在今年4、5月間，臺灣企業組織與名人臉書粉絲專頁遭盜事件頻傳，引發關注。從這些事件來看，這些粉專的遇害方式可能不盡相同，受害者通常沒能完整還原事件經過，而臉書公司也都不會出面說明，使得大家對於粉專如何遭駭一事，沒人能說得清楚。

值得注意的是，在6月初，趨勢科技揭露了新的攻擊行動，指出網路詐騙者大量設立偽冒臉書官方的粉絲專頁的行徑，讓我們有機會能深入瞭解實際的詐騙手法，並還原一種詐騙情境。

鎖定國內粉專盜用威脅正持續，國內名人、企業、歌手與網紅一直都是目標

日前，趨勢科技在6月3日指出，有不肖分子企圖偽裝成Facebook官方通知，開設偽裝為臉書官方的「Prıvacy Policy」粉絲專頁，近日我們詢問趨勢科技時，該公司指出這批攻擊者又有新的動作。

為了實際了解詐騙方的手法，因此，我們循線找到名為「Prıvacy Corporation Policy Page Identify」的粉專，當時，可以看到該專頁的不當行為，例如，詐騙方不僅是盜用了臉書Logo圖示當作大頭貼照，在其動態消息貼文中，可以看到該粉專在幾個小時前，正鎖定多名臺灣目標進行詐騙，包括：郭台銘、牙醫史書華、環球牙醫診所，職業圍棋選手黑嘉嘉、女歌手郭靜、魏如昀，以及電獺公司旗下電獺少女-女孩的科技日常等，都是攻擊目標。

而在分享貼文中的訊息上，詐騙者利用用戶粉專遭他人舉報，因此臉書需要認證用戶的理由，來欺騙用戶至釣魚網站。為了瞭解詐騙過程，我們實際檢視該釣魚網站，它的網址明顯看得出有異常，不過網頁內容模仿了臉書風格的登入畫面，要讓不知情的用戶因此受騙。

因此，我們透過此次掌握到的詐騙方式與釣魚網站，讓粉專管理者能認識其中一種手法，瞭解完整詐騙流程。簡單來說，就是假冒臉書官方名義，並利用使用者擔心粉絲團違反規定遭檢舉的心裡，讓不熟網路或社交平臺操作，無法辨別真假的用戶，被騙至假冒的臉書登入頁面。

但是，為何上述這種方式，能夠引誘擁有粉專的臉書用戶上當呢？仍是許多人沒想通的地方。因此，我們從這次看到的攻擊者手法，來嘗試還原用戶面臨的詐騙情境。

為何詐騙者的這種手法有機會引誘用戶上鉤？

對於一般粉專管理者而言，是如何收到這樣的詐騙訊息？更是很多人都想知道的答案。

首先，可管理粉絲專頁的成員，不論是管理員、編輯或版主，在臉書介面上會收到一則通知訊息。舉例來說，在桌面版臉書左下方，你會看到彈出的即時動態訊息，有一個藍底FB Logo圖示的Prıvacy Corporation Policy Page Identify轉貼了自己的文章，而摘錄的文字內容是「你的粉絲專頁已被其他人舉報，為了防止這種情況，我們需要驗證你的帳號…」。

這樣的通知訊息，使用者一般也可以桌面版或手機版，在臉書通知選項（鈴鐺圖示）中找到，此外，用戶也可能是在電子郵件信箱收到，因為Facebook可以設定將使用者相關的活動通知以Email方式發送到信箱。

當用戶點擊這樣的通知訊息後，會進入自己粉絲專頁的通知頁面，看到完整的分享內容，當中提到用戶粉絲專頁已被他人舉報，要使用者遵循指示，前往一個telegra.ph的連結網址，以驗證自己的帳號，否則系統將會自動封鎖你的臉書帳號，讓你無法再使用。（這裡的原始貼文其實都是英文內容，不過臉書系統很貼心的幫國內用戶翻譯成中文。）

一旦用戶擔心粉絲專頁被檢舉的問題，看到通知訊息及FB Logo，就誤以為是官方發出的通知，並依循指示點擊該連結後，就是上當的開始。

接著，使用者會看到一個白底黑字的英文通知網頁，內容一樣是粉專被他人舉報而需要驗證，並附上「Confirm Here!」文字的連結，且最下方署名是Facebook Department。

當用戶再次點擊連結，將會前往一個看似Facebook風格的網站，當中佯稱這是官方的違反規定聲明頁面，按下Continue選項後，就會看到假冒的Facebook登入頁面，一旦用戶誤以為這是驗證自己帳號之用，輸入了自己的臉書帳密，但殊不知，這其實就是將帳密輸入到詐騙者的釣魚往頁，進而使得自己帳號所擁有的粉絲專頁管理權，也一併落入網路詐騙者的手中。

透視粉專竊取手法易混淆使用者的3大關鍵

為何用戶可能被這種看似一般的手法混淆，而誤以為是官方通知？接下來，我們一步步來分析。

混淆用戶關鍵1：轉貼用戶粉絲專頁內容，製造官方宣稱用戶粉專遭舉報需帳號驗證的假象

從這次詐騙過程來看，攻擊者讓用戶上鉤的作法，是分享用戶粉專的封面相片或是大頭貼照，到自己假冒官方粉專的動態時報上，並加上偽造官方檢舉的聲明文字內容。

對於用戶而言，這裡有兩個可能上當的關鍵，一是透過分享機制誤導用戶，二是利用檢舉名義造成用戶擔心。

其實，從臉書的機制來看，上述行為只是單純的分享連結，將他人的內容，發表到自己粉專的動態時報上，並加上自己的文字描述，讓自己專頁的粉絲瀏覽，但這樣的過程，卻被利用來詐騙。

因為，這樣的分享過程會產生通知到用戶粉絲專頁，詐騙者因此特意將分享時所張貼的文字，變成寫給用戶粉絲專頁管理者，騙稱專頁遭他人檢舉，需依指示處理。

基本上，對於經營粉專的管理者而言，收到這種被檢舉的消息，通常都會特別關注。而且，詐騙者更是利用上述分享通知的機制，又或是可用其他Tag方式，來進一步假冒成官方通知，因此這時，當使用者看到或點擊這個分享的通知，可能突然搞不清這其實只是一則分享的通知，只看到自己的臉書通知介面上，有一個臉書Logo，還有Prıvacy Corporation Policy Page Identify這種有點像官方隱私政策的名稱，正聲稱粉專遭舉報需要用戶驗證身分。因此，詐騙者就是利用這樣的情境來假冒官方與混淆使用者。

為了瞭解詐騙者的混淆手法，我們實際透過一個別的粉絲專頁，來分享iThome Security粉絲專頁的任一貼文，並在分享時加上文字『你的粉絲專頁以被他人舉報......』，之後，我們回到自己的粉絲專頁時，可以看到臉書系統即時彈跳出的即時訊息通知。如果，別的粉絲專頁放上FB的Logo，以及取名看似官方隱私政策的名稱，一般人可能忘記這是貼文分享的通知，被混淆以為是臉書發送的通知。

而用戶也可以從臉書通知選項（鈴鐺圖示）中找到此通知，或是因為Facebook可以設定將使用者相關的活動通知以Email方式發送到信箱，因而從Email收到通知。

當使用者點擊前述通知訊息後，會進入到使用者自身的通知頁面，這時使用者若是只看貼文內容，還是有可能以為是官方訊息，而遵循指示前往釣魚網站確認身分，但其實，這只是臉書系統的訊息分享通知，也就是通知別人粉專分享自己的內容而已，但由於對方轉貼內容時的文字，看起來是在跟你自己說話，也就是跟粉專管理角色說話，因而產生誤解。

混淆用戶關鍵2：大量開設假冒臉書官方的粉絲專頁

當然，對於很多被針對的粉絲專頁管理者，其實是有機會分的清楚真偽，例如，若進一步點擊前往該假冒粉絲專頁，可能從讚數、動態訊息等資訊而察覺有異，因為該假FB粉專偽造算是粗糙。

簡單來說，詐騙方在偽造臉書通知訊息前，為了取信於詐騙目標，一開始，他們會假冒FB官方名義，這裡使用的方式就是建立一個粉絲專頁，或是竊取粉絲專頁並改名。

例如，這次網路詐騙者假冒的「Prıvacy Corporation Policy Page Identify」粉專，按讚人數才3千多人，註冊的網址名稱＠thevirgosigh也與臉書無關，因此很假，但就是放上了臉書Logo為大頭貼照來混淆用戶。

然而，為何這個看起來不像官方隱私公告的粉絲專頁，駭客就能直接利用來詐騙？主要是仰賴上述第一個混淆關鍵，用戶在自己的通知訊息介面上，只會先看到大頭貼照、粉專名稱與貼文內容，沒有點入查看，是有可能搞不清楚狀況。

附帶一提的是，實際上，臉書在隱私公告方面確實是有官方粉絲專頁，我們查到「Facebook and Privacy」@fbprivacy，這裡提供了臉書隱私政策方面的貼文，並具有官方認證的藍底白色勾勾，粉絲專頁按讚人數超過260萬人。

日前我們詢問趨勢科技關於用戶臉書粉專遭盜的問題，他們提供給我們一個最新的假冒FB粉專，當時，我們可以看到攻擊者正分享多位國人粉專的內容，到該粉專的動態資訊上，包括企業大老郭台銘、牙醫史書華、環球牙醫診所，職業圍棋選手黑嘉嘉、女歌手郭靜、魏如昀，以及電獺公司旗下電獺少女-女孩的科技日常。不過，若是用戶前往該粉絲專頁一探究竟，其實可以發現這個粉專根本不像臉書官方的頁面，甚至可以看到2017年的就貼文，內容屬性完全不同。由於詐騙者會持續利用不同的假冒粉專來詐騙，因此這個假粉專也僅僅只是一個例子。

而我們也透過搜尋找到臉書在隱私公告方面，確實是設有官方粉專，像是「Facebook and Privacy」@fbprivacy，這裡提供了臉書隱私政策方面的貼文，並具有官方認證的藍底白色勾勾

混淆用戶關鍵3：製作以假亂真的臉書登入網頁

此時，當用戶無法確認是否為來自臉書官方的檢舉通知，就有可能上當，被引導至詐騙者預先準備好的釣魚網站。

一旦用戶點擊粉絲專頁分享貼文上所附的網站連結，先會看到一個白底黑字的通知網頁，內容與之前貼文一樣，描述用戶的粉絲專頁遭舉報詐騙，並要用戶再次依循指示，點擊連結進入身分確認頁面，接下來，用戶就會進入到一個外觀相像的Facebook網頁。

較特殊的是，這次詐騙方指示用戶前往的連結，感覺是一個類似短網址的連結，其實它是一個Telegram網頁，並被詐騙方當成連至釣魚網站的跳板。根據我們的觀察，該Telegram網頁已經超過10天都還存在，而前述的假冒粉絲專頁，其實隔沒幾天，該頁面就被移除。

而在假冒的Facebook網頁方面，主要就是利用以假亂真的介面設計，來混淆使用者，以及使用了較長的網址來掩護，包含social-network-corporation，以及Facebook-verification等字串。

不過，在這個案例中，由於該Telegram網頁與釣魚網址看起來可疑，我們認為，多數用戶應該還是能夠會有警覺，認為與臉書無關，可能是詐騙。但要慎防的是，詐騙者是可以使用更多偽裝方式讓用戶上鉤。

較特別的是，詐騙者在訊息中留下的連結是一個Telegram網頁，不過這些天來我們發現，上述假冒的「Prıvacy Corporation Policy Page Identify」＠thevirgosigh粉專，沒幾天就被刪除，但該Telegram網頁維持十多天仍存在。

為了騙取用戶臉書粉專的控制權，詐騙者在這裡用的方式就是釣魚網站，製作偽造逼真的臉書介面，並用先前聲稱用戶粉專遭檢舉需驗證身分的名義，要使用者登入，不過該網頁的網址其實並沒有偽造的很精心，但就是取得比較長讓用戶不易去看。

這只是臉書粉專竊取的一種類型方式的一種手法，還有一種類型更難防範

無論如何，這只是竊取臉書帳密的一種手法而已，用戶可以藉由了解這些詐騙環節，讓自己更懂得保護自己。

基本上，從我們目前掌握的盜用粉專方式來看，第一類是臉書帳號被盜取；另一類則相當特別，因為臉書帳號不用被盜，但粉專控制權被騙到詐騙者建立的企業管理平臺之下，更令人防不勝防，我們也已詢問到今年國內已有受此類型的遭盜事件。

而已這次所說明的詐騙者行徑，就是臉書帳號被盜取類別中的其中一種手法，不過用戶要注意的是，實際上，可假借的名義很多種，而盜取帳號的手法，釣魚網站也只是一種，還有像是鍵盤側錄，還有近年帳密外洩情況嚴重，如果用戶在不同平臺使用與臉書相同的帳密，也等於自己的帳密早就外洩。在過去這類新聞事件中，也已經多次提醒用戶開啟臉書雙重驗證，至少多增加一層防護。

資安業者Nyotron在去年11月揭露了可供勒索軟體繞過安全偵測機制的RIPlace技術，當時尚未有任何勒索軟體採用該技術，不過，另一資安業者Recorded Future最近發現，新版的Thanos勒索軟體已經加入了RIPlace技術，還把它納入「企業版」功能中。

Nyotron解釋，勒索軟體的攻擊有三個標準步驟，先開啟及讀取原始檔案，再於記憶體中加密檔案，繼之破壞原始檔案。而破壞原始檔案的方法有3種，把加密檔案寫進原始檔案中；或是直接將加密檔案存入硬碟，再利用DeleteFile功能刪除原始檔案；也能選擇把原始檔案存入硬碟，再透過Rename功能置換原始檔案，幾乎所有駭客都採用前面兩種，而第三種則屬於Windows作業系統的設計漏洞，尚未被駭客利用，但只需要兩行程式就能開採，並將它命名為RIPlace技術。

當時Nyotron還公布了RIPlace的概念性驗證攻擊程式，而且測試了坊間號稱可偵測勒索軟體的十多種防毒工具，發現它們全都無法逮到透過RIPlace技術所執行的攻擊行動。

而Recorded Future則發現，外號為Nosophoros的駭客今年1月在地下論壇中兜售的Thanos勒索軟體，便採用了RIPlace技術，很可能是市場上第一個採用RIPlace的勒索軟體。

駭客將Thanos定位為勒索軟體產生器，具備43種配置選項，還提供只訂閱一個月的輕量版（Light），以及可訂閱整個Thanos生命周期的企業版（Company），而進階的RootKit、RIPlace或是在目標組織中橫向移動的功能，都只出現在企業版中。

Recorded Future預期，勒索軟體即服務（ransomware-as-a-service）的市場將會繼續茁壯，且訂閱輕量版的用戶都能成為Thanos會員，而Thanos的企業客戶，則能建立自己的勒索軟體即服務業務。

安全研究人員發現IoT裝置仰賴的UPnP協定存在安全漏洞，可讓駭客用來掃瞄網路、竊密，或是以物聯網用來助長分散式阻斷服務攻擊（DDoS）。

編號CVE-2020-12695的漏洞是由土耳其研究人員 Yunus Çadirci發現，和UPnP協定有關。UPnP跑在UDP port 1900埠及TCP埠，用於物聯網裝置尋找與控制的區域網路（LAN）上其他鄰近裝置的網路協定。但是UPnP協定是為受信賴的LAN裝置而設計，因此缺少流量驗證機制，不良預設可能給遠端攻擊者下手的機會。

研究人員發現UPnP SUBSCRIBE功能中的Callback header值可能被攻擊者操控，而造成了類似伺服器端的請求偽造（Server-Side Request Forgery，SSRF）漏洞，又被稱為CallStranger。CallStranger可被用來造成多種攻擊，像是繞過資料洩露防護（DLP）及網路安全裝置，引發資訊外洩、從連上網際網路的UPnP裝置掃瞄LAN網路的傳輸埠，或是以這些UPnP裝置為基地造成進一步、規模更大的反射式TCP DDoS攻擊。講得明白點，就是這些家用或企業產品，可能被用來發動DDoS攻擊。

Çadirci指出，全球數十億連網產品，包括路由器、電腦、印表機、遊戲機、TV、IP攝影機甚至對講機等，都受CallStranger漏洞影響。

研究人員發現本漏洞後，於去年12月首度聯絡標準制訂組織開放連網協定（Open Connectivity Foundation，OCF），後者今年4月才釋出新版規格，而且由於這是存在於UPnP本身的漏洞，相關廠商也花了好一段時間來修補。

ISP和DSL/纜線路由器廠商應檢查其產品的UPnP協定，廠商應升級新版規格以修補SUBSCRIBE功能。ISP則可以關閉由外部網路的UPnP Control & Eventing傳輸埠。企業用戶應在裝置廠商升級前，實施網路深度防禦措施。至於一般家用戶，研究人員表示不需關閉UPnP，只是要確保UPnP裝置沒有曝露在網際網路上。

這不是UPnP第一次傳出漏洞問題。2018年安全廠商Imperva發現UPnP協定的UPnProxy漏洞，可能讓駭客用來發動進階持續性滲透（APT）攻擊或是分散式阻斷服務攻擊（DDoS）。

微軟上星期二的Patch Tuesday修補了史上最多的129個安全漏洞，不過卻也引發包括HP、Ricoh、Canon等品牌的USB印表機驅動程式異常及連接埠神祕消失的事件。

問題出現在安裝Windows 10 1903、1909的KB4560960，以及Windows 10 2004的KB4557957 版本更新的用戶電腦上。有用戶反映安裝更新版本後，發生印表機驅動程式不相容，迫使用戶必須移除更新。受影響的印表機品牌涵括HP、Ricoh、Canon、Brother、Kyocera、KONICA Minolta等的USB連接機種。

另一些情況則是USB連接埠神祕消失。微軟上周提出警告，至少有一部份用戶Windows 10電腦安裝完更新、關閉Windows 10並拔掉或關閉USB印表機，當他們重新啟動Windows 10，會發現印表機連接埠清單內找不到USB機種的連結埠。而所有仰賴該連接埠的作業都無法完成。

不過若非以USB直接連結電腦而是網路印表機，則沒有出現該問題。

微軟解釋，如果印表機驅動程式包含語言監控程式（Language Monitor），則其中的OpenPortEx callback功能無法被呼叫到，造成該程式無法正常運作。此外，控制臺的「裝置與印表機」下，也會找不到印表機連接埠。

微軟表示會再另外釋出新版更新修補這項臭蟲。在此之前，微軟建議用戶安裝完更新版後，先把印表機開啟，再重新啟動Windows 10即可排除問題。當然，移除最新更新也是個解法。

微軟五月底正式釋出Windows 10 May 2020 Update（2004）第一天，就已傳出和包括和Intel GPU、Realtek晶片驅動程式、GameInput Redistributable程式不相容，造成電腦無法連接多臺藍牙裝置、滑鼠沒有反應，另外也發生因Nvidia GPU舊版驅動程式、Synaptics音頻驅動程式不相容，導致藍色死亡螢幕（BSOD）。這些都還在Windows團隊的工作清單中，以便在未來更新版本解決。

臉書上周五（6/12）日公布Deepfake影片辨識技術創新大賽成果，顯示雖然參賽模型的辨識技術準確度還不錯，但用在全自動化人臉辨識作業則仍有待努力。

由於AI技術演進日新月異，各界擔心AI製造出的Deepfake影片煽動種族仇恨或打擊政敵。去年9月間臉書、微軟發起Deepfake 影片辨識技術挑戰賽（Deepfakes Detection Challenge）以期能號召天下好手一起來貢獻、改進辨識出這類AI假影片的演算法。

為了這個大賽，臉書聘請了超過3,500名演員，花了一個多月時間錄製一段談話影片，其中一部份影片以AI移花接木，接上別的演員的臉來造假，此外還集結網路上合法取得、總數超過10萬則影片。這些真、假混合的影片作為訓練和測試參賽模型的資料集。但參賽者的模型還必須拿來偵測10萬則「black box」資料集，即他們之前完全沒有接觸過的影片，目的是評估模型真槍實彈的辨識能力。公開和black box資料集各會根據測試產出排名。

活動從12月開始，一共吸引了2,114名參賽者上傳超過3.5萬個模型。評審團隊則集結臉書、微軟、康乃爾、牛津、馬里蘭、加州大學柏克萊分校、紐約市立大學阿巴尼分校、麻省理工學院、慕尼黑科技大學及拿坡里費德里克二世大學（University of Naples Federico II）的專家。

臉書指出，在公開資料集的測試結果方面，表現最好、由白俄羅斯機器學習專家Selim Seferbekov上傳的模型達到82.56%的平均精準度，平均精準度是電腦視覺任務的衡量指標。但如果用來測試「black box」資料集時，平均精準度就只剩下65.18%，落到第4名。但另一方面，在black box資料測試組排2到5名的模型，在公開資料組排名卻也很低（分別為37、6、10、17名）。大會同時表示，65.18%也成為AI測試的基準線。

臉書指出，deepfake偵測一直有個尚未解決的問題，即用已知資料訓練而成的模型難以推論到未知資料上。而在本次比賽中，已知、未知資料集成績不一致的結果，再次反映偵測模型難以推論的難題，也是未來必須再努力的地方。

而主辦單位也從最好的模型作品中歸納出三大特點。第一是許多使用了很聰明的資料增強（augmentation）法，如隨機或使用地標、注意力（attention）網路去除部份臉部特徵，另一些人則使用更複雜的混合式增強或WS-DAN（Weakly Supervised Data Augmentation Network）模型，顯示大家偏好以細膩的視覺分類法來判斷臉部改造的痕跡。第二是所有優勝模型都使用預先訓練的EfficientNet網路為基礎，大部份使用EfficientNet的B7變型，顯示廣受歡迎的整合學習（ensemble learning）式模型，也適合用在deepfake影片辨識上。最後，優勝隊伍沒有一個使用數位鑑識技術，如分析影像製作過程產生的感測器噪音指紋或其他特徵，顯示影片像素層次上使用未學習過的分析技術，不是不好用，就是還不普及。

臉書也會在本周的電腦視覺與樣式辨識（Computer Vision and Pattern Recognition，CVPR）大會上宣布，將原始資料集全部開放給更多研究人員，以促進偵測技術的進展。

Google解釋了雲端服務Document AI，用來解析發票的技術，這項技術發表於自然語言處理期刊ACL 2020中，Google提出一種可從各式單據擷取結構化資料的方法，而這與之前從純文字檔文件擷取資料的方法不同，新方法將單據可能出現的欄位類型納入考量，因此能良好地擷取單據上的內容。

企業有不少工作流程需要處理收據、帳單以及報價單等單據，目前仍有不少企業仰賴人工操作，Google以發票為例提到，發票樣式很多種，不同企業甚是企業不同部門所開出的發票，各自布局都略有不同，但發票包含的結構化資訊，諸如發票編號、日期和金額等又大致相同，而自動化可以解決人工處理容易發生錯誤的缺點，且可大幅提高工作流程的效率。

之所以處理單據文件很困難，Google解釋，因為擷取單據資訊，除了需要運用自然語言處理技術之外，還跨了電腦視覺領域，跟典型的自然語言處理任務不同，單據中不會有句子和段落這類自然語言形式存在，單據資料通常是以表格的形式呈現，通常具有多頁面和多段落的特性，並以各種布局和格式組織資訊。要處理這類資料，Google提到，關鍵是需要理解二維文字布局，但又不能以純粹的影像分割方式處理，否則又難以運用文字語意的資訊。

Google的新方法讓開發者可以使用兩種輸入來訓練擷取系統，分別是目標結構（Schema）以及帶有標籤的文件集，目標結構是指需要擷取的欄位列表和其類型，支援的欄位類型包括日期、整數、字母數字組合、金額、電話號碼和URL。

輸入的文件要先經過OCR服務，擷取文字和布局資訊，接著以候選生成器，辨識文字範圍可能對應的欄位，候選生成器會使用預先建立的欄位類型庫，關聯像是日期、號碼和電話號碼等資訊，並使用神經網路Scorer來估算擷取項目的分數，在預設情況下，目標欄位就是獲得最高分的候選者，例如日期資訊就擷取單據上獲得Scorer評分最高分的項目，不過，在特定情況，也會考量順序等因素。

Scorer是一個二元分類器，將目標欄位和候選項目作為輸入，產生0到1之間的分數，Scorer會學習在向量空間表示每個目標欄位以及候選項目的方法，當目標欄位在向量空間和候選項目越相近，則候選項目為目標欄位的機率越大。

為了實驗方法的可靠性，Google使用了具多種布局的發票資料集，證明該模型可對大多數欄位運作良好，不過偵測寄送日期（delivery_date）的準確度表現較差，Google提到，原因是他們訓練集中，只有一小部分的資料存在這個欄位，因此需要更多的訓練資料來改進該欄位準確度。

PChome投入臺灣電商市場今年邁入第20個年頭，今日（6/15）PChome回顧過去20年來，自身電商服務的各項重大發展里程碑，並進一步分享下一步計畫，將著重內部流程的優化，特別是倉儲營運的調整。

過去20年，PChome不斷在電商領域提供創新的服務和功能，包含於2004年打造線上的自動退貨申請機制，還有於2007年推出全臺24小時到貨服務，再到2015年，讓消費者可透過Pi拍錢包，利用手機號碼交易。網路家庭執行長蔡凱文表示，「臺灣網購長相是由PChome開始（勾勒），像是轉單模式也是我們先做，而許多服務如今看來，都變為臺灣電商的標準規格。」

談到PChome的下一步，他則表示，PChome將更聚焦於內功的優化，而物流倉儲就是其中一個重要的項目。他強調，PChome要做的不只是自動化倉儲，還要進一步打造智慧化倉儲。

目前PChome在庫商品達200萬種。原先PChome倉儲以庫存空間和商品類別，來規畫商品的存放位置，現在則要轉而以消費者的需求，來思考商品於倉儲內的配置方式。

PChome將利用資料庫過去20年來收集的訂單資料，進行資料分析工程，並會先從資料貼標開始做起，再利用AI演算法，來預測消費者的消費行為，進而找出關聯性商品，也就是同筆訂單中常出現的商品組合，以進行倉儲配置的調整工程，將關聯性商品集中擺放。

如此，PChome也將打破分類倉概念，把各倉儲調整為綜合倉。蔡凱文進一步描繪了未來的景象，他表示，當消費者的訂單送達任一倉庫時，該倉庫將能滿足該筆訂單的所有需求，不需再從其他倉庫調貨，從而提升出貨效率。

此外，PChome也正在進行一項測試，那就是將消費者行為預先打包為一個包裝組合，以在消費者下單前，就先依其需求將所需的商品打包好，來減少揀貨次數和作業程序。而這樣的測試，蔡凱文指出，便是因為今年上半年出現了好幾波的商品搶購潮。

「從沒看過如此的搶法。」他直言。從口罩、衛生紙到Switch，再到近日DS4悠遊卡的各波搶購潮，屢屢都出現PChome未預期到的流量，像是口罩搶購的最高峰之際，瞬間流量甚至達去年雙11高峰的3至4倍。蔡凱文表示，搶購潮對系統、物流出貨都是挑戰。

他進一步表示，特別是當消費者同時搶購多項商品，連帶提升了訂單的複雜度，使倉儲端需要揀出更多的商品。搶購潮也因而成為PChome決定調整倉儲營運規畫的關鍵因素，而面對更為複雜的訂單內容，PChome除了將逐步調整物流倉儲的配置，也將調整商品的銷售組合，像是銷售同單品的多件組合。

疫情爆發以來，PChome也觀察到消費族群的新變化。蔡凱文分享，搶購商品的需求帶來了一批新的消費族群，像是原多使用社群來購物的消費者，且在疫情趨緩後，他們仍持續消費。這批新的行動端消費族群也反映於統計數字上，5月時，PChome行動端的流量占比達7成，訂單數則占超過一半。

面對搶購潮出現的3倍流量成長幅度，PChome也將進行系統的優化工程。蔡凱文表示，今年雙11將把3至4倍的流量增長幅度視為常態，來因應。

而為了迎接2022年將啟用的中華郵政智慧物流中心，PChome計畫於今年8月底至9月初期間，開始於北部一座既有的倉儲，展開大規模自動化物流的測試作業。目前PChome正依照計畫時程，與合作夥伴組裝機器設備中。蔡凱文透漏，希望在A7物流中心啟用前，可以至少進行一年的測試，包含測試各機器的妥善率，還有觀察各軟體介面的運作情況。

總統蔡英文在520就職演說中，特別強調資安的重要性，而政府對於資安的重視，從蔡英文第一任任期時，將國家安全會議5～7名諮詢委員的幕僚名單，特別把「資安」獨立出來，由中研院院士李德財接任後，正式揭櫫「資安即國安」的國家資通安全戰略發展方針。

蔡英文在今年1月11日總統確定連任後，在第二任總統任期中，原先負責資安的國安會諮詢委員李德財回中研院任職後，總統府則於6月15日，在總統府國安會網站正式對外公布最新的人事布局，除了原先留任的諮詢委員陳俊麟、郭臨伍、傅棟成和蕭美琴外，正式在網站公布，由臺灣科技大學資工系特聘教授李漢銘接任國安會諮詢委員一職，接替李德財負責擘畫臺灣未來資安戰略政策發展方向。

國安會扮演總統大腦的角色

國家安全會議（簡稱國安會）是總統決定國家安全有關大政方針的諮詢機關，總統可以視需要召開國家安全會議，以聽取與會人員意見，會議的決議則會作為總統決策的參考。

其中，國安會也由總統府秘書長、副秘書長、諮詢委員及秘書處組成一個常設幕僚單位，經常性針對國家安全相關的國防、外交、兩岸關係及國家重大變故事項蒐集相關資訊並進行分析研究，同時邀請相關行政部門、學者、專家等相關人事提供建議，進行必要的諮詢幕僚及協調作業，再將研究結果提供總統作為政策決策時的參考。

根據《國家安全會議組織法》第二條規定，「國家安全會議，為總統決定國家安全有關之大政方針之諮詢機關。」「前項所稱國家安全係指國防、外交、兩岸關係及國家重大變故之相關事項。」

換言之，國安會其實就是扮演總統大腦的角色，不管是訂方向、想對策、提願景，甚至是跨府院協調等，目的都是希望可以完善總統所提出的施政方針，因此，扮演重要幕僚角色的諮詢委員5至7人，則依照各自專長而有不同分工。

前人種樹，後人要乘涼還得繼續種樹

此次接任國安會諮詢委員的李漢銘，並不是第一次借調到政府部門工作，在10多年前，曾經擔任行政院科技顧問組副執行秘書，相當了解政府部門跨部會溝通的運作模式，近年來，也陸續擔任電信技術中心董事長和國家安全會議顧問。

雖然是以學者身分借調到國安會，因為常年擔任政府政策諮詢顧問及幕僚，此次接任國安會諮詢委員後，因為負責的資安原先就是李漢銘的專長項目，正式上任後，也少了一些後續摸索的時間。

由於政府施政是持續性的，過去四年，在前國安會諮詢委員、也是中研院院士李德財的努力下，已經有資安鐵三角的成立，不僅成立行政院的資通安全處、國安會以及NCC（國家通訊傳播委員會），政府各部門也先後成立ISAC（資訊資安情資分享與分析中心），進一步強化SOC與CERT（資安緊急應變回應中心）的功能，同時在強化相關的資安法規基礎，除了資通安全管理法的立法施行。

更重要的是，近年來，許多來自境外的假訊息、假新聞在網路、自媒體及社交網路散布，並以各種方式控制媒體、操弄輿論，製造臺灣人民的內部矛盾，因此，政府透過「國家安全法」、「刑法」及「國家機密保護法」等「國安三法」的修訂，來保障民眾的言論及新聞自由，但同時可以做到避免境外勢力滲透，以及避免造成臺灣民眾的對立。

資安作為的推動，無法一蹴可及，卻也不能揠苗助長，蔡政府邁入第二任總統任期時，要做到「資安即國安2.0」，要落實政府對於資安核心戰略產業的政見，雖然有第一任奠定的基礎，但面對仍有千頭萬緒的各種資安議題需要持續努力，不僅要持續進行各種國內、國際的資安合作，也必須提升全民資安及數位素養才行。」

總統連任後，資安諮詢委員面臨的資安任務

蔡英文在就職演說中清楚指出，未來資安將是六大核心戰略產業之一，甫接任國安會諮詢委員的李漢銘，不僅要面對府院對資安政策規畫的協調，對於提升臺灣資安產業的發展，以及相對應的資安人才培育，例如：將虛擬的資安研訓院進一步實體化。

甚至是，如何強化不在資安法規範中的國安單位資安量能，提高國防單位的資安防護能力，達到智慧國防的目標外，也要落實公私聯防，必透過臺灣重要的政治關鍵影響力，例如去年11月的「臺美大規模網路攻防演練（CODE）」的方式，臺灣都可以進一步評估，推動資安外交的可行性。

面對第二任國安會資安諮詢委員的資安挑戰，可以從幾個面向來看，有鑑於之前包括中油、台塑及高科技業力成所面臨的勒索軟體威脅，在在凸顯臺灣政府和企業都必須重新關注，要如何落實這些關鍵基礎設施資安防護的重要性。

再者，威脅資通訊網路安全的惡意攻擊與日俱增從未停歇，包括機密資料的竊取、網站資訊竄改，甚至2千多萬筆的舊資料，在暗網上被販賣等等等，都讓國家、企業、個人的資訊安全遭受嚴重威脅。如何從資通訊安全到超前部署的數位安全，也有賴提升企業與民眾的人員資安素養因應。

第三點挑戰則是，目前資通安全法主要規範對象包括政府、關鍵基礎設施服務提供者以及政府法人等，如何落實資安規範，不在資安管理法規範中的國防、國安單位，要如何面對相關的資安稽核等等，則是未來必須面對的議題。

從「資安即國安」進一步到「資安即國安2.0」，必須要從公民、企業乃至社會、政府機關都具有足夠的數位安全意識，才可以達到彼此合作且能量提升，搭配資安相關政策的落實與修正，進一步建立整體數位環境的安全。

以前大家只專注所謂的「資通訊安全」，但李漢銘接任諮詢委員後，未來不僅要在保障資通訊安全之餘，更進一步要落實一個互聯、主動、有韌性的數位安全整合防護體系，進一步提升到「數位安全」。

國安會諮詢委員李漢銘介紹：

＠學歷：

‧臺灣大學資訊工程學研究所博士

＠經歷：

‧財團法人金融聯合徵信中心董事

‧國家安全會議顧問

‧臺灣智慧生活空間發展協會理事長

‧財團法人電信技術中心董事長

‧晶心科技股份有限公司董事

‧消費者文教基金會常務監察人

‧行政院科技顧問組副執行秘書

‧臺灣科技大學資訊工程系籌備處主任/系主任

微軟的Azure資訊安全中心偵測到新一波Kubernetes叢集挖礦攻擊，目標鎖定Kubernetes機器學習工具包Kubeflow，微軟發現已經有數十個Kubernetes叢集受到挖礦攻擊影響。

Kubeflow是一個開源專案，起初只是要讓TensorFlow工作負載，能夠在Kubernetes上運作的專案，但隨著專案發展，Kubeflow已經發展成為Kubernetes機器學習的熱門框架，微軟提到，由於用於機器學習工作節點的運算能力，通常比起其他用途節點相對強大，並且在部分情況還會附加GPU，因此是採礦攻擊的絕佳目標。

微軟在4月時觀察到，不同叢集都從一個公開儲存庫部署了可疑的映像檔，深入分析該映像檔，發現其內含XMRIG挖礦程式，微軟還在公開儲存庫中，發現了其他擁有不同挖礦配置的映像檔。部署這些惡意映像檔的叢集，幾乎都在執行Kubeflow，因此微軟表示，這代表攻擊者把機器學習框架當作攻擊的進入點。

Kubeflow框架包含了各種服務，像是訓練模型的框架、Katib以及Jupyter Notebook伺服器等，而Kubeflow是一個容器化服務，各種任務在叢集中都會以容器的形式執行，因此當攻擊者能夠以特定方式存取Kubeflow，便能以多種方式在叢集中執行惡意檔案。

Kubeflow框架中還區分不同的命名空間，以表示Kubeflow服務集合，而這些命名空間會被翻譯為Kubernetes命名空間，用來部署資源。預設情況下，儀表板只能透過Istio的Ingress閘道供內部存取，用戶需要利用通訊埠轉發（Port Forwarding）服務來存取儀表板，但在部分情況下，當用戶將Istio服務配置修改為Load-Balancer，而這會使服務直接暴露在網際網路中。

微軟提到，用戶這麼做通常是因為方便操作，否則存取儀表板還需要通過Kubernetes API伺服器建立通道，但只要把服務公開在網際網路中，用戶就可以直接存取儀表板，不過這樣的操作並不安全，因為這讓任何人都可以在Kubeflow中執行操作，包括在叢集中部署新容器，只要攻擊者有權限存取儀表板，就有多種方法在叢集中部署後門容器。

微軟過去偵測到多個針對Kubernetes叢集的攻擊行動，皆使用類似的存取向量，也就是入侵公開在網際網路上的服務，而這次則是微軟首次偵測到針對Kubeflow框架的攻擊行動。

微軟提醒叢集管理者，在部署Kubeflow這類服務的時候，除了要對應用程式使用身份驗證和存取控制之外，也不要將連接埠直接暴露在網際網路上，並且還要監控執行環境，包括監控正在執行的容器和程序，而且應該限制叢集只能部署受信任的映像檔。

Google正式推出Android Performance Tuner，這是Android Game SDK中的一個新函式庫，可在Android Vitals中提供更完整的遊戲效能分析資料，讓開發者以可規模化的方法，對全Android裝置量測和最佳化遊戲的影格率和圖形保真度。

Android Vitals是Google推動來提升Android裝置穩定性和效能的計畫，當選擇開啟Android Vitals功能的用戶執行應用程式，則Android裝置就能記錄各種效能指標，包括應用程式的穩定度、啟動時間、電池使用狀況、渲染時間和拒絕授權等資料， Google Play控制臺會匯總這些資料，並顯示在Android Vitals儀表板中。

開發者將Android Performance Tuner整合到遊戲中，並發布到Play上後，就能從Android Vitals中，查看到應用程式在用戶裝置上運作的真實狀況。儀表板將繪製用戶裝置上影格時間的分布圖（下圖），該圖按遊戲實作的品質等級細分，開發者可查看特定裝置型號和硬體規格，在每個畫面品質等級上的表現。

Google也會分析效能資料，讓開發者可以更容易找出問題發生的可能原因，探索問題與硬體、螢幕或是遊戲的畫面等級有關，開發者可以在程式碼中下註解，便能夠獲得遊戲狀態的上下文資訊，而這將能提供完整的分析資料。

在儀表板中，最重要的裝置型號問題以及遊戲特殊的問題都將被列出來，開發者可以深入探究像是GPU和SoC等不同規格，所造成的效能差異，並決定為GPU和SoC最佳化遊戲效能，或是更改遊戲畫面品質等級。而且開發者也可以查看完整的裝置型號列表，還有受影響的用戶對話數（User Session）以及影格時間，以決定裝置型號修改的優先度。另外，GPU時間也可以讓開發者了解，遊戲是否受裝置的GPU限制，或是還存在其他效能問題。

Android Performance Tuner在超過99％的Android裝置上都可以使用，只要執行Android 4.1以上版本，也就是API等級16以上，裝置就能提供詳盡的遊戲效能指標。由於指標資訊會定期以HTTP上傳，因此遊戲必須要有存取網際網路的權限。

5月底釋出的Windows 10 May 2020 Update (2004)又傳出問題，導致好用的Fresh Start（全新安裝）功能無法使用，此外也搞亂了Google Chrome、Edge等應用程式的cookies和同步功能。

Fresh Start（全新安裝）是微軟於2016年Windows 10周年更新（Anniversary Update）加入的安裝模式。它位於「Windows更新與安全性」、「Windows安全性」之下，讓用戶可以安裝新版Windows 10時，把原本用戶安裝和PC預安裝的應用程式移除，用戶還可以保留個人檔案及設定。如果用戶選擇重設（reset）電腦，則會把預安裝的應用程式帶進電腦。

WS PowerUser上周（6/13）首先報導2004版更新把這好用功能弄壞了。原本用戶在Fresh Start項目下，點入「更多資訊」連結後會導向設定頁，內有「開始」（Get Started）鍵，按下後即可啟動全新安裝。但是有用戶發現，安裝2004更新卻找不到這個按鍵，而是被導向技術支援頁面。

但微軟應該不會不知道。事實上Techdows報導，早在測試版階段就有Insiders方案的開發人員提出Fresh Start功能失靈，時間最早可溯及8個月前。事實證明，即使2004版去年即完成開發，並且釋出多個測試版更新，但始終沒解決這個問題而讓它部署到用戶電腦上。

另外Windows 10 May 2020 Update鐵定也讓不少不想頻繁輸入密碼的用戶很困擾。有用戶反映安裝Windows 10 2004後，所有以Chrome登入的網站全部都被登出帳號，即使他們原本要求瀏覽器儲存登入資訊，而且同步功能也失靈了。只要一關閉Chrome，輸入的cookies都不會運作，意謂著下次又要再重新驗證。

Google已經接獲通報，正在解決該問題。Windows Latest並引述知名抓蟲研究人員Tavis Ormandy提供的暫時解法。他懷疑問題出在主金鑰的快取問題，可以先關閉Chrome、鎖定Windows、重新解鎖Windows後再重啟Chrome，即可解決同步和儲存帳密的困擾。

除了Chrome之外，Windows Latest報導，另有用戶發現應用程式「失憶」的問題也發現在微軟自己的OneDrive、Edge甚至遊戲程式暴雪（Battle.net）。

這意謂著，除了Windows 10 2004釋出第一天發生和多個外接裝置驅動程式不相容，以及引發藍色死亡螢幕外，又有新問題得等到未來更新版本來解決。

美國第三大電信業者T-Mobile的通訊服務，在美東時間（ET）6月15日下午2點20分（台北時間16日凌晨3點20分）發生故障，波及全美各大主要城市，且故障時間長達6 小時，部份用戶在這段時間無法撥電話、傳簡訊，甚至連行動網路都斷斷續續的，提供內容遞送網路與DDoS緩解服務的Cloudflare創辦人Matthew Prince則說，T-Mobile並未遭到DDoS攻擊，只是因為變更網路配置時出了差錯。

T-Mobile電信服務的故障，使得用戶無法存取其它網路服務，也造成其它電信業者的用戶無法撥打電話給T-Mobile用戶，讓外界一度誤以為是整個美國遭到大規模的分散式服務阻斷攻擊（DDoS），不過，根據Cloudflare的了解，始作俑者為T-Mobile。

Cloudflare創辦人Prince說明，他們從數據上並沒有看到大規模的DDoS攻擊，各個主要的網路交換中心也沒有忽然竄升的流量，除了T-Mobile之外，並沒有收到任何大型網路服務業者的回報，而T-Mobile則只是因為在網路配置上作了一些變更，就帶來了災難。

T-Mobile的技術總裁Neville Ray，則在發生問題的一個小時之後透過Twitter回應，表示工程師已在解決語音及數據傳輸的問題，且該問題影響了全美用戶。再過了兩小時，T-Mobile率先讓行動網路恢復暢通，同時建議使用者可暫時透過FaceTime及WhatsApp等通話程式與友人聯繫。

T-Mobile與Sprint甫於今年4月完成合併，大幅縮小與美國前兩大業者AT&T及Verizon的差距，AT&T現為全美最大的電信業者，擁有1.65億的行動用戶，居次的Verizon也有1.51億，合併後的T-Mobile則有1.4億用戶。

微軟昨（15）日正式預告，今年秋天視訊平台Microsoft Teams將可以提供7x7窗格，一次可以看到49位與會者的功能，以追趕Zoom。此外也針對教育版本，新增協助遠距上課的功能。

本月初華爾街日報報導，微軟內部一個50人的團隊正和紐約學校合作趕工，希望能為Teams增加讓競爭對手Zoom大受歡迎的功能，像是7x7窗格，最多可以一次看到49人上線的功能。這項計畫也獲得微軟證實，只是未說明時程。

今年武漢肺炎疫情推升全球遠距教學及協同平台的應用規模，微軟指出，已經有超過1.5億師生和學校人員使用Microsoft 教育（Microsoft Education）產品，而以Teams for Educations作為協同中心。微軟引述一份根據針對500名教育工作者做的調查，61%的受訪者預期，明年是實體和線上型式混合的教學環境，而87%的受訪者認為即使回到學校上課，科技的應用也會更多。

為此，微軟正在趕工為Teams新增功能。首先，微軟預計秋天會把Teams的視訊窗格由現有的3x3擴大為7x7，一次呈現最多49個與會者。

Teams教育版（Teams for Education）其他新增功能，還包括加入由老師建立分組教室（Breakout Rooms）的功能，以便學生能以小群組討論及互動。秋天時，教育版也將加入在教學中學生舉手的功能，而老師則獲得出席報告及教學統計功能，後者可顯示學生上課活動狀況、作業、成績等資訊。

而在秋天之前，今年夏天Teams也將加入新的安全功能，包括防止學生偷偷舉行視訊、讓老師決定誰可以加入會議，以及建立「會議大廳」（Meeting Lobby）的功能，確保僅被點到名及通過驗證的學生可以加入會議。微軟說，教育版Teams已符合「家庭教育權與隱私法案」（Family Educational Rights and Privacy Act ，FERPA）等90多項法規及標準。

不過，若以一個不公開視訊會議最多的同時與會者人數來看，Microsoft Teams則只有250人，雖然已經不少，但仍比不上Zoom的500人。

專門評測VPN服務的vpnMentor近日發現了一個未設置存取權限的AWS S3儲存庫，存放了多達845GB的資料量，而它們來自9款交友程式，內容涵蓋照片、私人對話的螢幕截圖、語音紀錄、金融交易，以及少數的身分資訊，這9款程式全是由同一名開發人員所打造，該S3儲存庫也是屬於該開發人員。

這9款交友程式分別是3somes、Cougary、Gay Daddy Bear、Xpal、BBW Dating、Casualx、SugarD與Herpes Dating，它們各有不同的用途及目標用戶，例如3P、年長的女性與年輕的男性、變裝人，或者是群交等，因此其通訊內容都是屬於敏感的隱私資訊。

發現此一資料庫的是vpnMentor的兩名研究人員Noam Rotem與Ran Locar，他們在資料庫上找到了超過2,000萬個檔案，估計涉及數十萬用戶，包括來自美國與其它國家的使用者。這些資料是從使用者的帳號直接上傳，因此內含使用者的個人檔案與通訊紀錄，包括照片、語音訊息、語音紀錄，以及私人對話與金融交易的螢幕截圖，看起來像是這9款程式的雲端儲存空間。

研究人員警告，此類資訊的曝光可能惹來詐騙、被肉搜、被敲詐、在網路上被流傳，或是遭到駭客利用等嚴重的後果。

其實這也只是單純的AWS S3配置錯誤所造成的，開發人員並非有意公開上述內容，vpnMentor在5月24日發現了此一公開的資料庫，花了兩天找到了資料庫的所有人，對方在5月27日就變更了配置。

為了擺脫種族不平等時代留下的遺緒，包括Google及GitHub上多個專案提案改革現有使用疑似有歧視色彩的詞彙如「主」（master）、「從」（slave）、黑／白名單等。

美國雖然早就沒有蓄奴制度，但仍有些不良的傳統殘存到今天，例如資通訊產業以「主從架構」稱呼系統通訊交互作用的模型，由主端（Master）向伺服端（Slave）發出要求，好比主人命令奴工提供服務。此外，黑名單（blacklist）、白名單（whitelist）也反映隱形的膚色歧視，近日以George Floyd案引發的平權運動下，引發許多科技人士決定，要將留有舊時代種族歧視色彩的詞彙換掉。

Google Android專案最近表示將不再使用blacklist/whitelist，而改用blocklist/allowlist等詞。

GitHub原本也以Master branch、Slave branch來指稱原始碼及衍生的程式碼。最近在GitHub上多個開源專案，包括OpenSSL、Powershell、P5.js、自動化軟體Ansible社群等紛紛提案，換掉現有的Master，改用較中性的名稱如main、parent、root、trunk、shell，或devel等等。另外有人建議也不要用blacklist、whitelist、whitespace等。

Google工程師指出，Chrome專案已在考慮將Master改為Main，還呼籲GitHub加入改變。GitHub執行長Nat Friedman則回應指出，這點子不錯，GitHub已經著手進行中。但也有人質疑這股政治正確風潮有點太過了，因為GitHub的 Master branch不等同於「Master/Slave」的意涵，也有「精通」或「主要」的意思。

不過科技界很早就有改革聲浪。ZDNet報導，Python、Chromium、微軟Roslyn .NET compile、Drupal及資料庫PostgreSQL、Redis等專案在幾年前，已不再使用Master/Save或Blacklist的政治「不正確」用語。

Google更新Maps平臺加入更多客製化功能，使用者除了能對興趣點（POI）進行更多自定義控制之外，也能在應用程式中，加入具有在地資訊（Local Context）的地圖，另外，Google正式發布適用Unity的Maps SDK（Maps SDK for Unity），開發者可以利用API新功能，使AR遊戲體驗更加流暢。

Google Maps平臺現在支援在雲端編輯地圖樣式，使用者可以使用Google雲端控制臺創建和管理地圖樣式，如此不只可以選用更多的自定義功能，也能快速地進行測試和部署。過去Maps自定義都是由客戶端JSON處理，JSON會和地圖的請求一起發送到伺服器端，不過這種方式會因為URL字元數量有限，而限制了可自定義的數量，而在雲端操作地圖樣式，可讓自定義的數量增加到250種。

Maps平臺的JavaScript API還加入了向量地圖（Vector Maps）功能，這與使用圖像集組合而成的地圖不同，向量地圖在客戶端渲染，Google解釋，向量地圖使用WebGL技術，以用戶裝置上的GPU來繪製更平滑清楚的地圖磚，平移和縮放等操作的體驗都會很順暢。目前向量地圖支援JavaScript、Android和iOS平臺，並且還加入了標記碰撞管理功能，讓開發人員可以決定標記優先度，避免重要標記被基圖資訊擋住。

Google更強化地圖興趣點的控制，在商業興趣點過濾選項，加入5個子類別，分別是住宿、購物、餐飲、汽車租賃和加油站，開發人員可以細緻地選擇要在地圖上顯示的興趣點類別，像是零售商提供的地圖，可以顯示附近餐廳和加油站，讓消費者容易規畫行程，並且避免在地圖上顯示競爭對手，另外，開發者也可以使用興趣點密度控制，增加或是減少地圖上顯示的興趣點，提供終端使用者更舒服的地圖瀏覽體驗。

Google釋出的Local Context的Beta測試版，開發者能夠在桌面和行動應用程式中，嵌入具有本地資訊的地圖，讓用戶詳細了解特定位置附近的地點，顯示地點名稱、描述評價和照片維持用戶的參與度，企業可以使用Local Context，讓終端用戶看到特定地點周邊自定義的興趣點類型和數量，像是旅館網站可以選擇在網站的地圖上，顯示12個地點，並將這些地點限制為餐廳、景點和購物商場等，同時還能更改地圖外觀，使其與網站樣式和品牌設計一致。

而在兩年前Google推出的Maps平臺遊戲解決方案，現在也正式上線，開發者可以使用Maps SDK for Unity創建結合現實世界與自定義內容的遊戲，Playable Locations API提供了混合縮放以及尋找路徑新功能，混合縮放能夠根據景物與玩家的距離，調整景物顯示細節，而尋找路徑則可以讓遊戲內角色，在虛擬實境中自然地移動。

隨著國內將在下個月迎來5G，繼三星、LG及Sony之後，又一家手機業者推出5G手機。宏達電（HTC）今天在臺灣發表旗下首款5G手機HTC U20 5G，宣稱為市場上首款在台灣製造的5G手機，不同於其他產品鎖定旗艦手機市場，U20 5G定位為中階5G手機，空機售價18,990元。

目前為止，國內共有三款5G手機，三星Galaxy S20系列、LG的V60 ThinQ 5G Dual Screen，還有Sony Mobile前些日子才剛發表的Xperia 1 II，這三支手機都採用高通Snapdragon 865系列高階行動平臺，支援5G行動通訊功能，並定位在旗艦級手機市場。三款手機售價都相當高，空機價格都在3.29萬元以上。

宏達電今天發表的HTC U20 5G，採用高通Snapdragon 765G行動平臺，為中高階定位的5G手機，國內預計將在7月展開預購，8月到貨，以不到2萬元的空機售價切入國內5G市場，價格相對親民許多，有助於國內5G手機的普及。

對於以中階手機切入5G市場，去年接下HTC執行長一職的Yves Maitre直言，目的是讓更多人能以可以接受的價格取得5G手機，他看好5G的到來，未來將會推升XR（混合實境）、AI的爆炸性發展，為人們帶來新的體驗方式。

值得特別注意的是，HTC U20 5G雖然價格相對親民，但所使用的Snapdragon 765G行動平臺，整合的X52數據機，5G下載速度可達3.7Gbps；而三星、Sony、LG的5G旗艦手機，所採用的Snapdragon 865行動平臺，搭配的X55數據機通訊功能，其5G下載速度最高可達到7.5Gbps。

雖然如此，HTC U20 5G的規格並不弱於高階手機，搭載6.8吋20:9螢幕，手機內建8GB記憶體、256GB儲存容量及5000mAh電池，支援雙卡通訊功能。

另外，在拍照功能上，手機搭載4+1的5鏡頭設計，手機後方的4個鏡頭，分別為4800萬畫素的主鏡頭，支援4K錄影，還有800萬畫素的超廣角鏡頭及各200萬畫素的微距鏡頭與景深鏡頭。前置鏡頭則是3200萬畫素。

除了HTC首款5G手機，宏達電也為主流的4G市場推出新款中階手機HTC Desire 20 pro，搭載6.5吋19.5:9螢幕，該手機採用高通Snapdragon 665行動平臺，內建6GB記憶體與128GB儲存容量，搭配4+1的5鏡頭設計，但前置鏡頭為2500萬畫素。Desire 20 pro將在這周開賣，售價8,990元。

在HTC U20 5G之前，去年，宏達電和高通聯手推出一款5G裝置HTC 5G Hub，為一款網路分享器，內部採用高通Snapdragon 855行動平臺，可連接5G服務，供家庭或企業環境使用，最多可連接20臺裝置，可串流播放4K影片。這款網路分享器內建電池，因此可以外出攜帶使用。

微軟與英國國家健康服務部（National Healthcare Service, NHS）於6月15日宣布，NHS將導入微軟Microsoft 365，包括Teams、Office 365及Windows 10等產品供120萬醫護人員使用。

雙方稱為「里程碑」的IT合作案，是2018年4月NHS英格蘭導入Windows 10授權今年到期後的延伸。新合約擴大為Microsoft 365，包括Office 365、Windows 10及裝置管理與安全軟體（Enterprise Mobility+ Security）。NHS英格蘭地區所有NHS下的醫療單位、委員會及資訊部門共120萬名員工，包括醫師、護理人員、治療人員、前線急救及其他員工都可使用Microsoft 365服務，像是以Microsoft Teams進行即時通訊、視訊會議和語音通話等。事實上，今年武漢肺炎（COVID-19）疫情期間，NHS醫護人員已經使用Office 365及Microsoft Teams作為文書作業及協同工具。

雙方表示，這項合作為NHS省下數百萬資訊成本。不過各地NHS單位仍然可以選擇自有原本的ICT系統，或改用微軟方案。

4月底微軟也和NHS蘇格蘭地區宣布合作，使16萬名員工得以使用Office 365及Teams。

這意謂著，這兩個案子至少使微軟在英國地區新增180萬用戶，有助於在用戶人數上再拉近和競爭者Zoom的距離。微軟四月表示，Teams現有用戶7,500萬，而Zoom的「每日與會者」（可能重覆計算）人數為3億。

英特爾（Intel）本周宣布，預計於今年推出的Tiger Lake行動處理器，都將嵌入原本只能透過防毒軟體提供的防毒技術，此一「控制流強制技術」（Intel Control-Flow Enforcement Technology，Intel CET）將能用來減輕與記憶體有關的安全問題，同時已獲得微軟的支持。

Intel CET主要用來解決駭客濫用合法程式碼，以執行控制流挾持（control-flow hijacking）的攻擊行為，藉由建立影子堆疊（Shadow Stack）來防範返回導向程式設計（Return Oriented Programming，ROP）攻擊，以及建立間接分支追蹤（ Indirect Branch Tracking）能力，來預防跳轉導向程式設計（Jump Oriented Programming，JOP）攻擊。

英特爾說明，不管是ROP或JOP都是利用可執行記憶體中既有的程式碼來發動攻擊，目的是變更程式的行為，也因此，它很難被偵測與避免，坊間許多基於軟體的安全工具都只能達到有限的成效。

其中，ROP攻擊是利用返回（RET）指令來變更程式中的指令順序，以改變程式行為，進而允許駭客擴充權限或突破沙箱流程，而Intel CET則允許作業系統建立一個影子堆疊，以保護程式碼的記憶體存取，同時存放CPU返回位址的備份；因此，就算駭客能夠變更資料堆疊中的返回位址，也無法改變影子堆疊，當CET偵測到資料堆疊與影子堆疊不相符時，就能向作業系統檢舉，進而阻擋攻擊行動。

至於其它非直接的分支指令，像是Call或Jump，則能用來發動呼叫或跳轉導向程式設計攻擊，對此，CET則是嵌入了非直接分支追蹤能力，以讓作業系統能夠限制相關攻擊。

英特爾引用了趨勢科技Zero Day Initiative（ZDI）的統計，顯示在ZDI於去年所揭露的1,097個安全漏洞中，有高達63.2%與記憶體的安全性有關，這類的惡意程式通常鎖定作業系統、瀏覽器或其它應用程式。英特爾認為，若能將相關的防禦能力嵌入硬體中，既能提供有效的安全機制，還能減少對效能的衝擊。

Tiger Lake行動處理器採用了英特爾10奈米製程，宣稱大幅改善了AI與繪圖效能，整體效能將有兩位數的成長，也整合有4倍USB 3吞吐量的Thunderbolt 4，預計今年就會出貨。

英特爾已主動與微軟及其它夥伴合作，以利用CET技術來擴展，過去只有軟體才能執行的控制流完整性解決方案，微軟也已承諾將支持CET。微軟作業系統安全性總監David Weston表示，隨著Windows作業系統內建愈來愈多的主動保護機制，駭客也隨之轉移注意力，藉由挾持控制流來破壞記憶體的安全性。

Weston說，微軟已與英特爾合作，以推動此一基於硬體的強制堆疊保護技術，在Windows 10中稱為Hardware-enforced Stack Protection，使用者可透過opt-in功能加入相關的保護，目前該功能已經現身於微軟本周釋出的Windows 10 Insider Previews中。

不過，由於此一功能是由英特爾所開發，必須仰賴相容於CET指令的CPU架構，因此Windows 10上的Hardware-enforced Stack Protection功能將只支援Tiger Lake或之後的處理器版本，並不會支援採用其它架構的處理器。

武漢肺炎疫情衝擊了全球經濟活動，進而對企業徵才造成影響，LinkedIn研究小組對疫情爆發前後，企業的人才需求進行比較，找出受影響的部門，而LinkedIn先針對被稱為未來工作的人工智慧相關工作進行分析，資料顯示人工智慧工作的職缺發布和申請速度都減緩，但較去年同期仍成長。

在去年LinkedIn所做的新興工作報告中，人工智慧以及機器學習專家是成長快速的工作之一，LinkedIn提到，雖然一般想法會認為，武漢肺炎疫情會推動企業發展自動化，但是畢竟人工智慧與自動化並不畫上等號，因此他們想要知道企業究竟在經濟不景氣的時候，會增加人工智慧人才的聘僱，還是避免聘用昂貴的人才。

LinkedIn將疫情爆發前10周與後10周的資料，和2019年同期進行比較，查看了人工智慧研究和人工智慧相關的軟體工程師職缺列表和申請狀況。這些職缺僅與人工智慧和機器學習相關，不包含資料生態系中的資料科學家或是資料工程師等工作。

LinkedIn提到，過去一年人工智慧人才市場不斷成長，但是武漢肺炎疫情爆發，抑制了這股成長力道，企業對此類人才的職缺發布，以及求職者申請的成長速度都減緩，但是跟去年同期相比，人工智慧專家的整體市場仍在成長，而成長暫緩應該僅是暫時的現象。

具體而言，在武漢肺炎爆發前，人工智慧職缺同比增長14％，但在武漢肺炎疫情爆發後只剩4.6％，工作申請的部分，在疫情爆發前同比增長50.8％，而在疫情爆發後，同比增長降至30.2％。

在疫情爆發後，企業人才總體需求普遍減少，同樣地，求職申請也變少，LinkedIn對總體職缺列表和申請進行標準化，比較人工智慧人才市場與總體人才市場的狀況，在武漢肺炎疫情爆發後10周，LinkedIn平臺上人工智慧職缺增加了8.3％，LinkedIn表示，這代表儘管總體人才需求下降，但是企業仍然優先考慮僱用人工智慧專家。

但是相對於人才需求成長，人工智慧人才的供應卻萎縮，在疫情爆發後10周，人工智慧職位申請量下降14.1％，LinkedIn認為，就業人才在不確定的時期，可能傾向安全的選擇。相較於人工智慧職缺在疫情之後成長減緩，軟體與IT部門在疫情爆發後，人才需求反而成長，但與去年同期相比仍然有所下降。

而醫療保健業對於人工智慧人才需求，在疫情爆發後同比增長率下降，但是職位申請的同比增長率卻上升，LinkedIn提到，雖然人工智慧人才需求少，但醫療保健產業對於求職者越來越具吸引力。

LinkedIn提到，職缺申請減緩，可能代表人們正選擇較為安全且穩定的工作，畢竟人工智慧專家都是從軟體工程師、資料科學家等職位轉換而來，而這些職位通常在新創或是技術部門較多，因此這些人才可能傾向了解疫情對於科技產業的影響後，謹慎的做出決定。另外，LinkedIn也認為，雖然企業減緩聘用人工智慧人才，但不代表企業會降低採用人工智慧技術的速度。