:::
圖片說明:國際觀測

基礎建設

  • 安全
  • 5G

日本政府修法授權機構針對國內物聯網設備進行調查

鑒於近年來針對物聯網設備之攻擊增加,以及日本將於2020年舉辦東京奧運,為了使相關利用者更能強化本身之資訊安全,同時維護奧運比賽之順利進行。日本總務省偕同國立研究開發法人情報通信研究機構(下稱情報通信研究機構)將於2019年2月20日開始實施名為「NOTICE」(National Operation Towards IoT Clean Environment)的計畫 ,該研究機構經法律授權將可入侵調查IoT裝置,並對日本國內二億多個IP位置進行安全測試,再對疑似遭駭客鎖定的裝置用戶發出警告。

主要授權法令為《國立研究開發法人情報通信研究機構法》附則第8條第2項,法規授權該研究機構可針對設備業者或使用業者特定連接埠(Port)、特定連線行為、通訊紀錄進行調查,並作成電磁紀錄,政府可在必要時給予支援,期限至2024年3月31日止。依據計畫內容,情報通信研究機構透過下列六項工作,來達成針對IoT設備調查之任務,內容如下述:

1.特定接取行為之調查:

  1. 通訊埠端口掃描(Port scan)調查:針對日本國內約兩億個IP位置(IPv4)進行掃描,並針對機器進行連接要求。
  2. 特定接取行為調查:針對需要ID或密碼認證的接取行為進行調查。使用的是過去大規模網路攻擊用之預設密碼進行測試,例如:admin1234、888888、123456等約100組密碼。

2.針對通訊記錄作成電磁記錄

    經過調查之後,機構將針對上述測試成功可接取之特定接取行為,包括該設備、設備發送之IP位置、接收之IP位置、通訊日期等資訊作成電磁記錄。

3.通知網路提供者

    針對特定之接取行為發送端之IP位置之網路提供業者提供(二)之電磁紀錄並通知其有網路攻擊之風險。

4.其他業務

    除了有密碼設定的設備之外,針對具有接取功能、並有軟體漏洞之設備,透過(一)之通訊埠端口掃描可判別其漏洞之設備,同樣對於網路提供者通知相關風險。

5.喚起網路提供者之注意

    網路提供者收到機構之風險通知後,應通知公司相關設備用戶,並指明該用戶應該變更密碼等注意。

6.用戶支援

    關於網路提供者及設備用戶相關風險通知、密碼變更等問題支援,設置用戶支援專線。

上述通訊埠端口掃描、常用密碼測試等工作是過去網路駭客入侵設備之常見手法,與法律所禁止之非法接取相同 。換言之,日本政府授權情報通信研究機構有五年的時間限制,事實上則是將非法接取行為合法化。而該授權是否能成為政府侵害憲法上所保障人民隱私、個人資料之具體依據,容有法理上之討論空間。

0則留言

發表留言的身分:

Google 帳戶登入 帳戶登出 Facebook 帳戶登入 帳戶登出