一周大事：有資安疑慮！行政院下令公務機關與各級學校禁用Zoom。Visa要以行動支付採用的代碼化技術保護信用卡資料(轉載自iThome)

對於Zoom的資安疑慮問題，行政院資通安全處表示，公務機關與特定非公務機關應禁用Zoom，對此教育部也緊急通知各級學校全面停用，建議改用CyberLink U Meeting、Microsoft Teams、Cisco WebEx、Adobe Connect、Google Meet，以及開源的Jitsi Meet等軟體。

行政院正式禁止公務機關用視訊會議軟體Zoom

繼4月6日晚間中華電信宣布停止原本的Zoom服務方案銷售後，政府現在也公開表示，將要求機關單位禁用。行政院資通安全處7號中午正式公告說明，指出各機關若因業務需求召開視訊會議，不應使用具有資通安全疑慮的產品，例如Zoom。

根據資通安全處的說明，臺灣已在2019年正式實施資通安全管理法，對於各公務機關及特定非公務機關而言，應依規定落實資通安全應辦事項，並應以國內產品及共同供應契約所列品項為優先。

由於武漢肺炎疫情（COVID-19）的持續發展，視訊會議需求大增，資通安全處指出，為了避免業務運作停擺，各機關在實施異地辦公或分區辦公時，可搭配視訊會議系統來溝通協作，但是，視訊軟體使用規範必須遵守。因此，他們表示，4月7日已經通函給各公務機關及特定非公務機關，說明不應使用Zoom這類具有資安疑慮的產品。他們也建議，在資安風險評估下，可使用如Google、微軟、Cisco的免費軟體。

行政院4月7日發函各機關單位後，教育部也在同日緊急發表後續處置說明，指出將轉知各級學校全面禁用Zoom，同時也將全面移除教育雲「線上教學便利包」中的Zoom相關使用說明。更多內容

支付安全聚焦新3-DS驗證與代碼化技術，Visa公布未來三年金融機構與商家導入時程

Visa公布近三年臺灣支付安全發展藍圖，其中有兩大支付安全焦點值得關注，首先是代碼化技術的推動，將朝向企業商家推進，其次是新一代的3-DS驗證系統，已經正式在臺推動，Visa並提出具體時程，讓相關業者都提前做好準備。

以代碼化技術而言，它在2014年成為支付產業標準組織EMVCo的正式標準，該技術將信用卡的16位數號碼，置換為另一組16位字串，最主要的目的，就是為了降低資料價值，讓實際的信用卡號碼只會使用在一開始的請求過程中，之後的存放與傳送過程，其實都是使用另一組代碼。

目前，這樣的安全技術早已應用在Apple Pay、Google Pay，與Samsung Pay中，讓用戶在這些行動支付所綁定的信用卡，更有保障性。然而，隨著行動支付更普遍，Visa也期望將代碼化技術擴及更多應用環節，尤其是資料存於商家的面向。

在第一階段，今年10月1日前，他們預計要讓商家導入應用程式內交易代碼化，讓消費者在商家App內，可用上述採代碼化技術的支付工具付款。換言之，商家App即可呼叫Apple Pay、Google Pay等應用。更多內容

德國、美國與澳洲都部份封鎖Zoom的使用

視訊會議軟體Zoom因傳出隱私、安全與誇大加密等級等負面消息，而日益受到各國政府的關注，除了台灣的行政院與教育部，已下令公務機關及各級學校不得使用Zoom之外，美國參議院、德國外交部，以及澳洲國防軍，也都宣布了禁用Zoom的政策。更多內容

Zoom稱用256位元AES加密金鑰，遭爆僅一半

圖片來源／The Citizen Lab

因在家工作風潮而大紅的視訊會議軟體Zoom，在安全白皮書中宣稱自己採用256位元的AES加密標準演算法於應用程式層，來加密所有呈現的內容。然而，加拿大多倫多大學市民實驗室（Citizen Lab）的研究人員實際測試卻發現，在基於電子密碼本（Electronic CodeBook，ECB）模式的Zoom會議中，所有參與者都使用單一AES-128金鑰，來加解密視訊與音訊，業者向來不建議採用ECB模式，因為它在加密過程中會保留明文。更多內容

Zoom為軟體漏洞道歉，承諾改善安全及隱私缺失

武漢肺炎（COVID-19）導致線上視訊應用需求大增，捧紅了在2011年創立的視訊會議平臺Zoom，使用人數更達上億人，但有關Zoom的隱私與安全問題，也如雨後春筍般地不斷出現，引起各界的質疑聲浪。最近，Zoom創辦人暨執行長袁征也親上火線，在官網上坦承，暴增的用戶與各式的使用情景，超越了Zoom原本的規畫，他承諾將凍結新功能的開發，優先解決平臺的安全及隱私問題。更多內容

Zoom宣布資安強化計畫，找臉書前安全長擔任外部顧問

為了強化產品安全以及資安措施，Zoom宣布聘請前臉書安全長Alex Stamos擔任外部資安顧問，並找來VMWare、Netflix、Uber等多家公司的CISO，擔任Zoom資安長會議及顧問委員會成員。更多內容