『必勝的戰略──至少聚集有敵方六倍以上的兵力，有者完全的裝備及補給，毫無差錯地傳達司令官的意思，就這樣。』
                                                   --銀河英雄傳說 揚威利名言

(1)事件：多益測驗(TOEIC)遭駭，要求考生至ATM重新操作辦理退款或匯款，72位考生已遭詐騙 (新聞來源：http://news.ltn.com.tw/news/society/breakingnews/1712315 )
(2)被攻擊單位：忠欣公司
(3)系統：TOEIC報名系統
(4)時間：2016年5月
(5)攻擊方式：截至目前為止尚不知如何洩漏

看到這則新聞時，筆者也想起過去為了留學，拚了命的準備托福、GMAT的日子，好在筆者考試那時，個資外洩的狀況還沒有這麼被重視，加上入侵的技術上也還沒那麼厲害，雖然詐騙電話當時已經非常橫行了，要買個資補帖也很容易，但是技術上還是沒辦法Match到報名的資料，這十年間的變化實在太大了，如果台灣早一點出手，抑制當時詐騙的犯罪，想來現在可能不會得到世界第一『詐騙』國家的美名了。

新聞當中，忠欣公司營運長在事情發生之後，發佈了一篇新聞稿，詳細內容可參考新聞連結，筆者節錄以下這段來說明一下：

忠欣公司（美國ETS台灣區總代理）….除了上述立即性的因應措施外，忠欣公司已尋求外部資安專家的協助，進行全面性了解，盤查資訊系統的安全性，以建構更安全的防火牆。

筆者所要探討部分主要是防火強對於資安的成效，前幾日看到一篇鐵人賽裡面一位參賽者Sergeyau的文章，很明確的點出防火牆的問題，本人也很認同他的說法，筆者就簡單說明一下問題，首先防火牆設定時，會先設定阻擋的規則，以明確先阻絕掉一些有問題的封包，但是這些能通過防火牆的封包並非絕對安全，正常情況下，如果能通過防火牆的封包，還是有問題時，就得要去檢視防火牆日誌，可是這樣其實也是很耗時間，就算從日誌上找到問題，再將防火牆設定加高，每加高一次就是增加防火牆資源的浪費，日復一日這樣下來，整個系統資源一定會被耗盡，我想這就是他所表達的"防火牆前面收集資料的缺陷是無法得到防火牆之後的流量資訊"。因此，在這個案例中，筆者就大概可以預測，忠欣公司可能沒辦法防止後續的詐騙問題，畢竟，第一，檢視日誌太耗時間了，其次，不是每個MIS都能從日誌內看出問題，而且就算抓到了，有些通過防火牆卻有問題的封包，該怎麼解決呢？

在此非常感謝Sergeyau的回覆，他認為還是要慎選防火牆軟體，免得花錢又沒得到該有的成效。筆者也認同這個說法，這部分還是得比較過各家廠牌的優劣在採購適合自己企業的防火牆軟體。

就另一個角度來看這個事件，除了探討防火牆的問題之外，還有就是多益題庫是否會外洩的問題，美國ETS考題，是用適性測驗的方式來進行考試，也就是前一題答的對或錯，會影響到下一題的題目，如果答對，則會變得更難一點；反之，如果答錯，會變得更簡單一些，透過適性測驗，能比較客觀的測驗出考生的英文水平，所以在這個考試，題庫就變得很重要了，也就是說，ETS一定會建置一個能夠依不同狀況調整的題庫，假如這個題庫被侵入，那麼公平性就會產生問題。

過去筆者因為是參加托福跟GMAT考試，因此沒有實際參與過多益考試，但還是可依這些考試經驗來分析，很多年前，在還沒有進入電腦化測試時，很多亞洲的學生，會透過時差的方式，到不同國家(例如新加坡或香港)的考場記托福的題目，後來進入CBT、IBT的電腦化測驗，很多中國大陸的學生就開始分享考試時候，所記住的題目，在藉由網路分享，讓題庫更趨於完備，雖非百分之百，但是能預先看到題型，尤其以字彙跟閱讀測驗這類題目，如果有先看過，就能加速答題時間。當然，最後中國大陸的人海戰術奏效，新聞有報導，ETS只好在同樣屬於留學資格考的GRE多增加30%的冷門字彙，來抑制這股人腦記憶人海戰。

筆者提到這段歷史，只是說明，就算資料庫在強大，還是可以運用這種螞蟻雄兵(呼應一下開頭的名言，這至少也有六倍以上的兵力)方式，另類的『攻破』考試資料庫，就算有很強大防火牆，一樣也會被推倒的。