民國 95年11月27日 內政部警政署新聞資料 發稿單位：科技犯罪防制中心 ●新聞稿1則 □背景資料 份　□照片　　　 聯 絡 人：組長蘇清偉 ●請立即發佈 □請於95年11月27 日發佈　　 行動電話： 小心使用P2P軟體，以免你的個人檔案也分享出去 一、承辦單位：科技犯罪防制中心 二、案情摘要： 「Peer to Peer」 是一種網路技術，在大陸稱為「對等聯網」技術，台灣則稱「點對點」技術，國際上通稱為P2P。使用者安裝P2P軟體後，透過P2P技術可以分享網路使用者的部分硬體資源，例如:CPU處理能力、硬碟儲存能力、硬碟空間及網路頻寬等，最廣為運用的功能就是檔案的分享，透過P2P的技術加速資料在網路上的傳送速度。 P2P檔案分享軟體，除了具有版權的電影、歌曲等檔案的重製與分享恐衍生著作權之相關法律問題外，其所造成網路資安的嚴重威脅，可能遠遠超乎我們的想像，有鑑於國內使用P2P軟體的使用者愈來愈多，刑事警察局科技犯罪防制中心與新波科技公司長期深入研究P2P軟體之運作模式，經實際使用各種P2P軟體，透過P2P軟體—FOXY竟能取得部分政府機關之檔案及表單檔案、公司行號之內部檔案(會議紀錄、採購紀錄等)及個人之私密資料(帳號密碼、記帳資料等)，這些不應分享於網路上之檔案資料竟置於網路任人下載瀏覽，可見使用P2P軟體確實存有重大資安隱憂。 經分析P2P檔案分享軟體恐造成下列問題： （一）P2P相關檔案，遭放置惡意程式： 這種情況常見於P2P相關程式，有心人士將P2P安裝程式或工具組放置木馬後門程式或病毒蠕蟲後，再將加殼之後的P2P軟體，公佈於公開網站(通常是入口網站與論壇網站)，供人下載，若有不知情的民眾下載這些有問題的P2P程式，就會被植入木馬後門或感染病毒蠕蟲。另外，下載影音檔案的內容暗藏木馬後門程式或病毒蠕蟲，P2P軟體BitTorrent工具系列(簡稱BT)就曾經發生駭客將木馬後門程式或病毒蠕蟲包裝成假的影音檔案，再透過torrent描述檔案傳送出去，造成下載的使用者感染惡意程式。 （二）P2P軟體本身的漏洞，造成駭客入侵： 由於P2P軟體的運作相當複雜，也因此產生許多系統漏洞，例如2005年開始，在日本地區因為P2P檔案分享工具「Winny」的漏洞問題，發生嚴重資料外洩與駭客入侵的資安事件，因此造成日本軍方與政府部門機密資料外流的情況，日本政府已經三申五令，嚴格禁止政府部門與大型商社企業使用P2P軟體，不過，Winny蠕蟲感染與後門漏洞所造成的資料外洩情況，一直到2006年底都未見平息，可見用戶端的行為控管非同小可。在國內同樣存在這樣的問題，駭客藉由某P2P的0 day漏洞問題，可分享使用者的所有目錄／檔案，造成個人檔案外洩。 （三）使用P2P軟體時，誤將本機目錄開放共享： P2P使用者操作疏忽時，誤將電腦之本機目錄開放共享，可能導致駭客可以輕易進入被害人(被駭人)電腦，竊取個人隱私檔案或重要資料，例如自拍照片與金融信用卡資料等。因為P2P檔案分享工具與網路芳鄰的目錄分享並不相同，P2P工具的目錄分享並沒有存取身份限制與帳號密碼管理的機制，而網路芳鄰的目錄分享與FTP的檔案存取，皆可以透過使用者自己設定控管權限，目前僅有極少數P2P軟體提供網路存取與身份之控管。 三、為防制P2P軟體所衍生之資安威脅，刑事警察局科技犯罪防制中心特別呼籲政府機關、公司及網路使用者小心使用P2P軟體，並提供以下防製作為： （一）辦公室應嚴禁使用P2P軟體工具，避免駭客有入侵的可能機會，在辦公室以外之場所，勿使用公務用之筆記型電腦下載P2P檔案，以免不慎遭駭客入侵後，擴散至辦公室網路之其他電腦。 （二）下載任何工具軟體，應該從原廠官方(Official)網站取得，切勿從入口網站或是論壇網站下載，避免下載有惡意程式的P2P軟體工具組。 （三）使用P2P工具時，應縮短暴露在網際網路的時間，下載完畢後，應該立即停止執行P2P程式，避免駭客透過P2P工具攻擊。