關閉選單
  1. Home
  2. NEWS最新消息
  3. 風險與威脅
顯示分類
2026.05.28
風險與威脅/資訊安全
憑證外洩危機:為什麼現代資安防線仍可能被「合法登入」擊破

隨著企業導入雲端服務、SaaS 平台、遠端工作與自動化流程,帳號、密碼、Session Token、API Key、服務帳號與憑證金鑰等「數位憑證」已成為企業營運不可或缺的一部分。然而,這些憑證一旦遭竊,攻擊者往往不需要「破解」系統,而是以合法身分登入,進入企業信任流程之中,使傳統防護、邊界控管與偵測機制面臨更高挑戰。SecurityWeek 於 2026 年 5 月 27 日刊登的文章指出,AI 正加速釣魚、Session 劫持與憑證濫用,使防禦團隊必須縮短攻擊者速度與企業應變速度之間的落差。

  1. 憑證不只是密碼,也包含機器與非人類身分

企業常將憑證理解為使用者帳號與密碼,但實際上,現代環境中的憑證範圍更廣。人類身分憑證包括密碼、Passkey、生物辨識、軟硬體 Token 等;非人類身分則包括 API Key、SSH Key、X.509 憑證、服務帳號、Session Token 與各類存取金鑰。文章特別提醒,Session Token 的數量可能遠高於員工人數,例如 3,000 名員工的企業,可能存在 300,000 個有效 Token,而這些 Token 正是資訊竊取惡意程式常鎖定的目標。

這也代表,企業若只保護「登入密碼」,已不足以因應現代身分安全風險。攻擊者一旦取得有效憑證,就可能繼承合法使用者權限,活動也會更容易混入正常存取行為之中,使偵測與應變更加困難。

  1. 憑證遭竊後,攻擊者是在「登入」而非「入侵」

憑證外洩的關鍵問題在於,系統通常會相信有效憑證代表合法身分。攻擊者若使用遭竊帳密、Session Token 或服務帳號登入,從系統角度來看,該活動可能被視為授權存取。這使得攻擊者能繞過部分邊界防護,進入企業內部流程,進一步進行橫向移動、資料存取或權限擴張。

文章指出,憑證外洩不一定代表憑證已被使用,但代表該憑證已不再由合法使用者獨占控制;一旦被濫用,企業面臨的就不只是帳號安全問題,而是整體身分治理與營運風險。

  1. AI、社交工程與資訊竊取程式擴大憑證風險

憑證竊取的常見途徑包括釣魚郵件、社交工程、資訊竊取惡意程式、資料外洩、Man-in-the-Middle 攻擊,以及針對服務台或內部流程的冒充詐騙。文章指出,AI 可協助攻擊者製作更具說服力的釣魚內容、Deepfake 與情境化詐騙,使受害者更難單靠直覺辨識異常。

此外,攻擊者不一定需要複雜技術。透過假冒高階主管、施加時間壓力、要求服務台協助重設存取權限等方式,也可能取得進一步進入企業環境的機會。這類攻擊凸顯出,企業身分安全不只是技術控制,也涉及流程驗證、員工意識與異常行為判斷。

  1. MFA 仍重要,但不能單獨視為萬靈丹

多因素驗證仍是防止密碼重放攻擊的重要控制措施,也能在出現異常登入行為時提供警訊。不過,文章提醒 MFA 並非完美防線,特別是在 Session 竊取、Token 重放、MFA 疲勞攻擊或推播轟炸等情境下,若未強化機制,仍可能遭到繞過。

相較之下,具抗釣魚能力的 MFA,例如 WebAuthn 與 Passkey,能透過驗證網站來源與裝置綁定等方式,提高攻擊門檻。企業在推動 MFA 時,應逐步從傳統一次性密碼或簡易推播,提升至抗釣魚、多條件、可風險評估的驗證方式。

  1. 遭竊憑證的偵測與應變:重點在持續驗證與快速圍堵

文章指出,企業未必能完全阻止憑證外洩,因此更重要的是能否及早發現憑證被濫用,並快速限制影響範圍。常見警訊包括異常密碼重設通知、新裝置登入提示、帳號鎖定、異常 SaaS 活動、權限變更,或不符合使用者平常行為模式的存取行為。

企業可採取的方向包括:

  • 導入行為異常偵測:建立使用者、裝置、位置、時間、操作模式與交易行為基準,當活動偏離正常模式時,觸發重新驗證、Session 隔離或存取撤銷。
  • 落實最小權限與權限盤點:即使帳號遭竊,也應限制其可存取的系統、資料與操作範圍,降低橫向移動與資料外洩風險。
  • 撤銷有效 Session 與 Token:密碼重設不一定能阻止已遭竊的 Session Token 或 Cookie 被繼續利用,因此事件應變流程需包含 Token、Session 與 API Key 的撤銷機制。
  • 採用零信任原則:零信任不是單一產品,而是一種持續驗證的營運模式。企業不應只因登入成功就持續信任該身分,而應根據情境、裝置、位置、行為與存取目標動態評估風險。
  • 強化機器身分與 API Key 管理:文章特別提醒,Agentic AI 系統若使用的 API Key 遭竊,攻擊者可能透過自動化流程串接 Jira、Slack、AWS 等多個平台,進一步擴大攻擊範圍與速度。
  1. 企業資安建議

面對憑證外洩風險,企業應將身分安全視為資安治理核心,而非僅是帳號管理議題。建議優先檢視以下項目:

  • 盤點人類與非人類身分,包括服務帳號、API Key、SSH Key、憑證、Session Token。
  • 推動抗釣魚 MFA,例如 Passkey、WebAuthn 或硬體安全金鑰。
  • 建立異常登入、異常權限變更與異常 SaaS 存取的偵測規則。
  • 將 Session 與 Token 撤銷納入資安事件應變程序。
  • 定期檢查暗網、外洩資料集與資訊竊取程式紀錄中是否出現企業帳號。
  • 對服務台、IT 維運與高權限帳號建立額外驗證流程。
  • 導入最小權限、條件式存取、微分段與零信任架構,降低單一憑證遭竊後的爆炸半徑。
  1. 結語
憑證外洩的挑戰在於,攻擊者取得有效憑證後,往往能以「合法身分」進入企業系統。現代資安防護不能只停留在防火牆、端點與登入驗證,而必須延伸到身分生命週期管理、行為監控、持續驗證與快速圍堵。對企業而言,真正的重點不是假設憑證永遠不會外洩,而是確保即使憑證外洩,也能及早發現、快速撤銷、限制權限,並降低營運衝擊。

資料來源:https://www.securityweek.com/the-credential-crisis-how-stolen-credentials-defeat-modern-security/
 
現代資安面臨巨大「憑證危機」!隨著 AI 加速網路釣魚與憑證濫用,攻擊者正利用遭竊的身分憑證輕易繞過傳統防禦並潛入信任工作流中。