13. 請問為了有效防範 AI 深度偽造技 術的語音與影像攻擊，降低組織同仁受騙將公司的款項匯出造 成組織的營運損失，下列何項推動組合較為有效？
(A) (2)(5)
(B) (1)(3)
(C) (6)(7)
(D) (4)(5)

這題的正確答案是 (C) (6)(7)。

以下為您解析為何這個組合針對「Deepfake 詐騙導致財損」的情境最為有效：

核心解題邏輯

題目有兩個關鍵目標：

1. 防範語音與影像攻擊（技術/管道層面）。

2. 降低款項匯出造成的損失（流程/財務層面）。

我們需要找出能同時涵蓋這兩個層面，且針對「外部攻擊者偽冒」最有效的措施。

正確選項分析：(C) (6)(7)

• 措施 (6) 加強職務區隔 (Segregation of Duties, SoD)；超過一定金額需主管複核

  • 效果： 這是防禦詐騙匯款（BEC, Business Email Compromise）的最後一道防線。

  • 理由： 即使 Deepfake 技術再完美，成功騙過了負責匯款的員工，只要落實 SoD，還需要第二位（主管）進行審核。攻擊者要同時騙過兩個人，或剛好兩人都被 Deepfake 欺騙的難度極高。這直接阻斷了「款項匯出」這個動作。

• 措施 (7) 採用專有視訊會議系統導入 MFA，封鎖非認可系統

  • 效果： 這是針對 Deepfake 傳遞管道的源頭管理。

  • 理由： 駭客要進行即時視訊換臉攻擊，通常需要滲透進會議中。強制使用公司內部系統並加上多因子認證 (MFA)，能確保「進入會議室的人」確實是經過身分驗證的本人，防止外部駭客偽裝成高層接入會議。同時封鎖非認可軟體，可防止駭客用「公司系統壞了，我們改用 Line/Skype」等藉口將員工引導至無防護的平台進行詐騙。

為何排除其他選項？

主要是因為這些選項中包含了無效或關聯性低的措施：

• 排除 (A) (2)(5) 與 (D) (4)(5)

  • 關鍵弱點：措施 (5) 電子郵件系統資料儲存加密。

  • 理由： 「加密」是為了保護資料不被偷看（機密性），但 Deepfake 詐騙是「騙你主動把錢轉出去」（完整性/社交工程）。把信件加密並無法辨識信件內容或附檔影片是否為 Deepfake，也無法阻止員工被騙後去轉帳。此措施與防範詐騙完全無關。

• 排除 (B) (1)(3)

  • 關鍵弱點：措施 (1) 阻擋存取深度偽造工具或網站。

  • 理由： 這項措施是防止「內部員工」去製作 Deepfake，或者是防止員工逛不良網站中毒。但題目情境是「外部攻擊者」打進來騙員工。公司內部的防火牆擋不住外部駭客在他自己的電腦上使用 Deepfake 工具。此措施對「被詐騙」的防禦力極低。

總結

唯有 (C) 組合，同時在技術管道上（透過 MFA 與專用系統確認身分）與作業流程上（透過 SoD 雙重驗證阻擋匯款）設下關卡，才是最具體有效的防禦策略。