雙重驗證
」 駭客
新型木馬「Rafel RAT」嚴重肆虐 三星、小米、ViVo、華為全遭殃
目前有消息指出,有一款名為「Rafel RAT」的新型木馬病毒,正在全球的Android裝置上迅速感染中。而根據資安單位的調查,這款木馬除了能竊取個資外,還能遠端操控裝置,甚至有攔截雙重驗證的可能。目前受害裝置中,以三星、小米、ViVo、華為等品牌手機為大宗。受害Android品牌排序。(圖/翻攝自Check Point Research)根據以色列資安機構「Check Point Research」發布的調查報告,這款名為Rafel RAT的木馬病毒有著以下功能:取得管理員權限將應用程式添加到白名單(忽略電池優化)看起來像合法的應用程式即使應用程式已關閉也能在背景運行(可能在某些設備上無法運行)支援無障礙功能支持Android v5 - v12不需要端口轉發獲取鎖醒權限完全無法檢測繞過Google Play Protect檢查抹除SD記憶卡鎖定設備螢幕更改手機桌布啟動勒索軟體遠端呼叫設備進行震動刪除通話記錄通過Discord通知受害者竊取通知(通過Discord發送)「Check Point Research」表示,他們偵測到約120起使用Rafel RAT進行攻擊的活動,其中包含了一些知名單位、軍事組織,受害目標大多來自美國、中國與印度,但其實整體受害區域相當的寬廣。受害用戶國籍。(圖/翻攝自Check Point Research)「Check Point Research」直言,Rafel RAT由於可以移轉手機內資料的關係,甚至開發出攔截雙重驗證訊息的技術,在案例的調查階段中,他們發現不少受害案例都有雙重驗證被繞過的紀錄,成功獲取到受害者其他社群帳號的資料與存取權限。而根據調查,受害的裝置以Android系統為主,其中以三星、小米、ViVo、華為等品牌受害嚴重。但報告中也明確表示,這些品牌之所以受害情況比較嚴重,主要是因為其智慧型手機較受歡迎、市場銷量較好所致。另外一個狀況是,許多遭感染的裝置其實都是早已停止支援更新的舊版Android系統。受害裝置分布。(圖/翻攝自Check Point Research)報告中也提到,Rafel RAT會偽裝成許多知名的社群軟體,如Instagram、WhatsApp,或是各大電商平台、防毒軟體的官方APP,他會透過偽裝成這些軟體,逐步取得使用者手機的權限,進而讓Rafel RAT徹底控制受害人的手機。如果有受害人發現,想要移除木馬的話,木馬軟體本身甚至還可以阻止受害人移除,或是駭客直接透過木馬遠端鎖定螢幕、變更密碼,讓使用者無法使用手機。報告中也明確表明,Rafel RAT的出現,就是安卓惡意軟體不斷演變的典型例子,其有著開源性質、廣泛的功能集以及在各種非法活動中的廣泛應用的特點。網絡犯罪分子如使用Rafel RAT這樣的技術和工具來破壞用戶隱私、竊取敏感數據和實施金融欺詐,想要防範的話,多層次的網絡安全觀念是必不可少的。
收簡訊「微軟帳號被登入」 轉頭社群帳號全被盜!用這網頁查詢駭客偷登記錄
近日,微軟帳號再傳被盜消息!一名網友在臉書分享慘痛經驗,表示3號晚上收到簡訊通知「微軟帳號被登入」,由於乍看像是詐騙,且開電腦登入後也無異狀異狀,因此他當時不以為意。不料睡了一覺醒來,驚覺重要社群帳號全被盜!事後,這名網友費了好一番工夫才一一找回帳號,為此他特別撰文,提醒網友檢查微軟登入狀況並注意防範,收到簡訊通知也不要忽視。網友在臉書公開發文分享經驗,表示自己3日晚間收到簡訊通知「微軟帳號遭登入」後,誤以為是詐騙簡訊,並未進一步檢查帳號的所有登入資訊。隔天一覺醒來,發現自己的FB、IG、Google、微軟帳號全數被盜,好在他大多帳號都有綁雙重驗證,駭客也沒有把設定移除,因此可以一一搶回控制權。接著,他透過微軟官方的「帳號登入記錄」詳查登入資訊,驚訝發現原來他的微軟帳號至少從4月初就開始被來源不定的IP以暴力破解嘗試登入,一直到3號才成功,也因此收到那封簡訊通知。他進一步透露,他大多數綁定兩階段認證的社群帳號會被盜用,可能是由於微軟帳號跟電腦作業系統有綁定同步,因此駭客在破解他的微軟帳號後,便以此冒用資訊在其他電腦上偽裝成已認證的電腦,因此成功繞過兩階段驗證的設定。不少網友見狀,紛紛進入「微軟帳號登入記錄」查詢,驚覺自己的帳號也曾遭到他人嘗試登入,趕緊開啟兩階段認證保護帳號安全。還有網友看見原PO分享的通知,認為真的不太能怪苦主,「那個簡訊看起來真的超像詐騙!」
孫翠鳳突發「緊急公告」!明華園粉專遭盜用 「管理員被踢出」網頁消失
台灣最大規模的知名歌仔戲團「明華園」創立於日治時期、西元1929年,至今已有95年歷史,劇團也曾多次赴海外表演;當家小生孫翠鳳為多人熟識的當家小生角色。然而她昨(24)日突發布緊急公告,表示明華園的官方粉專遭盜用,並呼籲粉絲切勿上當。明華園粉絲團遭不明人士盜用。(圖/翻攝臉書頁面)孫翠鳳昨日在臉書粉專發文表示,明華園戲劇總團官方粉絲專業在昨凌晨遭不明人士入侵,網頁也不翼而飛,目前正由小編協助處理。同時他們也呼籲粉絲,「如果有收到任何訊息請勿當真!皆非官方」,並附上一張孫翠鳳在《蓬萊仙島──漢鍾離》中的角色照蓬萊仙島勇士鍾離權,「希望他能化身蚩尤,替官方粉專討回該有的和平哈哈哈啊哈哈哈」。明華園同步在官網公告,表示粉絲若有任何問題可私訊IG。(圖/翻攝明華園官網)對此,許多粉絲也相當擔心,紛紛表示希望盡早找回帳號;而明華園的粉絲專頁目前顯示「無法查看此內容」,官網表示雙重驗證措施已做,但帳號仍被盜用,且全數管理員接被踢出,無人能開啟粉專,若有任何問題可私訊Instagram。
iPhone狂跳「登入要求」有被盜可能? 3C部落客傳授1招自救
近期有多名網友在臉書社團表示,自己的iPhone近期一直收到登入通知,而且登入地點都是在中國的長沙、福建、四川等地。社團管理員、3C部落客瘋先生表示,會有這樣的情形代表用戶的APPLE ID帳號密碼遭到盜用,但是被蘋果的「 Apple ID 雙重驗證」給擋下來,呼籲使用者如果有出現類似的情形,應該要盡快修改APPLE ID的密碼,避免帳號遭到有心人士盜用。3C部落客瘋先生發文表示,一般而言,民眾在其他裝置登入APPLE ID的時候,通常自己的iPhone都會跳出一個登入通知訊息。而最常見的情況就是出現「APPLE ID正在板橋區附近登入」的通知,瘋先生表示,即便你不在板橋,但是卻看到這樣的通知是正常情況,因為APPLE官方主要讀取的是「電信業者伺服器所在位置的資訊」,因此並非是絕對準確,就算是出現台北、台南、台中也都正常。最要就是,在跳出這些訊息之前,你自己本身就有進行登入。但如果使用者並沒有登入帳號,而且登入通知是顯示在海外,比如中國、香港、日本等地,這基本上就能判斷APPLE ID的密碼有高度外流的可能,很有可能就是駭客正在試圖登入,結果被蘋果官方的兩階段驗證給擋住。瘋先生表示,如果看到這樣的畫面,第一時間就先按下「不允許。瘋先生也表示,如果有遇到類似的情形,使用者不是按下不允許就行了,還要盡快地修改APPLE ID的密碼。而修改密碼的地方在iPhone中的「設定」=>「最頂端的APPLE ID帳號」=>「密碼與安全性」=>「更改密碼」,在這邊就可以即時性的幫你的APPLE ID進行密碼的修改。
推特新收費制度上路 「藍勾勾」3/20起獨享簡訊雙重驗證防駭客
由於近來有駭客濫用推特(Twitter)的簡訊雙因素驗證(2 Factor Authentication,2FA),Twitter上周六(18日)表示,將針對其普遍使用的文字訊息雙重因素認證作出大的改變。之後只開放付費訂閱Twitter Blue用戶使用2FA方式來保護他們的帳戶,而非付費訂閱用戶將不再具有此項驗證功能。Twitter官方發推文宣布,已註冊的非付費訂閱Twitter Blue用戶將有30天的時間更改為其他方法。在下個月(即3月20日之後)僅「藍勾勾」Twitter Blue訂閱戶才能享用取得經「簡訊雙因素驗證」的高強度性隨機安全密碼。而未付費訂閱但仍啟用簡訊雙因素驗證的帳戶將被禁用。也就是說,若本身沒有加入Twitter Blue訂閱用戶並升級為取得「藍勾勾」標章的話,未來僅能透過第三方安全密鑰驗證器;而Twitter Blue訂閱用戶,則將享有獲得帳號安全的簡訊驗證碼專屬功能。據外媒報導指出,Twitter之所以針對簡訊雙因素驗證系統採取收費新政策,主要是電話簡訊的雙重認證方式正在被不肖業者濫用,使用機器人發送認證簡訊,造成垃圾簡訊與詐騙行為;老闆兼執行長Elon Musk也表示,因為電訊公司使用機器人來發送認證簡訊,並且推特每年因為詐騙簡訊損失6000萬美元(約新台幣18.2億)。附帶補充的是,Musk於去年入主接管推特社群平台後,大力推行Twitter Blue訂閱付費服務。Twitter這項新政策目背後也在試圖吸引更多用戶付費訂閱,此服務每月Android用戶要價8美元(約新台幣243元),iOS用戶則要價11美元(約新台幣334元);而原先免費給已驗證帳號的藍色勾號,也對任何準備付費的用戶採取開放。Twitter認為,取消此項選項將有助於減少對其平台由垃圾郵件發送者和詐騙者造成的影響。然而,停用簡訊雙因素驗證的用戶將不會取消將手機號碼和帳戶的連結,用戶可以在帳戶設定中更新電話號碼。官方一方面希望減少垃圾郵件發送者和詐騙對平台的影響,不過有些人對付費取得額外安全性的想法感到不滿,而另一些人則覺得這是確保他們帳戶安全的必要步驟。
iCloud驚傳備份災情 用戶:更新16.3後出問題
蘋果iPhone的作業系統iOS日前釋出了最新的iOS 16.3版本,但不少用戶在更新之後,發生無法使用iCloud進行雲端備份與同布上傳的情形。目前外媒認為應該是缺少身分雙重驗證有關。根據《Apple Insider》報導指出,這起事件目前在蘋果官方的支援論壇以及美國社群網站Reddit上都有案例,部分用戶在更新到iOS 16.3之後,就出現無法與iCloud進行連線的問題,其中包含了iCloud雲端硬碟和iCloud備份。當用戶出現無法連線的問題後,手機畫面上會跳出提示視窗「發生意外錯誤,請稍後再試」。Reddit的網友試圖進行分類,發現出現問題的用戶共同點是沒有啟用雙重身分驗證,而由於iOS 16.3的更新內容是包含了啟用物理安全密鑰來保護帳號,因此網友們認為對Apple ID啟用雙重身分驗證是可以解決的辦法。但報導中也指出,有些用戶即便啟用了雙重身分驗證,還是遇到相同的問題。目前仍有待蘋果官方針對此問題進行排除。
北市警局科長公務帳號私揪正妹議員吃飯? 北市刑大:追查冒用者中
台北市議員林亮君昨(29)日在臉書發文,指稱北市警局保防科長林基田透過通訊軟體邀約她吃飯見面。但林基田本人自稱未使用該軟體,自己是受害者。對此,北市刑大回應,經查林基田並未使用該通訊軟體,研判是遭人盜用,案件已由市刑大科技犯罪偵查隊受理,將追查不法冒用者之身分。北市議員林亮君昨天在臉書PO出1張對話截圖,上面是台北市警局保防科長林基田私訊問她「在忙什麼」、「裝不認識嗎」,接著約她出去吃飯。林亮君發文批「警察局科長約我吃飯喔?反詐騙反到被盜帳號這樣不行喔。」接著,民進黨立法委員高嘉瑜也PO出類似奇怪對話,質疑「這隻手機號碼應該是台北市警察局保防科長的公務手機,警察局回覆是被盜帳號,若連警察自己都被盜帳號,甚至成為詐騙幫兇,那民眾要如何自保?」北市刑大指出,初步研判,應有人冒用林基田公務門號申請該通訊軟體帳號,再以其他方式取得登入驗證碼後,進一步取得該帳號控制權,並冒用林基田的名義私訊他人。也表示該行為已觸犯《妨害電腦使用罪》,案件由刑大科技犯罪偵查隊受理,已協助檢舉該冒用帳號,並持續追查不法冒用者之身分。對此,林基田也喊冤,不但沒有使用這個軟體,且未下載該軟體,無辜被盜用,自己也是受害者,目前已做相關處理,也呼籲民眾要小心詐騙。警方呼籲,不法集團會以各種方法誘騙、盜取民眾個資,民眾使用網路社群或通訊軟體時,切勿點選來路不明簡訊、連結或於網頁輸入個資,也不要提供個資或傳送手機擷圖給未經查證的對象,同時應該在網路社群或通訊軟體設定雙重驗證或掃碼登入提升安全性,並設定每次登入通知,檢視有無來路不明的設備重複登入帳號。
元大落難記3/道高一尺魔高一丈駭客天天攻擊 股民下單三招防身術免淪肉票
國內共7家證券商、期貨商通報「密碼撞庫攻擊」資安事件後,金管會等主管機關隨即高分貝提醒民眾,「勿用身分證、生日作為登錄帳密」,並要求業者清查「交易下單憑證」的防護力。CTWANT調查,各證券期貨商現也正趕工升級再加一層簡訊動態密碼「OTP」(One-time password),提高交易安全防護力。這次「1125密碼撞庫攻擊」事件爆發,令資安界十分傻眼。知情人士向CTWANT記者透露,「這次駭客攻擊成功,主要是有些證券、期貨商在採用兩道關卡的『登錄帳號、密碼+下單憑證』雙重驗證中,讓客戶登錄及申請憑證都可以使用『出生年月日』,才會在駭客蒐集到民眾的個資、帳號密碼後遭到破解。」「雙重驗證,這是最基本防駭之道,為何可以用『出生年月日』當密碼這種事,竟出現在受到高度監管的證券、期貨商。」這位資安專家不解的說。「其實金管會、證交所一直宣導業者須提高資安防護力,很多同業都是禁止客戶使用最容易遭外洩的個資,像是身分證、生日當帳號、密碼。」相關主管機關高層也分析說,「由於一直有客戶向券商、期貨商反映不擅長網路交易,希望帳號、密碼可以簡單些,才會開這道寬門可用身分證、生日完成下單憑證。結果出事了,業者也只能自己吞下損失的金額。」對此,元大證券強調他們在提供投資人第一道的「登錄」服務時,是禁用「生日」當作密碼。民眾網路交易愈加頻繁,愈加要留意陌生網址的優惠吸引,這是屬於一種釣魚取得個資的手法之一。(圖/翻攝趨勢科技防詐達人臉書)CTWANT調查,今年1月金管會、證交所、期交所等主管機關,就有要求證券、期貨商落實下單登錄時,應採雙因子(例如:下單憑證、綁定裝置、OTP、生物辨識等)認證防護機制。目前,券商網路、App等下單平台系統,基本上採取二道交易安全防護關卡,第一關是用戶人登錄的帳號、密碼,第二關交易下單憑證。11月底的密碼撞庫事件後,在金管會、證交所等強烈建議下,證券、期貨商已經在增設第三關的「OTP」,藉此加強交易安全防駭力。目前國內配合主管機關提供的「下單憑證」機制的安控廠商,主要為全景軟體、臺灣網路憑證這二家公司;看盤App設計廠商則以三竹資訊為最大宗。這三家廠商正將完成的「OTP」程式設計送至Apple、Google上架App更新系統審核中,這也是元大行動精靈App尚未恢復複委託電子下單的原因之一。趨勢科技資深技術顧問簡勝財跟CTWANT記者說,「網路交易的方便性與安全性,是天秤的兩端,如何取得平衡,考驗企業、消費者的智慧與人性」,「最簡單做好交易防護,其實就是最麻煩的作法「每一個網路、App平台登錄的帳號、密碼,都要不一樣。」趨勢科技資深技術顧問簡勝財提醒民眾,使用容易外洩的個資像是身分證、生日當帳號、密碼,雖是最便捷,但也最容易被駭客取得。(圖/趨勢科技提供)簡勝財指出,除了身分證、生日是很多人常用的帳密之外,現在也常見用Fb、Google、IG等社群平台帳號,輕易登錄許多網站,一旦密碼相同,遭到駭客取得外洩的個資,或者是透過網路釣魚手法,在民眾的電腦、手機植入木馬程式,側錄到民眾的帳號、密碼,就很容易讓駭客用相同的帳號、密碼去測試其他網站,一旦成功冒名做金融交易,即成為「密碼撞庫攻擊」資安事件。「大家也要留意,『OTP』也有可能是遭駭客偽造,有被騙取個資的機會,建議網路交易頻繁的民眾,可將常登錄及下單交易的品牌企業官網加到『我的最愛』,避免不小心或是未注意而登錄到陌生的連結與網站。」簡勝財提醒,「下載的App等系統,須隨著業者通知更新時做更新,因為每次更新,都有可能是業者在加強網路安全等級,另可透過防毒軟體等為電腦掃毒。」臺灣網路認證公司策略發展部則指出,駭客攻擊手法日益變種進化升級,可說是「道高一尺,魔高一丈」,天天與企業上演攻防戰,建議民眾可多參考資訊界常使用的三種「多因子憑證」,作為自己的帳號、密碼。第一類是用戶所知(What you know)因子,譬如說只有用戶自己個人會知道私密記憶,像是由個人設計的密碼等,身分證字號、生日的個資因為常在許多App使用,相對來說反而安全性低。第二類是用戶所擁有(What you have)因子,像是透過民眾的手機裝置、行動電話SIN卡發出的簡訊認證。第三類是用戶天生具有(Who you are)因子,即是每個人擁有的獨特生物辨識系統,像是透過掃描臉部、指紋識別等。
缺乏雙重驗證 立委揭疫苗預約平台資料被看光光
民眾黨立委邱臣遠今(20)日指出,行政院政務委員唐鳳設計規劃推出的「COVID-19 公費疫苗預約」網站,從7月6日上線以來出包多次,不但塞車當機事件頻繁,如今甚至有個資洩漏的疑慮,其中「查詢欄」只要握有他人的身分證資料和手機號碼,都可以直接登入,無須雙重驗證,呼籲相關單位立即檢討。邱臣遠接獲民眾陳情指出,公司老闆時常明示、暗示,要求底下員工支持高端疫苗,還會逐一詢問個人登記意願,讓人不禁擔心「政治狂熱的老闆,會不會藉由人資資料,查詢我們施打疫苗的紀錄及意願?」;同時,陳情民眾提出「COVID-19 公費疫苗預約」網站違法問題。立委指出公費疫苗預約網站有洩漏個資疑慮。(圖/馬景平攝)邱臣遠表示,目前預約平台上線已經超過兩個月,相當於「資料已經足足外流兩個月」,不僅一般公司人資可以輕易取得員工施打疫苗資料,再加上台灣網路詐騙猖獗,「不法分子恐怕藉由資料發出假通知詐騙人民點擊假網站」。邱臣遠實測後發現,1922平台恐有三大問題:一、「COVID-19 公費疫苗預約」裡「意願登記」欄中的「查詢欄」,只要握有他人的身分證資料和手機號碼,都可以直接登入,無須雙重驗證;二、尚未施打疫苗的人,頁面會呈現預約的疫苗種類及施打地區;三、已經打過第一劑的人,頁面會出現施打第一劑的種類、施打地區,以及第二劑的預約的疫苗和下一次可以施打的時間。立委指出公費疫苗預約網站有洩漏個資疑慮。(圖/馬景平攝)「蔡總統受個資法保護,人民就不用了嗎?」邱臣遠質疑,對比蔡總統的論文門事件以及過去任教於政大等人事檔案竟然被歸類為「絕對機密」,屬於最高等級的機密保護;民眾的疫苗選擇或施打疫苗紀錄,都不應該是他人可以任易取得的個資,蔡政府必須給民眾一個交代。
防堵駭客! FB雙重認證可從手機設定實體金鑰
Facebook 今宣布(3/19)自即日起,啟用雙重驗證的用戶可透過手機或平板等行動裝置,直接設定安全性金鑰登入自己FB帳號。「雙重驗證」是一項有助於確保用戶帳號安全的機制,每當用戶從任何未知裝置登入Facebook帳號時,必須同時提供密碼與登入碼。而在啟用「雙重驗證」後,便可進一步透過實體的安全性金鑰來保障帳號安全,每當有心人士試圖從未經認可的瀏覽器或行動裝置登入用戶的FB帳號時,用戶本人即會收到通知,並要求登入者使用金鑰確認為用戶本人。Facebook並建議所有用戶都應新增安全性金鑰,尤其是經常被視爲目標的政府官員及公眾人物等都需啟用安全性金鑰,免於受到網路釣魚攻擊或惡意竊取,為帳號提供多一層保障。此類金鑰多採用藍牙無線技術或需直接插入行動裝置,用戶可以前往「設定」中的「帳號安全與登入」來新增。自2017年起,Facebook用戶可以透過桌上型電腦使用實體安全性金鑰登入帳號,防止駭客竊取資訊。事實上,這種安全認證機制在蘋果和Google都有採用。比方說,大家在換新手機時,只要登入Apple ID或Google帳號,系統就會自動發出信件,表示有新裝置正在登入,提醒用戶注意是否為本人,但並沒有做到實體金鑰的認證程序。(圖/FB提供)
30萬使用者帳號遭入侵 任天堂籲:設雙重驗證保安全
近來資安是大家非常重視的問題,不過日本電玩龍頭任天堂(Nintendo)在4月時卻出現資安漏洞,當時傳出有16萬個任天堂帳戶遭到駭客入侵,不過隨著持續調查,9日時發現共有30萬個帳戶遭到入侵。根據外媒報導,任天堂4月時會發現漏洞是因為有些用戶表示,自己任天堂帳戶莫名被扣款,甚至拿去買虛擬貨幣,當時任天堂立刻採取措施,直接禁用Nintendo Network ID登入,而遭到入侵之帳戶的密碼則直接重置。駭客侵入任天堂帳戶之後,除了用戶的基本資料外,若是有儲存付款相關資訊,就很有可能被直接在任天堂平台上直接購買商品,不過幸運的是,任天堂指出,用戶之信用卡資訊並沒有外洩。任天堂在9日時於官網發布聲明表示,經過持續調查後發現共有30萬帳戶遭到入侵,對用戶感到非常抱歉,目前也已經採取更多安全措施,也呼籲使用者可以設定雙重驗證確保帳戶安全,也能不時確認歷史購買紀錄,若發現陌生交易紀錄,可以提出退款要求,其中有小部份帳戶被用於詐欺購買,目前官方已經退款給受害者。
中國15款侵犯隱私「霸王APP」 瑞幸咖啡上榜
據《騰訊網》報導,中國工信部披露15家侵害用戶權益行為的「霸王APP」,包括luckin coffee(瑞幸咖啡)、一點資訊、天涯社區、拉勾招聘等APP被點名。這些APP涉嫌非法獲取用戶隱私,下載安裝後便要求獲取電話薄、圖片庫和個人位置資訊等,不同意的話部分功能就甚至無法使用。《新京報》報導,瑞幸咖啡解釋是為了防止民眾騙取首杯免費,因此APP除了需要登錄手機號碼,還要用戶提供手機MAC位址作為雙重驗證,針對在獲取手機地址前未先詢問客戶授權的缺失,已經進行改善。瑞幸咖啡成立於2017年,短短兩年不到,2019年5月在那斯達克上市。奇怪的是,瑞幸此前三季報虧5億,股價卻暴漲25%,股價從剛上市時的25美元,如今一度突破40美元。
區塊鏈防堵山老鼠!台灣林產品生產追溯系統上線 重啟漂流貴重木標售案
林務局今(5)天宣布推出採用區塊鏈技術「臺灣林產品生產追溯系統」上線,藉此保障合法業者及遏止山老鼠盜伐山林。林務局局長林華慶鼓勵林業中下游業者儘速來申請驗證,全程免費之外,並將開放取得驗證業者可以參加漂流木等公開標售案,以及正擬修法未來攜原木製品出國者,商品也是需有林務局驗證的「台灣木材標章」,讓業者與消費者共同為合法木材品把關。該系統由林務局、財團法人台灣建築中心雙重驗證,透過奧丁丁集團共同協助開發,利用區塊鏈「可溯源」、「不可竄改」及「去中心化」的特性,記錄林產品生產歷程,保障合法業者及消費者權益。此舉更是領先各國,成為全球第一套以區塊鏈記錄國產木竹材生產歷程的溯源系統。臺灣林業曾以高價值的扁柏及臺灣紅檜舉世聞名,禁伐天然林之後,貴重木的價格更水漲船高,不肖商人鋌而走險,盜伐案件層出不窮。以往因為欠缺具有公信力的木材生產溯源證明,導致市面上合法與非法來源的貴重木難以區別辨認,非法木材因此得以在市場上魚目混珠,對於守法的業者也不公平。因此,林務局歷經2年研擬,訂定完整的國產材驗證標章制度;其中的「林產品生產追溯條碼QR code」,國產材廠商可透過自主管理輔導,申請QR code證明產品使用合法來源的國產材,消費者則可透過條碼,確認產品來源。林務局強調,取得QR code的木竹材原料或木竹產品,就可以使用代表合法來源生產的「臺灣木竹材」標章,消費者很容易就可以認明。林務局今天邀請各界響應「臺灣林產品生產追溯系統」上線。(圖/李蕙璇攝)珍貴木材因單價高,且貴重樹木多位處森林深處,容易為不肖人士覬覦,加以木材一旦進入市場,幾無從辨識其合法性。為了避免不肖業者藉由合法標售文件取得源自盜伐木材的護身符,林務局因此在多年前即停止貴重漂流木與贓木的標售。然而由於市場對貴重木製品仍有需求,導致盜伐情事仍不斷發生;另一方面,臺灣一直引以為傲的木雕技藝,也面臨本土料源短缺的窘境。因此林務局決定從市場銷售端下手,花費2年研擬,終於推出林產品追溯系統,林務局也呼籲消費者認明標章選購合法木製品,才能從源頭遏止盜伐。林務局也邀請苗栗三義木雕協會加入國產材驗證制度的行列,理事長蔡仁福透過現場表演,實況雕刻紅檜國產材,不但展現了臺灣令人驕傲的工藝技術,也宣誓了使用合法來源國產材的決心,並藉此希望能引導消費者不再購買來路不明的木材製品,真正根絕令人深惡痛絕的盜伐行為。國產材驗證標章 洽詢申請與輔導機構林產品生產追溯制度上路後,林務局將重啟貴重木標售,但只限定獲驗證的業者始得投標,因此林務局呼籲業者盡快申請,有任何申請國產材驗證制度問題,可洽輔導機構:中華木質構造建築協會(電話:02-33664654江小姐)。申請QR code,可洽詢財團法人台灣建築中心(電話:02-86676111#188張小姐)。