標，以便能在單一臺運算設備，能實現有如資料中心規模等級的運算性能（data center-scale computing）。

一開場，黃仁勳便回顧過去25年來GPU加速運算的發展，從最早平行運算GPU晶片，CUDA運算核心軟體堆疊，系統架構發展到單一整合架構。但是真要說到，近幾年，促使加速運算在資料中心領域迅速受到重用的關鍵，他分析主要有兩大原因，一個是以大量資料餵送來提高準確率的新型演算法，或稱為機器學習演算法的出現，使得如何處理資料中心內部大量資料傳遞與資料運算處理，變得極為重要。而應用類型越來越龐大且複雜則是他提到的另一個原因，難以再像以前，單靠提高單臺伺服器本身的運算效能，就能應付處理各類型應用工作負載。

因此，黃仁勳直言：「伺服器已不是資料中心的最小運算單元，資料中心本身已成為新的運算單元，」甚至他認為，下一個十年，具備有資料中心處理等級的運算設備，將會是一種常態，意味著，資料中心將成為數據運算的最基本單位。這也是Nvidia的新戰略方向，未來也要能夠提供全程端到端的資料中心等級的GPU運算平臺方案。

由於越來越多企業走向軟體定義資料中心，許多開發者都將自己應用放在上面執行，為了要能涵蓋這些不同類型應用的執行，特別是AI應用，他認為，新一代資料中心等級的運算平臺，不只要有高效能運算處理能力，還要能夠涵蓋網路、儲存，甚至從上層應用到底層所有軟體堆疊優化都包含在內，藉此來達到最佳化的加速運算。這正是Nvidia去年決定買下Mellanox這家公司的原因，甚至不惜重砸69億美元，為的就是補足其在資料中心內部高速網路架構和資料傳輸這一塊拼圖。前不久，Nvidia更加碼買下另一家以Linux為基礎核心的網路OS軟體公司Cumulus，也是為了這個目的。

在完成併購後，Mellano如今已成為Nvidia的網路部門，Nvidia今日也以Mellanox品牌推出新產品，包含一臺高速乙太網路交換器Spectrum 4000、新一代可程式SmartNIC平臺BlueField 2 等。

而在AI加速運算方面，Nvidia發布新一代Ampere架構GPU產品Tesla A100，也是首款採用台積電7奈米製程打造的GPU晶片，內含540億顆電晶體。這代GPU提供了多達6,912個CUDA核心、外加432個Tensor Core的AI運算核心，並加入許多可用於AI運算加速與處理新技術，像是這代GPU就採用多實例GPU技術 (Multi-instance GPU），來提高在GPU上同時並行執行AI運算任務的能力，另外，對於稀疏矩陣格式運算也進行優化，可提供2倍執行加速，並支援TF 32、FP16、BFLOAT16等浮點格式，以及INT8與INT4資料類型。

根據Nvidia內部測試數據顯示，當以Tesla A100加速卡執行AI模型訓練時，其運算效能比起前一代Volta架構V100高出20倍之多，達到312 TFLOPS（以單精度浮點運算為基準），另在執行AI推論表現亦優於V100，可提供1,248 TOPS的運算力。就連在HPC應用，對比前一代也有近2.5倍的提升，達到19.5 TFLOPS。另以Google自然語言模型BERT進行訓練與推論的話，A100則較V100分別高出6倍與7倍之多。

基於這代GPU運算加速器產品，Nvidia還推出一臺整合8張Tesla A100 GPU加速卡組成的AI超級電腦系統DGX A100，效能是前一代DGX-2的兩倍，可達到5 PetaFLOPS，但只需用原來一半價格，大約臺幣600萬元就能買到，這樣一臺媲美AI資料中心算力級別的運算設備。目前已於全球出貨。

黃仁勳還介紹了邊緣AI運算用的新一代EGX融合加速器平臺EGX A100，同樣採用Ampere架構GPU，並整合Mellanox的martNIC網卡，一併放進該加速器平臺，能用於各種產業邊緣AI應用。除了可在該平臺上執行預設AI模型，該公司也提供了EGX參考AI應用框架，對應到不同產業，像是針對智慧城市提供Metropolis，或是醫療保健用的Clara，還有用於5G電信的Aero，以及對話式AI的Jarvis與機器人技術的Isaac等。預計年底前出貨 。

除此之外，Nvida這次也有不少相關的AI開發工具、軟體推出， 例如，最新一個多模式對話式AI服務的應用框架Jarvis就是其中一個，可讓開發者用於建立ASR 、NLU、TTS、A2F等語音辨識、自然語言理解推論模型，Nvida還展示以該技術搭配3D設計協作平臺Omniverse打造的一個3D聊天機器人Misty，有著水滴卡通造型的Misty，使用Audio to Face模型，來模擬人講話動態以及嘴型，可以用自然地口吻與人交談和互動，或回答對方的提問。另一個推出的AI簡化和管理應用工具Merlin，則是可用於推薦系統所需AI模型的快速開發、建立，優化，提供更個人化的推薦。

從Windows 10 May Update 2020 (2004)更新開始，微軟將為作業系統內建的Windows Security加入偵測及防堵垃圾程式的新功能。

垃圾程式（potential unwanted program，PUP）又稱垃圾App（potential unwanted Application，PUA），是一種令人討厭的軟體，可能造成電腦或裝置效能下降、顯示廣告，甚至安裝有害程式，如木馬、追蹤軟體或是挖礦軟體。

微軟將在Windows 10 May Update 2020/ 2004首度加入垃圾軟體的偵測及封鎖功能。本項功能藏在Windows 內建的Windows App中，它根據微軟的信譽評等（reputation-based）技術偵測App或下載檔案。

最新PUA防護功能預設關閉。使用者可以到「設定」、「更新＆安全」、「App&瀏覽器控管」、「信譽評等防護設定」下找到並開啟垃圾程式封鎖功能，可以選擇封鎖可疑的應用程式或是下載的檔案，也可以兩者都封鎖。

微軟證實Windows 10 May Update 2020將在5月正式對大眾釋出，可能是最後一周。

Google釋出Meta-Dataset，這是一個用於少樣本（Few-Shot）學習研究的資料，在這個資料集中，Google提出了一個大規模且多樣化的基準，可用於量測不同圖像分類模型的能力，並提供一個用來研究少樣本學習的框架。

Google提到，雖然最近深度學習在一些難題上，都取得了重要的進展，但是這些成功的應用，通常來自於大量需要手動註解的訓練資料，因此這也顯示出了少樣本學習的研究價值，從科學的角度來看，深度學習演算法從有限樣本中學習的能力，與人類相比的確存在明顯的差距，而另一方面，從實際應用的角度來看，少樣本學習也是一個很重要的課題，可讓模型解決缺乏大型標籤資料集的問題，使機器學習應用更加普遍。

近來有許多針對少樣本分類的研究，不過之前的基準測試皆無法可靠地評估每個模型相對的優點，因此阻礙了研究發展。Meta-Dataset由10個公開圖像資料集組成，包含ImageNet、Fungi和CUB-200-2011，還有一些手寫字元和塗鴉圖像等，Google還公開了程式碼，其中包含了筆記本，展示使用TensorFlow和PyTorch應用資料集的方法，以及使用Meta-Dataset對現存少樣本圖像分類模型，進行初步研究的成果。

標準圖像分類會用一組特定類別的圖像資料集來訓練模型，並使用同類別的圖像測試模型效能，而少樣本分類的目的則是訓練出靈活的模型，希望僅使用幾個範例就可重新使模型能分類新的圖像類別，Meta-Dataset最終目標是要讓模型，能夠在各種測試任務都能表現良好，並且處理在訓練階段未曾看過的類別。

Meta-Dataset是目前用於少樣本圖像分類研究中，最大型的跨資料集組織基準，而且其使用了特殊的採樣演算法，能夠改變每個任務中的類別數和每個類別案例數，透過加入類別不平衡和特定資料集，來改變每個任務之間的類別相似度。

在利用Meta Dataset評估當前預訓練和元學習模型之後，Google得出了一些結論，目前的方法都難以使用異構訓練資料來源，而有部分模型，比其他模型還要能夠利用資料，Google提到，Meta Dataset為少樣本分類帶來新的挑戰，並且在初步的研究，已經發現了現有方法的限制，找到需要進一步研究的方向，Google希望Meta Dataset能推動少樣本學習這個機器學習子領域的研究。

法國議會在本周通過了有關仇恨言論的修正版法案，要求網路平臺要在24小時內刪除「明顯違法」的內容，最高罰款為該平臺全球營收的4%，該案很快就引起言論自由派的關注。

根據該法案，法國將會在法院設立一個政府部門與數位檢察官，專門負責監控及處理網路上的仇恨言論。任何推廣犯罪、歧視、仇恨、暴力、侮辱或性騷擾的內容都會被視為仇恨言論，網路平臺必須在收到通知的24小時內移除，若是涉及更嚴重的戀童或恐怖主義，則必須在1小時內移除，違反該規定的業者則會被重罰。

儘管法國司法部長 Nicole Belloubet認為，此舉將有助於減少網路上的仇恨言論，但主張言論自由的團體則批評此法太過偏激，因為若網站無法在1小時內移除相關內容，警方也許可以要求ISP業者封鎖該平臺。

此外，假設平臺誤刪了內容，卻不會受罰，意謂著該法案可能造成「寧可錯殺，不可放過」的效應。亦有批評者擔心，該法案可能造成政客為了自己的政治目的，濫用權力來監控網路的後果。

不只是法國，德國也有類似的法令，倘若社交平臺在收到通知的24小時內，未移除仇恨言論或假新聞，就可能收到最高6千萬美元的罰單。

專門提供WordPress網站安全服務的Wordfence本周指出，他們發現了Google所提供的WordPress外掛程式Site Kit by Google，含有一安全漏洞，允許任何經過認證的使用者，成為Google搜尋控制臺（Google Search Console）的所有人。

Site Kit是一個可在WordPress的儀表板上部署、管理及檢視所有Google工具的外掛程式，支援搜尋控制臺、分析工具Analytics、AdSense廣告服務、檢視網頁效能的PageSpeed Insights、管理標籤的Tag Manager，以及最佳化工具Optimize，現有30萬個WordPress網站安裝了Site Kit。

根據Wordfence的說法，Site Kit的作法是先連結Google的搜尋控制臺帳號，之後再提供其它能力以連結 Analytics、AdSense、PageSpeed Insights、Optimize與Tag Manager。

為了建立Site Kit與搜尋控制器之間的連結，Site Kit外掛程式會產生一個proxySetupURL以將網站管理員導至Google OAuth，並執行網站所有人驗證程序，由於缺乏對admin_enqueue_scripts行動的能力檢查，使得proxySetupURL在管理員頁面上以HTML原始碼的方式呈現，而曝露在任何經過授權且存取/wp-admin儀表板的使用者面前。

一旦成為搜尋控制臺的所有人，就能變更網站地圖、從Google搜尋結果中移除頁面，或是用非法手段來提高網站排名（Black Hat SEO）。幸好Google有個安全機制，若有新增的搜尋控制臺所有人，就會寄出郵件通知，讓既有的所有人有所警愓。

Wordfence是在今年的4月21日發現該漏洞，同一天就通報了Google，Google已於5月7日更新Site Kit。

AWS釋出用於Kubernetes的雲端開發套件cdk8s，這是一個開源開發工具套件，讓使用者可以在Kubernetes叢集中更簡單地進行建置和維護工作。

目前有不少企業運用Kubernetes大規模的部署應用程式，或是大規模地訓練機器學習模型，使用者會建置自動化工具來替代手動操作流程，並為其基礎設施的每一部分，實作操作工作管線，讓開發團隊能夠更細緻地控制應用程式執行的方式。

Kubernetes應用程式是透過靜態YAML資料檔案來定義，YAML是一種人類可讀的檔案格式，但每當建構新的應用程式，就需要編寫大量的樣板配置，通常開發人員會從其他專案複製程式碼，手動調整或加以自定義，隨著應用程式和團隊的發展，管理YAML檔案會越來越困難，無論是共享最佳實作或是更新，都需要大量的手動變更和複雜的搬遷。

AWS提到，雖然YAML是一個好用的格式，能夠描述叢集需要的狀態，但是其缺乏表達邏輯和可重複使用的抽象原語，而這與用戶使用CloudFormation模板定義應用程式遇到的問題相同，AWS在2018年的時候，推出AWS Cloud Development Kit（AWS CDK）來解決這個問題。

AWS CDK是可讓使用者利用TypeScript、Python、Java或.NET自己熟悉的程式語言，定義雲端基礎設施的開源框架，AWS CDK可以簡化開發程序，其可組合的特性，能夠讓用戶編寫設定和樣本細節，現在AWS將CDK的概念，擴展應用到Kubernetes上，釋出全新專案cdk8s。

cdk8s讓使用者同樣可以利用熟悉的程式語言，定義Kubernetes應用程式和可重複使用的元件，生成標準的Kubernetes YAML，也就是說，用戶無論是在企業就地部署，抑或是在任何雲端平臺，都可以利用cdk8s來定義Kubernetes叢集應用程式。

cdk8s讓用戶能夠以強類型類別，導入核心Kubernetes API物件和自定義資源（CRD），作為建構模塊（Construct），使用戶可以利用物件導向原語來定義Kubernetes應用程式，AWS提到，cdk8s最強大的地方在於讓用戶編寫自己的抽象。使用者利用cdk8s，可將常用的Kubernetes模式發布為函式庫，然後其他應用程式就能參照這些函式庫，這種方式簡化了所有Kubernetes用戶定義和維護應用程式的程序。

目前cdk8s仍處於Alpha測試階段，有興趣的開發者可以搶先開始試用，不過AWS也提到，在未來幾個月，cdk8s還是會有重大變化，這個改進過程會一直到進入穩定版為止。

臉書兩周前公布最多可支援50人的視訊平臺Messenger Rooms，這項服務已於周四在全球上線，美國以外用戶可以Messenger App啟動視訊。

Messenger Rooms是臉書Messenger軟體中視訊會議功能的擴大版。使用者可透過臉書的動態消息、群組和活動三處選擇聯絡人啟動免費視訊，而且沒有通話時間限制。若對方沒有臉書帳號，則可傳送連結邀請對方加入。會議主持人可以選擇參加者或選擇上鎖、不開放其他人加入，也能隨時將特定與會者移除、封鎖。參加者可以自由離開，或是通報違反社群標準的會議室名稱。

目前北美用戶可以直接在臉書上啟動Rooms視訊，而其他地區用戶則需使用Messenger啟動視訊。Messenger Rooms最多支援50人同時視訊，臉書表示會於近日將這項功能推向全球，也說接下來幾個月將會再陸續新增Rooms的功能，包括從IG私訊（Direct）、WhatsApp或Portal視訊裝置。

臉書特別說明Rooms提供的隱私保護，像是臉書不會聽取或觀看Rooms中的視訊內容，Rooms內不會有廣告，當中的影像視訊也不會用來發送廣告。此外，臉書說強化Rooms連結的安全性使之不容易被破解。與會者如果未登入臉書，則他們加入前臉書也只會詢問名字以顯示在視訊中，但在必要情況下，臉書會分享Rooms名稱及成員名單給外部廠商，檢視用戶通報的問題。

但是臉書也提醒用戶，透過臉書或Messenger加入視訊時，非臉友用戶也會看到和聽到用戶的訊息，也會看到用戶名稱及公開的臉書帳戶資訊。

對手機用戶而言，Messenger Rooms需要下載最新版本Android或iOS Facebook及Messenger應用程式。桌機用戶則需最新版Messenger Desktop。

臉書將以Rooms挑戰Zooms以及上周開放免費使用的Google Meet。

微軟去年11月公告將支援DNS over HTTPS (DoH)，周四微軟宣布，第一個可測試的版本已透過快速通道（Fast Ring）釋出給Windows Insider測試方案的開發人員。

DoH是為了解決DNS查詢流量明碼傳送，導致用戶IP及查詢網站被攔截、監聽的問題。其原理是用戶傳送HTTPS加密的查詢流量至特殊的DNS伺服器，由其呼叫DoH解析器(resolver)處理、解密並轉到一般的DNS伺服器，最後解析結果再以HTTPS回傳給用戶端。

Mozilla的Firefox已在去年9月預設啟用DoH，而Google也正在實驗Chrome的DoH服務。但是兩家廠商以瀏覽器來接手DNS流量處理的作法令企業IT管理員感到困擾，因為這等於是不遵循作業系統的配置，且Firefox獨尊Cloudflare，也令使用者不滿。Windows支援DoH則可將DNS流量控制權再交回IT管理員手上，此外，也讓未原生支援DoH的應用程式也能提供用戶保障。

相較於Google合作的5家支援DoH的DNS供應商，Windows DoH服務使用的有Cloudflare、Google、Quad9三家。

用戶電腦必須是Build 19628版本以上的Windows Update才能測試。但微軟仍強調這是早期測試版，還不是很穩定，提醒用戶不要安裝於正式工作環境下。

Google本周宣布，Chrome瀏覽器除了依循「優質廣告標準」（Better Ads Standards），陸續封鎖各種不被使用者接受的擾人廣告之外，今年8月將採取進一步的行動，封鎖那些耗費太多頻寬或CPU資源的廣告。

Chrome產品經理Marshall Vale表示，他們最近發現，大概有1%的廣告消耗了不成比例的裝置共享資源，像是電池或網路頻寬，它們也許是挖礦程式，或者是程式寫得不好，又或者是未針對網路使用進行最佳化，而會消耗電池續航力，讓已經頻寬不足的網路更加飽和，或是損及使用者的數據方案。

因此，Chrome決定要在使用者與廣告互動之前，便限制廣告所使用的資源，若達到所設定的資源門檻，即會直接出現錯誤訊息，告知使用者該廣告因耗用太多資源而被封鎖。

目前Chrome所設定的門檻為廣告所使用的頻寬達到4MB，或者是在30秒的時段內使用了15秒的CPU，或是總計使用了60秒的CPU，都會被Chrome攔下。

根據Chrome團隊的統計，目前大概只有0.3%的廣告超越這個門檻，但它們所使用的網路頻寬，卻占了所有廣告頻寬的27%，CPU使用量也占了所有廣告的28%。

總之，Chrome決定不再容忍這些使用過多資源的廣告，準備在8月底就於穩定版的Chrome瀏覽器中嵌入相關的封鎖機制，相關的廣告主或開發人員應該趁早調整其廣告設計。

最近臺灣有一些企業面臨惡意軟體的攻擊事件，許多人都在猜測是否與總統即將於5月20日就職有關，這些攻擊活動是否有關聯性，仍有待釐清，但這些公司在事件發生的當下，對外揭露相關資訊的方式，仍有不少可議之處，如果未來在緊急應變時，能夠更即時、更主動地公開目前處理的狀況，各界一旦有了這些透明的資訊，能夠掌握整體事態的進展，也會讓顧客與一般民眾更加安心。

以台灣中油受到惡意程式攻擊的事件為例，我們在5月4日因為先看到其他新聞媒體的報導，而開始追蹤此事的進展，當時我們只能從經濟部的網站，看到他們發出台灣中油的新聞稿（發布時間為下午3時），當中以兩段文字解釋當時的狀況，而台灣中油的臉書粉絲團也在50分鐘後，轉貼了這個新聞稿連結，若要進到台灣中油的網站（www.cpc.com.tw）查看時，卻無法連上。

到了5月5日上午9時50分，經濟部再度替台灣中油發出新聞稿，指出系統復原情況，而台灣中油的臉書粉絲團同樣在50分鐘後，轉貼了這篇新聞稿連結，但底下仍有許多網友留言，表示相關服務並未完全恢復。

5月7日下午2時30分，經濟部繼續替台灣中油發出新聞稿，該公司表示他們正逐站檢測資訊設備並非斷油，台灣中油的臉書粉絲團仍舊在相同的時間間隔後，轉貼新聞稿連結。到了5月9日，經濟部在下午3時20分發布新聞稿，宣告台灣中油已順利運作，而其臉書粉絲團則是隔了2個半小時，轉貼這項消息，但網址是台灣中油自家網站。

這中間讓我們很納悶的是，台灣中油的網站到底怎麼了？為何這些資安應變的公告不是由該公司網站來發布，而是透過他們的主管機關經濟部來進行。

如果該公司網站可以正常運作，出現這類資安事故之後，相關對外的消息公告，理應是從這裡先發布，而非依托其他機構或管道。當然，前提是網站必須要正常運作，任何關切此事的人們皆可順利連上。

其實，公司本身經營的社群網站專頁，例如臉書粉絲團，也是一般人認可的公共溝通管道。而經歷此次事件之後，希望這家公司能夠重新審視公告相關訊息的方式，以便讓消費者與社會大眾掌握實情，不只是根據媒體報導、輿論來揣測，也能經由公司直接對外公告的資訊來理解現況。

上述作法雖然仍有不少可改進的部份，我們期待台灣中油能夠繼續提供更完整的事件處理經過資訊，但不論如何，他們至少發布了一定數量的消息，表達了對外溝通的誠意。反觀其他近期爆出遭到惡意程式攻擊的企業，所揭露的消息可說是寥寥可數。

例如，台塑集團5月5日傳出遭到電腦病毒攻擊，就沒有對外發出公告，我們看到社群網站、新聞媒體報導之後，以電話聯繫該公司，才證實這項傳言。另一家力成科技5月5日傳出遭到惡意程式攻擊，我們無法連上該公司的網站，隔天，他們在台灣證券交易所的公開資訊觀測站發布消息，但僅提出78個字的說明，到底是因為何種方式而被感染，外界不得而知。

這些公司對於當時面臨的資安威脅，或許各有難言之隱，然而，公開揭露的資訊太少，其實無助於外界的理解與包容，而其他可能感染或有被滲透風險的企業，也無從防範，甚至已經受害卻不自知，因此，我們還是期望每一家公司在面臨這樣的事故，最好能夠積極、主動說明，雖然會損及商譽，但至少在一定程度的揭露下，不會讓大家瞎猜而造成恐慌。

05/02~05/15精選IoT新聞

 NFC充電  IoT裝置  

NFC將有無線充電功能了！低功耗的小型IoT裝置將有新的充電選擇

負責制定全球NFC技術標準的NFC論壇，於近日宣布其董事會已核准通過在NFC近場通訊功能採用名為無線充電規格（WirelessCharging Specification，WLC）的技術，未來可用於內建NFC感應晶片的小型IoT裝置。這也意味著，原本僅作為通訊用途的NFC，未來在同一電子裝置裡，將能同時提供感應與充電兩種功能。這也是繼點對點、讀取/寫入、卡片模擬模式後，NFC新加入的第4種非接觸式操作模式。

雖然在充電功率上，WLC規格只提供充電最高1瓦特，並不如主流無線充電規格Qi高，可提供5瓦、10瓦、甚至30瓦的充電功率，但WLC設計上，可以NFC單條天線同時執行通訊和充電，更為省電，因而適合用於低功率的IoT裝置，像是無線耳機、智慧型手錶、健身智慧腕帶、數位筆等小型消費裝置都適用。WLC規範目前已成為NFC論壇正式技術規格，並準備提供IoT硬體廠商實作。

 自駕車    Waymo  

Waymo將於5月恢復自駕車營運，美國鳳凰城先復駛

Alphabet旗下的自駕車子公司Waymo於7日宣布，將逐漸恢復自駕車營運，包括重新提供載送服務，並繼續無人自駕車道路測試。由於受到武漢肺炎疫情的影響，為了配合各州防疫政策，該公司自3月決定暫停所有自駕車測試與營運。在停駛近2個月後，該公司近日表示，在確保個人健康與安全無虞前提下，將開始逐步恢復原有自駕車業務的運作，時間將自5月11日起。Waymo表示，第一階段將以測試車隊的復駛為主，重返道路展開測試；接著，將會重啟Waymo One自駕車叫車服務，並先以亞利桑那州的鳳凰城地區開始提供，接下來數周內也會加入舊金山、底特律和洛杉磯等城市。Waymo也重新規畫了自駕車移動與接送方式，以符合社交距離的要求，並也加強人員培訓以及車內消毒與清潔，為自駕車復駛做好準備。

 無人機   Remote ID  

FAA公布以英特爾、亞馬遜、Wing為首的無人機RemoteID技術夥伴，中國無人機製造商DJI未列入名單

去年底，美國聯邦航空管理局（FAA）要求未來無人機要導入Remote ID技術，可供執法或聯邦安全機構自遠端辨識其身分，以改善無人機的安全。近日，FAA經過RFI提案審查公布8家技術合作夥伴，分別為Amazon、Intel、Airbus、Wing、AirMap、One Sky、Skyward、T-Mobile等，但並未包含中國最大無人機製造商DJI。

FAA表示，未來將透過與這些無人機廠商與電信業者的合作，協助制定Remote ID技術規格，以便於其他無人機服務商可以依據此規格開發RemoteID所需的應用程式，並透過該應用向安全機構提供辨識正在飛行的無人機及其位置等資訊。目前該技術規格與先前提出的Remote ID規則都還在研擬當中，FAA表示，待公布正式規則以後，也將一併公布相關Remote ID應用要求，並開放相關業者申請，以符合FAA的規定。

 IoT安全    SIEM  

RSA推出物聯網安全監測工具，可提供相似SIEM安全資訊和事件管理功能

老牌資安產品及服務供應商RSA近日推出一個物聯網安全監測工具IoTSecurity Monitor，可強化IoT裝置和軟體安全性。該工具主要被運用於邊緣運算閘道器，採用先進行為分析與威脅偵測技術，來檢測對於IoT與邊緣裝置的威脅。該公司技術長Zulfikar Ramzan表示，該工具其中一個用途是可以提供近似於安全資訊和事件管理（SIEM）的功能，可以做到針對IoT裝置與工控OT系統即時進行安全監控，並能在偵測到威脅時立即反應，還能以視覺化方式來呈現這些異常事件或監測結果，方便安全管理者查看，早一步採取防護行動，以降低安全風險。

微軟   Azure Sphere  

為強化安全物聯網平臺Azure Sphere的安全，微軟舉行挑戰賽祭出最高10萬美元獎金抓漏

微軟近日推出一項Azure Sphere安全研究挑戰賽，廣邀各路資安領域好手來抓漏，協助該公司找出Azure Sphere的安全漏洞。Azure Sphere是微軟今年2月推出一個安全物聯網平臺，由Azure Sphere作業系統、MCU晶片與Azure雲端安全服務所組成。為了強化Azure Sphere在IoT裝置的安全性，微軟決定推出Azure Sphere抓漏挑戰賽，並開放安全研究人員在5月15日以前提出申請，挑戰時間將為期3個月，從今年的6月1日到8月31日。若參賽者能在其中的Pluton安全子系統硬體上執行程式，或是在具備安全監控能力的SecureWorld執行程式，都有機會獲得最高10萬美元的獎金。

無人機   DJI   

DJI新款工業用無人機Matrice 300 RTK亮相，結合更先進避障功能，續航可達近1小時

中國無人機廠商DJI最近推出新款工業用無人機Matrice 300 RTK，不僅飛行續航更長，在充飽電的狀態下，可以提供多達55分鐘的續航時間，且無需關機即可更換電池，還支援快充充電。這代無人機也改進了影像傳輸系統，能讓無人機從15公里遠的地方回傳即時影像畫面，並可維持1080p高畫質影像。而在環境感知及避障方面，該無人機還採用6向定位感測和位置追蹤技術，能偵測最遠40公尺障礙物，還加入如Smart Track物體自動追蹤等先進AI功能。它的機身還搭配一組Zenmuse H20雲臺相機，內含一個2,000萬畫素變焦鏡頭、1,200萬畫素廣角鏡頭、雷射測距儀，用於環境數據蒐集，還能整合紅外線攝影機，可運用於空中巡檢、環境測繪、安防等不同領域應用。該無人機將於下半年上市，但尚未公布售價。

智慧醫療   科技防疫   

北醫聯手工研院試導入醫療防疫照護平臺，靠IoT與AI技術實現遠端患者病情監測，降低接觸感染風險

臺北醫學大學附設醫院近日於類負壓隔離病房導入一個零接觸式防疫科技平臺，用於防疫醫療照護。該平臺採用了工研院團隊開發的物聯網智慧閘道器與AI影像心律偵測技術，可將量測到的患者體溫、心律、呼吸、離床等生理資訊，改透過非接觸式的醫療IoT感測器匯整並通報給遠端的護理站，以降低醫療人員與患者近距離肢體接觸感染的風險。護理人員一旦發現異常，能透過該平臺以視訊向病患詢問與溝通，不需要多次進出病房，患者也能透過手機App即時取得自身生理數據、醫療記錄及相關衛教資源。

圖片來源／圖片來源／DJI、NFC論壇、RSA、Waymo

 更多IoT動態 

1.受到COVID-19疫情衝擊，福特決定延後自駕車商用服務至2022年上路

2.中華電信正式取得AWS IoT能力認證，為臺灣電信商第一

3.傳聞微軟將以1.65億美元買下以色列工業IoT安全業者CyberX

4.以GPS廠商Gurtam為首的數家IoT業者，新成立COVID-19物聯網聯盟，要協助各國對抗疫情

資料來源：iThome整理，2020年5月

Office 365企業用戶要小心了，微軟周四提醒，才剛改版1個月的Azure AD登入頁已經出現偽造版本，攻擊者透過釣魚信件將用戶引導至惡意網站以竊取帳密。

微軟的Office 365 ATP軟體資料偵測到多起釣魚郵件攻擊，牽涉至少幾十個釣魚網站。由於新版Azure ID登入頁於今年2月公布，4月才上線。這幾波釣魚信件攻擊顯示，駭客因應情勢變化的速度有多快。

其中一則釣魚郵件以「收到業務檔案」為主旨，內文附上一個偽裝為OneDrive共享檔案文件的PDF檔，點擊「存取文件」後，會被導向一個看似新版的Azure ID登入頁面，企圖騙取Office 365用戶的帳密。這封郵件隨後被Office 365 ATP（Advanced Threat Protection）偵測到。

駭客經常利用火紅議題及常見服務，提高網釣攻擊效果。像是去年詐騙人士傳送假冒中華郵政查詢包裹網頁，以騙取民眾手機號碼，今年則有假冒的武漢肺炎疫情地圖，上周則有駭客散布和思科WebEx有關的網釣信件，謊稱用戶憑證有問題，導引緊張的用戶連到假WebEx網頁輸入帳密。

微軟宣布，已與雲端通訊服務供應商Metaswitch簽署正式的併購協議，未來將把Metaswitch技術整併到Azure中，以服務全球的電信營運商。其實微軟甫於今年3月買下了雲端電信基礎架構業者Affirmed Networks，本周又把Metaswitch納入麾下，布局電信雲端市場的企圖明顯。

負責Azure Networking的微軟企業副總裁Yousef Khalidi即表示，雲端與通訊網路的融合替微軟帶來一個獨特的機會，以服務全球的電信營運商，Metaswitch與Affirmed將形成互補，將透過特製的軟體於Azure上提供虛擬化的通訊功能、應用及網路。

Metaswitch主要開發各種軟體產品及解決方案，以在公有雲、私有雲及混合雲端架構上執行雲端虛擬網路功能，可支援全球固網、行動及融合網路營運商的語音、數據及統一通訊服務，迄今全球已有超過750家服務供應商，採用Metaswitch的解決方案。

由於不管是Affirmed或Metaswitch都支援5G架構，因此Khalidi指出，隨著產業進展到5G，電信營運商將可藉此虛擬化它們的核心網路，並迎向雲端原生的未來；微軟也會繼續支援混合與多雲模式，以創造更多元的電信生態體系並刺激創新，同時擴大產品組合。

微軟積極向電信業者招手，除了去年與AT&T簽署多年雲端合作協議之外，Metaswitch的客戶名單中，也包括了British Telecom、Sprint及Vodafone等知名電信業者。微軟與Metaswitch並未公布此一併購案的交易金額。

蘋果周四向彭博新聞及CNBC證實，已買下虛擬實境（VR）內容播放平臺商NextVR。

蘋果以一貫的口吻指出，蘋果不時會收購小型科技公司，但蘋果通常不會討論公司的目的或計畫。NextVR網站官網首頁也指出，該公司正「向新方向邁進」，但對於未來發展隻字未提。

9to5Mac4月間披露本消息，並指雙方交易金額為約1億美金。

NextVR主要業務為即時或錄影播出運動賽事、演唱會、表演活動的VR版內容，讓用戶可透過PlayStation、Oculus、HTC Vive、Microsoft HoloLens、及Lenovo VR眼鏡觀賞。該公司最著名的活動包括NBA球賽轉播，及溫布頓網球賽事播放。其股東包括時代華納及Comcast等，現有員工95人。

Techcrunch報導，收購NextVR或許使蘋果更容易實踐VR/AR藍圖。去年蘋果執行長庫克公開表達對VR/AR的興趣，表示AR將是下一個平臺，而蘋果早透過iOS ARKit使手機、平板成為展示AR經驗的終端，但蘋果並未拿出太多有潛力的AR應用。相較之下，製作VR內容難度較低，且透過收購NextVR也協助蘋果更快取得內容供應商的關係，可用於裝置上播放。

去年底媒體報導蘋果會在2022年推出AR頭戴裝置，而AR眼鏡則會在2023年問世。

微軟在本周開源了與武漢肺炎（COVID-19）詐騙有關的威脅情報資料，公布他們所蒐集到各種打著疫情幌子的惡意活動指標，微軟表示，過去這些指標只供應給Microsoft Threat Protection（MTP）客戶，現在則讓全球所有組織都能取得。

微軟表示，該公司每天要處理數兆的惡意訊號，從身分、終端、雲端、應用程式到電子郵件，以更全面地了解與疫情有關的威脅情報。但作為安全情報社群的一員，當各界共享資訊以更完整地檢視駭客的技術切換時，整個社群都將更為強大。

外界可透過Azure Sentinel GitHub或Microsoft Graph Security API存取指標。

微軟準備在疫情期間持續改善相關資料，同時承諾將更加透明化，也會根據社群的意見，釋出更有用的資料，來協助對抗與疫情有關的惡意活動。

從微軟的說法看來，公布該公司內部所使用的威脅指標是有時效性的，目的是為了協助各大組織可專注於恢復日常運作。

0509～0515

 數位存款帳戶   未成年線上開戶  
台新Richart、國泰KOKO搶先開通20歲以下未成年線上開戶功能
銀行局放寬線上開戶年齡限制，台新Richart數位銀行以及國泰KOKO數位銀行搶先市場，開通未成年客戶線上開戶服務。現在，7歲以上未滿20歲並領有國民身分證的未成年客戶，只要線上填寫申請資料，經由法定代理人進行線上身分驗證，並上傳法定代理人與未成年人的證件，即可線上開立Richart、KOKO數位存款帳戶。 台新銀行數位金融處資深副總經理包國儀表示，開放未成年人開通數位存帳戶，不論是儲蓄年節紅包錢、管理生活費或零用金都便利，能為理財初學者建立收支觀念、累積理財經驗。

 Oracle   區塊鏈  
甲骨文加入Velocity網路基金會，聯手16個創始成員推區塊鏈職業證書平臺
甲骨文近日宣布成為Velocity Network Foundation的創始成員之一。Velocity Network Foundation是由各產業組成的非營利性聯盟，聯盟成員共同以區塊鏈技術，打造一個全球性職業互聯網（Internet of Careers）。甲骨文表示，將攜手其他16個創始成員，如全球背景調查公司Hire Right、企業資源管理軟體供應商SAP、美國線上求職平臺ZipRecruiter等，共同建立一個跨產業、值得信賴的網路，來提供交換相關職業記錄。目前，該聯盟共同管理超過8億筆個人記錄，以及數十億份就業和學籍資訊、能力、技能、證書和執照等相關資格證明。

甲骨文指出，Velocity Network Foundation職業互聯網可整合並安全儲存和管理所有個人與工作相關的資訊，包括認證過的學歷、參與專案、技能和工作經歷，並且以可信任的資料為基礎，目的是為企業做出企業發展和勞動力決策，減少招募和職業流動過程中花費的時間和成本，同時為企業在複雜的勞動力市場中降低風險並符合法規。

 金融監理沙盒   外籍移工跨境匯款  
金管會核准2件外籍移工跨境匯款沙盒實驗，再延長半年實驗期
金管會在去年初核准的2件外籍移工跨境匯款金融監理沙盒實驗案，分別是香港商易安聯台灣分公司，以及統振股份有限公司。金管會考量，外籍移工受限交通、工作、語言及時間等因素，不太能在銀行營業時間辦理匯款，希望以便捷、低廉的創新金融商品，提供外籍移工薪資匯款服務。 

金管會日前表示，這兩家公司進入金融監理沙盒實驗在今年4月29日已期滿一年，實驗成果應該算成功。但是，還必須等待電子支付條例與電子票證條例合併，才會增加電支機構得兼營跨境匯款，或是直接核准經營跨境匯款的有限執照。因此，金管會又再核准易安聯與統振延長實驗期半年，期間可繼續從事外籍移工的跨境匯款，等待法規上路才能申請執照。

金管會表示，銀行單筆跨境匯款收費約600元到上千元不等，但這家跨境匯款公司僅收費100元到200元，受理匯款後最快1小時，外籍移工的家人或境外帳戶即可到帳，服務對象包括越南、印尼、菲律賓、泰國等4個國家，持有我國居留證的外籍移工。

 印度國家銀行   數位轉型  
擁2萬家實體分行的印度國家銀行數位轉型關鍵，為吸引千禧世代使用
3年多前，印度國家銀行（SBI），作為印度最大的銀行，即便擁有4.3億名客戶，在印度已鋪設2萬多家分行，仍選擇做出一項重大決定，打造新一代數位銀行平臺YONO，這個名稱來自於You Only Need One（你只需要一個），意思是這個數位銀行不只是一個金融交易平臺，包括投資、保險、線上購物等，都涵蓋在這一站式的全通路平臺。

在建構YONO數位平臺時，印度國家銀行有4大數位化的支柱，包括把數位銀行、線上市場（Online Marketplace）、金融超市（Financial Superstore），以及先進的分析（Advanced Analytics），整合在同一平臺，來達到全方位通路的客戶體驗。這平臺不只有數位銀行的功能，更串連多家知名電商供消費者購物，還整合自家集團所有的產品，像是保險、信用卡、證券等，形成了一個金融超市，並進行交叉跨售。他們鎖定的不只既有客戶，最大的目標是要吸引千禧世代來使用。目前，YONO則已累積了2,200萬名註冊用戶。（更多內容）

 TON區塊鏈專案   加密貨幣  
不撐了，Telegram創辦人正式宣布放棄TON區塊鏈專案
Telegram創辦人暨執行長Pavel Durov近期宣布將放棄TON區塊鏈專案，讓此一執行兩年半且已籌得大量資金的專案正式告終。 Telegram在2018年以私募方式，向全球的171名投資者募集了17億美元的資金，準備用來開發TON區塊鏈。不過，美國證券交易委員會（SEC）去年指控Telegram沒註冊就發行Gram加密貨幣，違反《證券法》，法院在今年3月對Telegram發布臨時禁制令，禁止Telegram交付Gram。Telegram聘請了知名律師事務所應戰，也宣布把TON區塊鏈的上線日期延後到明年，原本外界以為Telegram準備長期抗戰，沒想到近期就宣布放棄。

Durov表示，他們非常自豪於自己所開發的技術：允許價值與創意在一個分散式且開放的架構上交換，且與Telegram整合的TON，很有潛力改變人們儲存及轉讓資訊及基金的模式。可惜的是法院並不認同他們的想法。（更多內容）

 企業薪資整合服務   星展銀行  
臺灣星展銀行與叡揚資訊合作推出企業薪資整合服務
星展銀行（臺灣）與叡揚資訊合作推出企業薪資整合服務，企業得採用叡揚資訊雲端薪資管理系統結合星展銀行薪轉帳戶整合方案，簡化每月企業薪資轉帳流程。星展銀行環球金融交易服務處處長陶曉昀表示，這項新服務是讓企業能透過叡揚資訊的薪資管理系統，自動產出薪資付款檔案，再上傳到星展銀行企業網銀完成薪資付款，節省會計人員人工編輯報表和自行轉檔的作業時間。

 台新銀行   信用卡系統轉換  
台新銀澄清信用卡新系統如期完成轉換
台新銀行本預計在5月1日、2日進行信用卡新系統上線，卻有些服務停用時間長達4、5天，而且是突發性延長停用時間，不少用戶因而受到影響。對此，台新銀行表示，台新銀行信用卡新系統已在5月2日早上11點，如期完成轉換。但是，對外連結的部分App功能，比如，Richart App因為需要再優化申辦信用卡自動扣繳，以及信用卡單筆分期功能等，所以，並未同步開放。不過，台新銀行提到，在部分服務暫停期間，仍有客服人員可以提供相同服務。

台新銀行也進一步解釋，從4月17日開始到4月29日，都有透過簡訊、卡得利與Richart App推播，事先與持卡人與商家充分溝通，5月2日新上線迄今，在信用卡交易授權功能皆正常運作，每日交易筆數也與新系統上線前無異。（更多內容）

 臺銀海外分行   商業電郵詐騙  
臺銀洛杉磯分行爆發商業電郵詐騙千萬，臺銀列為人為疏失
臺灣銀行洛杉磯分行日前向金管會通報4月24日爆發資安事件，該分行行員收到往來客戶要進行匯款轉帳的的電子郵件，因為實施居家辦公無法轉帳，便將該封匯款郵件轉到分行承做，不過，該指示匯款電郵與原本客戶電郵有一個字母差異，在分行並未確認匯款資料正確性便進行轉帳，導致該分行遭到詐騙約美金45萬美元（約新臺幣1,350萬元）。

根據媒體報導，臺灣銀行將此事資安事件列為人為疏失，主要關鍵在於針對客戶資訊核對有疏漏且沒有落實照會機制，而資訊部門也查閱分行的資訊設備，初步排除駭客入侵銀行內部、竊取客戶資料。金管會在接獲臺灣銀行通報該起偶發重大事件後，也要求各銀行必須要落實相關的資安及內控要求，包括落實社交工程演練、強化使用者資安意識；針對交易指示簽名以及電子郵件加強核對，對一定金額以上交易需先跟客戶確認並留存記錄。（更多內容）

圖片來源／國泰KOKO數位銀行、Velocity Network Foundation、IBM Think 2020大會線上直播；攝影／洪政偉
責任編輯／李靜宜
 金融科技近期新聞 
1. 金管會主委顧立雄即將卸任，由原副主委黃天牧接棒
2. ATM、POS機製造商迪堡多富遭到勒索軟體攻擊，強調沒有影響到售出的提款機或是客戶的網路
3. BEC詐騙集團已將目標鎖定私募基金與創投，三家金融公司聯名帳戶遭騙近4千萬元
4. 比特幣挖礦獎勵第三度減半，預期將有15%～30%礦工退出市場
資料來源：iThome整理，2020年5月