壹、廉政法令與訊息

行政院修正「國家廉政建設行動方案」，並自105年8月24日生效

　　為與國際反貪腐趨勢接軌，兼顧公私部門廉潔及倫理規範，經行政院97年10月3日中央廉政委員會第一次委員會議決議，參考《聯合國反貪腐公約》(The United Nations Convention Against Corruption，簡稱UNCAC)及國際透明組織(Transparency International，簡稱TI)相關倡議，擬具「國家廉政建設行動方案」，經行政院98年7月8日院臺法字第0980087657號函頒，自98年7月8日生效；嗣檢討本方案內容，於103年4月15日進行部分修正。本方案闡述國家廉政建設的目標和策略，並整合「端正政風行動方案」、「掃除黑金行動方案」、「掃除黑金行動方案後續推動方案」及「反貪行動方案」，以建構國家廉政發展策略目標，創造乾淨政府、誠信社會之願景。

　　廉政是普世價值，2005年12月14日生效之聯合國反貪腐公約已確立日後全球反貪腐的法律架構，貪腐問題已無國界之分，也不再侷限政府部門，推動廉能亟需私部門及民間社會力量的共同參與，訂定本方案之目的，除整合執行多年之前述四方案外，同時亦重新定義「廉政」內涵，為國家廉政建設的永續發展建立方向與基礎。

　　為促使《聯合國反貪腐公約》所揭示反貪腐精神和政策實現，依據「聯合國反貪腐公約施行法」要求，105年8月24日行政院函頒修正「國家廉政建設行動方案」，修正重點說明如次：

一、屬聯合國反貪腐公約「強制性要求」，而國家廉政行動方案內容尚未符合公約要求者，建議修正使其符合公約精神。

二、屬聯合國反貪腐公約強制性或選擇性要求，雖未納入國家廉政建設行動方案，惟我國現行已有相關制度或政策施行者，建議維持現狀不新增納入方案。

三、屬現行國家廉政行動方案管考項目，惟非聯合國反貪腐公約所要求者，建議刪除列管。

四、經依前述標準修正後提出下列9項具體策略供各機關參處，俾利據以研訂具體執行措施及績效衡量指標項目，符合「聯合國反貪腐公約施行法」要求：

(一)強化機關廉政經營責任制度，落實風險控管作為。

(二)促進公開透明，防止利益衝突。

(三)持續指標研究，掌握民意脈動與國際趨勢。

(四)落實公務員行為規範，建立政府典範。

(五)鼓勵社會參與，促進透明與貪腐零容忍的共識。

(六)推動校園誠信，深化學子品格教育。

(七)強化企業誠信，凝聚私部門反貪腐共識。

(八)增修肅貪法令，強化肅貪能量，落實揭弊者保護。

(九)推動國際合作與資產追繳，建構國家間互惠機制。

貳、廉政活動

一、法務部調查局舉辦「105年全民保防有獎徵答活動」，獎品豐富，歡迎踴躍參加

(一)活動期間：105年9月1日至10月16日

(二)活動辦法：

1. 參加對象：具中華民國國籍之國民。
2. 題目採行是非題，以網路點選作答方式進行。

3. 有獎徵網址為「https://mjib2016secrecy.com.tw/index.asp」，或請進入法務部調查局全球資訊網站「http：//www.mjib.gov.tw」、法務部調查局官網臉書點選「105年全民保防有獎徵答」項目，依照指引作答，全數答完後，在網站上留下個人基本資料（含姓名、身分證統號、地址及聯絡電話），全數答對者方可參加抽獎，基本資料填寫不全而無法聯絡者，以放棄得獎論。參加本活動者所留下的個人基本資料，將作為105年全民保防有獎徵答抽獎活動使用，並於抽獎活動結束後，立即銷毀；若選擇不留下資料，則無法參加本次活動。

(三)歡迎加入法務部調查局官網臉書（未加入者並不影響本活動抽獎權益）。

二、新竹縣政府政風處「守護者聯盟」微電影觀後有獎徵答

(一)「守護者聯盟」微電影：YouTube微電影頻道:

　　　https://www.youtube.com/watch?v=mmBzyosNqBA

(二)參加對象：18歲以上民眾。

(三)活動方式：請參加者自行觀看微電影後，下載本公告網頁附件題目表並列印填答，全數答對者，即可參加兌換精美獎品活動(每人僅限兌換精美獎品1份)，數量有限送完為止。活動期間：活動自105年9月1日開始，參加者須將已填答完成之題目，於上班時間(08：00-12：00及13：00-17：00)親至該府政風處參加兌換精美獎品活動，全數答對者才可兌換精美獎品，每人僅限兌換精美獎品1份，數量有限送完為止。

(四)注意事項：有獎徵答每人限參加一次。獎品不得退換，禁止以獎品進行何商業買賣行為從中獲利，參加活動者不得折換現金與選擇獎品。凡參加者即視同承認本活動各項規定，如有未盡事宜，該府保留隨時修正的權利。

(五)備註：相關活動訊息公告於活動網頁中，如有疑問請洽新竹縣政府政風處林先生，電話：03-5518101分機3613。

參、「公務員申領或侵占小額款項」專案法紀宣導－詐領鐘點費

一、屏東縣麟洛鄉麟洛國民小學校長及講師共謀詐領鐘點費案(臺灣屏東地方法院101年度訴字第430號刑事判決參照)

(一)偵審情形：第一審判決有罪。

(二)弊端類型：冒名詐取鐘點費。

(三)弊端手法：利用人頭講師於領據上簽名，共同詐領鐘點費。

(四)違反法條：刑法第339條第1項。

(五)案情概述：

　　甲為屏東縣麟洛鄉麟洛國民小學校長，係依法令服務於地方自治團體所屬機關而具有法定職務權限之公務員。

　　緣該校開辦附設補校成人英語學習班，並由甲自行聘僱外籍講師於該班授課，嗣經屏東縣政府核定該班別之補助費用後，因甲未能以自行聘僱之外籍講師名義核銷請款，為取回其前已墊付與該外籍講師之鐘點費，遂商請參加英語學習之學員乙用其名義辦理核銷請款，次年甲另商請該校外聘英文講師丙以其名義辦理核銷請款，乙、丙明知其未擔任講師，竟同意配合甲辦理核銷請款，共同意圖為自己不法之所有，基於詐欺取財之犯意聯絡，由乙、丙分別在講師鐘點費領據上簽名後，甲即分別以乙、丙之名義向該校承辦人員辦理核銷請款，使該校承辦人因而陷於錯誤，待該承辦人向屏東縣政府領得該班之補助費後，即簽發支票支付乙、丙講師鐘點費共計4萬8,000元，嗣由甲領得上開講師鐘點費。

　　案經屏東縣政府移送臺灣屏東地方法院檢察署檢察官偵查起訴。

　　臺灣屏東地方法院於102年8月28日判決甲犯刑法第339條第1項詐欺取財罪，處有期徒刑8月，惟衡酌甲素行尚佳，且已受行政懲處等因素，爰減為有期徒刑4月，得易科罰金，以1,000元折算1日。

二、臺中市東勢區衛生所護士詐領鐘點費案(臺灣臺中地方法院102年訴字第1672號刑事判決參照)

(一)偵審情形：第一審判決有罪，免刑。

(二)弊端類型：利用職務上機會詐領講師鐘點費。

(三)弊端手法：偽造鐘點費領據及醫師簽名，從而詐得講師鐘點費。

(四)違反法條：貪污治罪條例第5條第1項第2款、刑法第210條、第213

條、第216條及第217條。

(五)案情概述：

　　甲為臺中市東勢區衛生所護士，為依法令服務於地方自治團體所屬機關而具有法定職務權限之公務員。

　　甲利用負責「中老年健康促進及慢性病防治宣導講座」業務之職務上機會，明知未聘請講師辦理該活動不得請領講師費，卻於其職務上所掌之公文書即衛生所辦理中老年病及慢性病防治業務「經費收支明細表」內，虛偽登載不實之「日期、摘要、金額」等內容，復虛偽製作講師鐘點費領據之私文書，並偽造醫師簽名，使不知情之審核人員陷於錯誤，從而詐得講師費8,000元。

      案經甲向法務部廉政署自首，並移送臺灣臺中地方法院檢察署檢察官偵查起訴。

　　臺灣臺中地方法院於102年12月26日判決甲違反刑法第210條、第213條、第216條及第217條行使公務員登載不實文書及行使偽造私文書等罪，惟考量被告於犯罪發覺前自首犯罪，並已繳回犯罪所得，再衡以本件不法所得僅數千元，故諭知免刑。

肆、廉政故事

一、因「道路」不平而被皇帝治罪的官員－義縱

◎摘自網路文章

　漢武帝時文治武功強盛；武帝不僅愛馬，更喜歡御駕巡幸全國各地，以顯聲威。有一次漢武帝駕幸「鼎湖」，在那裡因為生病住了一段時間，病癒後又到義縱治理的「甘泉」視察。結果甘泉官道一路上巔簸難行，顯然是久未整治，這會兒皇帝來了，竟也未加以整修，可惱火了皇帝。武帝斥道：「是不是義縱覺得我必定會病死於鼎湖，所以就無從臨幸甘泉了嗎…？」不久之後，武帝便以其違反科稅法令的藉口，將他治以死罪。

　我想，義縱可能是史上第一個因「道路」不平而被殺的官員。這當然是他咎由自取，可是他也未免太大意了，連「官道」都整治不好，那更遑論是一般道路了。反觀今時，「路不平」問題，仍多所存在，上述故事正好可以提供相關單位省思；有些事適足以「以小窺大」，重要的是切勿因其「善小」而不為啊！

二、慎謀應變、防制危害破壞陰謀的蘇頌

◎摘自網路文章

　宋英宗時，蘇頌任度支判官。有一次他奉命陪同契丹使者回國〈當時兩國不和〉，正下榻恩州時，晚上驛站突發莫名火，手下請他即出避火，蘇頌沒有同意；州兵要進來滅火，蘇頌也加以制止，他只是命令驛站守兵全力將火撲滅，並派人保契丹使者的安全。剛起火時，恩州官民都以為是契丹使者故意生變，州兵也正想因此惹發事端，所幸蘇頌慎謀應變，除有效指揮滅火外，並且成功地防止背後陰謀和事態的擴大。當然，也機先防制了可能的外交衝突，使國家免於戰爭災禍。

伍、其他事項

一、從人性的弱點談社交工程的資安議題

◎魯晏汝

　　某天下午，忙裡偷閒的小如正一邊聽著音樂，一邊和朋友聊MSN。突然，她收到好友小明傳來的MSN訊息，點開一看內容是「你現在有空嗎？」小如馬上回覆說：「沒事呀，怎麼了？」小明回應：「你可以幫我買1,000元的麥卡（my card）嗎？只要到便利商店跟店員說你要買點數卡，然後把卡片上的儲值序號告訴我就可以了，錢，我之後會給你的。」不疑有他的小如心想「只是買點數卡嘛，小事一件」，於是很乾脆地答應小明了。小明見到小如答應後便緊接著說：「可以麻煩妳現在去買嗎？我急著要用，我在線上等妳回來。」小如知道小明急著要用後，便立刻去附近的便利商店買了1,000元的my card，然後趕快回來將儲值卡的序號告訴在MSN上等待的小明；沒想到小明得到小如回覆的序號後，就馬上下線找不到人了。

　　小如這時心想「奇怪！怎麼跟平時的小明不太一樣，最少應該說聲謝謝或說些客套話，沒想到就這樣離線了。」過了幾天，在朋友聚餐時見到小明，也不見小明有任何要還錢的跡象，好像這件事從來沒發生過一樣。內向的小如也不好意思主動開口向小明要回這1,000元，但卻很在意這1,000是否能拿回來，於是就一直把這件事擱在心上。一個月後，小如和姐妹淘小華在下午茶的聚會上，小如就把這件事說給小華聽，請小華幫她評評理，順便問問小華有沒有什麼好方法幫她把這1,000元要回來。 　 不料小華一聽完小如的敘述後，直接對她說：「小如，妳被騙了！」小如很納悶地問：「被騙了！為什麼？不就是小明在MSN上跟我說要我去幫他買點數卡嗎，為什麼是被騙呢？」小華見狀便語重心長地說：「可是，妳確定請妳幫忙買點數卡的人，真的是小明本人嗎？」

　　以上這段故事，相信對很多人來說都不陌生，許多的人都有收過類似的訊息，這些稱為是「社交工程」（Social Engineering）。社交工程可說是利用人性的弱點，透過話術的影響力或說服力來騙取他人的個人隱私、組織機密，或是誘使從事某些交易、動作，以獲得有用資訊或不法所得的一種技巧。由於人性的因素可說是資安防護措施中最弱的一環，社交工程即是利用人性容易受騙上當的弱點，破解人性的防火牆，可說是近幾年來駭客最常用的攻擊手法。社交工程的攻擊手法有很多種，常聽到的像是上例中的MSN點數卡詐騙，此外還有像是電話詐騙、網路釣魚、圖片中的惡意程式、偽裝的修補程式等等；我們可就這幾種攻擊手法分別舉例說明。

(一)電話詐騙：電話詐騙顧名思義就是透過電話進行的詐騙行為。例如常聽見的有「你的小孩被綁架了，現在正在我的手上，如果要救他的話就準備1,000萬元的贖金過來…」，或者是「我是某某檢察官，我們查到你的帳戶資料被盜用，請立刻依照我們的指示操作ATM…」、「我們是某某購物，你之前在我們這裡購買的商品因為選擇超商取貨，在付款時超商店員不小心誤選了分期付款，造成有循環利息；如果要停止的話請依照我們的指示操作…」。以上這些都是利用人性害怕的弱點，擔心不照做的話，親人可能會受害，或造成財務上的損失。

(二)惡意電子郵件程式：利用社交工程的概念，將病毒、蠕蟲或惡意程式隱藏在電子郵件中。例如偽裝成朋友寄來的信件，標題為「我要結婚了」，附件放著「婚紗照.zip」要分享給收件者，但是點開壓縮檔後可能是副檔名為「.exe、.com、.bat、.scr、.pif、.lnk」的檔案。這些副檔名都是惡意程式常用的執行檔類型，一旦點開這些執行檔後，惡意程式會自動在電腦裡進行安裝，竊取電腦裡的資料或是網路銀行的帳戶帳號、密碼等資訊。

(三)網路釣魚：網路釣魚泛指利用社交工程或技術性的手法，引誘使用者點擊（click）假網頁。例如偽造為拍賣網站或是電子郵件信箱，誘騙使用者輸入帳號密碼，進而竊取其帳戶資料；由於其和原網頁相似度極高，很容易誤使他人受騙點擊。常見的散布手法還有廣告信件（利用聳動的標題或是知名大廠的名義發送郵件，通知收件人必須登入連結重新驗證身分，進而竊取使用者輸入的個人資料）、網址置換（偽造網站的網址，乍看之下網址與原本官網相同，但實際上可能將英文的Ｏ置換為數字的０，英文的Ｉ換成數字的１）、縮網址（利用部分網站提供縮網址的服務，將假網頁的縮址貼在各大BBS或論壇中，誘騙使用者點擊）等等。

(四)圖片中的惡意程式：透過明星或色情照片散布惡意程式，也是常見的社交工程攻擊手法之一，利用使用者的好奇心，點選圖片後就會感染病毒，造成重大損失。

(五)偽裝修補程式：另一種常見的社交工程攻擊手法就是偽裝成知名軟體的修補程式（例如微軟更新修補程式），因為一般使用者並不會認為這是來路不明的程式，往往直接下載並安裝這類程式。安裝後這些惡意程式非但不能修補系統漏洞，反而有可能在使用者的電腦裡安裝遠端控制的木馬程式，竊取使用者電腦裡的資料或是側錄其鍵盤輸入的帳號密碼等資訊。 　　　

　　在了解常見的攻擊手法後，更重要的是要知道該如何防範。在企業中，只要員工對於社交工程的安全防範措施沒有足夠的認知或是警覺度不高，無論資安措施做得如何完善，惡意人士都可以輕易地竊取個人帳號資料、財務資料，或是公司的重大資訊。所以企業應不定時宣導及安排員工教育訓練，提高員工的警覺心及危機意識，只要出現類似的社交工程攻擊手法，都應保持警覺並小心求證。此外，員工也應遵守公司的安全政策與程序，不開啟來路不明的電子郵件或網頁 ；如有必要，在提供任何資訊前，也應確認要求者的身分並經過相關的授權程序。最後是建立通報作業程序，當發生疑似社交工程攻擊時，應立即與相關單位聯繫並完整通報。

　　社交工程主要是利用人性的弱點做攻擊，所以很難做到完全的防範。使用者只能時時提高警覺，不點選來路不明的網址及檔案，遇到任何要求時，也要盡可能地確認是否為真。只要時時具備高度的警覺心並保持危機意識，那麼社交工程攻擊一點也不可怕。

二、颱風來襲，金管會促保險業加強保戶服務

　　為因應颱風及降雨可能造成損失，金融監督管理委員會（下稱金管會）已責成中華民國人壽保險商業同業公會、中華民國產物保險商業同業公會轉知各會員公司主動瞭解，如有災情，並應積極協助民眾辦理理賠相關事宜。 　　

　　金管會亦提醒民眾做好防颱準備，注意自身安全，並應審視投保狀況，就人身保險而言，民眾如有因颱風所致之死亡或傷害，可向保險公司申請理賠；就財產保險而言，民眾投保之保單如有包含因颱風或洪水所致之損失者（如火災保險附加「颱風及洪水保險」、「地層下陷、滑動或山崩保險」、汽車車體損失保險附加「颱風、地震、海嘯、冰雹、洪水或因雨積水附加條款」、營造綜合保險、安裝工程綜合保險等），可依契約約定向保險公司請求賠付。
　 民眾如對於理賠事項仍有疑義，於各公司及前開二公會網站均已公告免付費服務專線，民眾可多加利用（中華民國產物保險商業同業公會網址：http：//www.nlia.org.tw；中華民國人壽保險商業同業公會網址：http：//www.lia-roc.org.tw）。

三、小處不滲漏，暗處不欺隱

◎摘自法務部調查局清流月刊