日本政府修法授權機構針對國內物聯網設備進行調查

鑒於近年來針對物聯網設備之攻擊增加，以及日本將於2020年舉辦東京奧運，為了使相關利用者更能強化本身之資訊安全，同時維護奧運比賽之順利進行。日本總務省偕同國立研究開發法人情報通信研究機構(下稱情報通信研究機構)將於2019年2月20日開始實施名為「NOTICE」(National Operation Towards IoT Clean Environment)的計畫 ，該研究機構經法律授權將可入侵調查IoT裝置，並對日本國內二億多個IP位置進行安全測試，再對疑似遭駭客鎖定的裝置用戶發出警告。

主要授權法令為《國立研究開發法人情報通信研究機構法》附則第8條第2項，法規授權該研究機構可針對設備業者或使用業者特定連接埠(Port)、特定連線行為、通訊紀錄進行調查，並作成電磁紀錄，政府可在必要時給予支援，期限至2024年3月31日止。依據計畫內容，情報通信研究機構透過下列六項工作，來達成針對IoT設備調查之任務，內容如下述：

1.特定接取行為之調查：

1. 通訊埠端口掃描(Port scan)調查：針對日本國內約兩億個IP位置(IPv4)進行掃描，並針對機器進行連接要求。
2. 特定接取行為調查：針對需要ID或密碼認證的接取行為進行調查。使用的是過去大規模網路攻擊用之預設密碼進行測試，例如：admin1234、888888、123456等約100組密碼。

2.針對通訊記錄作成電磁記錄

經過調查之後，機構將針對上述測試成功可接取之特定接取行為，包括該設備、設備發送之IP位置、接收之IP位置、通訊日期等資訊作成電磁記錄。

3.通知網路提供者

針對特定之接取行為發送端之IP位置之網路提供業者提供(二)之電磁紀錄並通知其有網路攻擊之風險。

4.其他業務

除了有密碼設定的設備之外，針對具有接取功能、並有軟體漏洞之設備，透過(一)之通訊埠端口掃描可判別其漏洞之設備，同樣對於網路提供者通知相關風險。

5.喚起網路提供者之注意

網路提供者收到機構之風險通知後，應通知公司相關設備用戶，並指明該用戶應該變更密碼等注意。

6.用戶支援

關於網路提供者及設備用戶相關風險通知、密碼變更等問題支援，設置用戶支援專線。

上述通訊埠端口掃描、常用密碼測試等工作是過去網路駭客入侵設備之常見手法，與法律所禁止之非法接取相同 。換言之，日本政府授權情報通信研究機構有五年的時間限制，事實上則是將非法接取行為合法化。而該授權是否能成為政府侵害憲法上所保障人民隱私、個人資料之具體依據，容有法理上之討論空間。