15. 【題組 2 背景描述如附圖】當管理人員分析網路封包，發現 來自於外部的 IP 位址在深夜的時候連接至該公司的內部網 路，並進入該 SQL Server 下了一些破壞性的 Command，因 此，就將先前封存的網路封包帶至公司附近的警察局進行報 案，而受理的警察在第二天，就將案發當天深夜從外部 IP 位 址連接至該公司內部網路 SQL Server 進行破壞的案件當事 人找到，並確認了案件當事人為該公司最近離職的 MIS 經 理。請問對於警察為什麼可以在短短的時間內就可以找到案 件當事人的敘述，下列何者最「不」可能？
(A) 因為網路封包的內容有案件當事人進入 SQL Server 使用的帳號
(B) 因為網路封包的內容有案件當事人進入 SQL Server 使用的外部 IP 位址
(C) 因為網路封包的內容有案件當事人進入 SQL Server 的 MFA Token
(D) 因為網路封包的內容有案件當事人在 SQL Server 所 下的 Command

✅ 正確答案：(D)

? 解題核心

題目在問的是：
? 哪一項資訊「最不可能」幫助警方在短時間內鎖定特定人？

關鍵判斷標準只有一個：
➡️ 能不能「識別或追查到人」

? 各選項詳解

(A) SQL Server 使用帳號 → ✅ 很有用

• 封包若出現登入帳號（例如 mis_manager）
• 可直接對應公司內部帳號與人資資料
• 題目又說是「最近離職的 MIS 經理」

? 幾乎可直接鎖定人 → 非常有用

(B) 外部 IP 位址 → ✅ 很有用

• IP 可透過電信業者（ISP）追查
• 警方可調閱：
  • 該時間使用該 IP 的用戶資料

? 屬於標準辦案手段 → 可以找到人

(C) MFA Token → ⚠️ 有機會追查

• MFA（多因子驗證）雖然是一次性
• 但背後系統通常會記錄：
  • 誰在什麼時間通過驗證
• 警方可調閱驗證紀錄

? 雖不能直接識別，但可以「往後追查到人」

(D) SQL Command（下的指令）→ ❌ 最不可能（正解）

• 例如：

  ㅤㅤ

  DROP TABLE
  DELETE FROM

  ㅤㅤ
• 問題在於：
  • 這些指令「任何懂 SQL 的人都能下」
  • 沒有個人特徵
  • 無法對應特定帳號或身份

? 只能知道「做了什麼」，無法知道「是誰做的」

? 重點比較

? 一句話記憶

? 「能對應人或設備的才有用，Command 只能證明行為，不能證明身分」