美國聯邦地方法院就Sanford Wallace散佈間諜軟體案作成判決

  美國聯邦交易委員會指控 Sanford Wallace 氏及其所經營的 Smartbot.Net 公司,利用 IE 瀏覽器的安全漏洞散佈間諜軟體一案,日前新罕布夏州聯邦地方法院作成判決。


  被告散佈之軟體會將受害者的光碟機托盤彈出,同時在螢幕顯示「最後警告」等字樣,附帶一則訊息告訴受害者,「如果您面臨光碟機托盤彈出的狀況,代表間諜軟體已經入侵您的電腦系統,安全已經出現漏洞,敬請立刻下載本公司出品,以資因應!」趁機推銷該公司出品,定價
30 美元之 Spy Wiper Spy Deleter 軟體,號稱足以因應間諜軟體相關問題。實際上,被告未經用戶同意逕予散佈植入的,性質上即係間諜軟體,不僅會偷偷更改用戶電腦的設定,持續不斷跳出廣告視窗,造成用戶之電腦運作不順或者當機,還可能洩漏電腦裡頭所儲存的資料。


  日前新罕布夏州聯邦地方法院就本件作成判決,命被告必須償還不法取得的利益,共計
408 萬餘美元;不得繼續傳輸散佈間諜軟體至用戶之個人電腦;不得未經同意逕行傳輸任何軟體予用戶;不得將用戶之電腦導向彼等並未打算瀏覽或連結的網站或伺服器;不得更動用戶瀏覽器所預設的首頁;不得更動或調整搜尋引擎的功能或成果。

相關連結
※ 美國聯邦地方法院就Sanford Wallace散佈間諜軟體案作成判決, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=402&no=64&tp=1 (最後瀏覽日:2026/02/19)
引註此篇文章
你可能還會想看
歐盟資通安全局(ENISA)提出資通安全驗證標準化建議

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。   受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。   ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎: ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。   然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。

Ofcom建議ISP之寬頻廣告應以平均速度為準

  鑑於ISP對於寬頻服務的廣告速度常與實際提供速度有落差,英國廣告標準管理局(Advertising Standards Authority,ASA)要求廣告事務委員會(Committee for Advertising Practice,CAP)與廣播廣告事務委員會(Broadcast Committee for Advertising Practice,BCAP)針對英國各地區的ISP寬頻廣告進行審查,CAP與BCAP則委託Ofcom進行各ISP實際寬頻服務速度之調查。   Ofcom於2010年11月~12月期間,針對ADSL、Cable及光纖等寬頻服務進行各時段的大規模測試。綜合以往的調查,Ofcom研究結果發現,英國寬頻服務平均速度約從 5.2 Mbps(2010年5月)至6.2 Mbps的(2010年11~12月),但不到廣告所宣稱速度之一半(平均寬頻廣告速度為 13.8 Mbps,故僅約45%。)   在各種寬頻技術中,ADSL的廣告與實際落差最大,廣告宣稱8Mbps之速度,實際平均僅有2~5Mbps;而Cable的廣告與實際落差最小,實際速度均能達到廣告速度的90%左右;光纖寬頻則約在80%~90%之間。      Ofcom並建議將以下原則增訂至英國寬頻速度自律規則(Voluntary Code of Practice on Broadband Speeds)中 • 如果寬頻速度是廣告內容,必須包括一個「典型的速度範圍」(Typical Speed Range,TSR),計算依據為將某一速度之使用者依照實際接取速度分為四等級,去掉最高與最低,取中間50%使用者之平均速度為準; • TSR必須至少與宣稱之速度相當; • 宣稱的速度必須代表相當大比例使用者能夠接受的實際速度; • 任何TSR或宣稱之速度在用於廣告時,必須是基於足夠的分析統計數據,而該數據與方法應經過審議。   Ofcom認為ISP的寬頻廣告應反映消費者能接受之實際速度,因此改變廣告規範是必要的,以促使各ISP進行以速度為基礎之競爭,並確保消費者有充分資訊可比較、選擇最有效率之寬頻服務。

美國運輸部公布自駕車3.0政策文件

  美國運輸部(Department of Transportation)於2018年10月4日公布「自駕車3.0政策文件」(Preparing for the Future of Transportation: Automated Vehicles 3.0)」,提出聯邦政府六項自駕車策略原則: 安全優先:運輸部將致力於確認可能之安全風險,並促進自駕車可帶來之益處,並加強公眾信心。 技術中立:運輸部將會依彈性且技術中立之策略,促進自駕車競爭與創新。 法令的與時俱進:運輸部將會檢討並修正無法因應自駕車發展之交通法令,以避免對自駕車發展產生不必要之阻礙。 法令與基礎環境的一致性:運輸部將致力於讓法規環境與自駕車運作環境於全國具備一致性。 主動積極:運輸部將主動提供各種協助,以建構動態且具彈性之自駕車未來,亦將針對車聯網等相關補充性技術進行準備。 保障並促進自由:運輸部將確保美國民眾之駕駛自由,並支持透過自駕科技來增進安全與弱勢族群之移動便利,進而促進個人自由。   「自駕車3.0政策文件」並建立五個策略,包括利益相關人參與、典範實務(best practice)、自願性標準、目標研究(Targeted research)與規範現代化等,配合以上原則進行。美國運輸部並肯認其先前提出之「安全願景2.0(A Vision for Safety)」中之安全性架構,並鼓勵技術與服務開發商持續遵循自願性之安全評估,並重申將依循自我認證(self-certification)而非特定認證管制途徑,以促進規範之彈性。

美國網路安全暨基礎設施安全局(CISA)成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,JCDC),將領導推動國家網路聯防計畫

  美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,以下簡稱CISA)於2021年8月宣布成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,以下簡稱JCDC),依據《國防授權法》(National Defense Authorization Act of 2021, NDAA)所賦予的權限,匯集公私部門協力合作,以共同抵禦關鍵基礎設施的網路威脅,從而引領國家網路防禦計畫的制定。   聯合網路防禦協作辦公室(JCDC's office)將由具代表性的聯邦政府單位所組成,包括國土安全部(Department of Homeland Security, DHS)、司法部(Department of Justice, DOJ)、美國網路司令部(United States Cyber Command, USCYBERCOM)、國家安全局(National Security Agency, NSA)、聯邦調查局(Federal Bureau of Investigation, FBI)和國家情報總監辦公室(Office of the Director of National Intelligence, ODNI)。此外,JCDC將與自願參與的夥伴合作、協商,包括州、地方、部落和地區政府、資訊共享與分析組織和中心(ISAOs/ISACs),以及關鍵資訊系統的擁有者和營運商,以及其他私人企業實體等(例如:Microsoft、Amazon、google等服務提供商)。   目的在藉由這項新的合作機制,協調跨聯邦部門、各州地方政府、民間或組織等合作夥伴,來識別、防禦、檢測和應對涉及國家利益或關鍵基礎設施的惡意網路攻擊,尤其是勒索軟體,同時建立事件應變框架,進而提升國家整體資安防護和應變能力。   是以,JCDC此一新單位有以下特點: 具獨特的公私部門規劃要求和能力。 落實有效協調機制。 建立一套共同風險優先項目,並提供共享資訊。 制定、協調網路防禦計畫。 進行聯合演練和評估,以妥適衡量網路防禦行動的有效性。   而JCDC主要功能,整理如下: 全面、全國性的計畫,以處理穩定操作和事件期間的風險。 對情資進行分析,使公私合作夥伴間能採取應對風險的協調行動。 整合網路防禦能力,以保護國家的關鍵基礎設施。 確保網路防禦行動計畫具有適當性,以抵禦對方針對美國發動的網路攻擊。 計畫和合作的機動性,以滿足公私部門的網路防禦需求。 制度化的演練和評估,以持續衡量網路防禦計畫和能力的有效性。 與特定風險管理部門(Sector Risk Management Agencies, SRMAs)密切合作(例如:國土安全部-通訊部門、關鍵製造部門、資訊技術等),將其獨特專業知識用於量身定制計畫,以應對風險。

TOP