2020東京奧運進入倒數階段,為了防止駭客作亂,影響比賽的IT基礎系統,日本政府通過《國立研究開發法人情報通信研究機構法》修正案,允許官員登入民眾IoT裝置,並對疑似遭駭客鎖定的裝置用戶發出警告。
這項修正案允許「國立研究開發法人情報通信研究機構」(NICT)的員工,在總務省的監督下對IoT設備進行調查。根據NICT的調查,在2016年以IoT設備為主的入侵,占全日本網路攻擊的三分之二,因此奧運前夕,特別針對日本國內2億多個IP進行安全測試,從路由器和網路攝影機開始,民眾家中與企業的網路設備,也會在調查名單中。
根據《ZDNet》,NICT的職員主要以預設密碼(如admin)或者容易猜測的密碼(如0000)登入IoT裝置,並將破解的名單交付第三方電信機構,委託通知用戶重新設定,以增加安全性。這項大規模的測試,預計在2月上路。
憂平昌冬奧網攻重演,日府不顧民怨強硬執行
日本政府利用公權力登入IoT設備,引發民怨,民眾認為單純傳簡訊警告也能有同樣效果。但日本政府認為駭客利用預設密碼或簡易密碼的裝置,建立了物聯網的殭屍網路(botnet),許多用戶根本不知道自己的帳戶已被有心人士使用,甚至大多數用戶也不知道如何更改密碼,另外有些設備有秘密的後門帳號,假若硬體沒有更新,帳號也無法刪除。
官方的擔心其來有自,2018年平昌冬奧開幕式,傳出俄羅斯駭客散布名為「奧運摧毀者」(Olympic Destroyer)的惡意軟體,以便報復國際奧委會對俄羅斯的禁賽令。雖然最後開幕式沒受到影響,卻已引起恐慌。
同年在烏克蘭舉辦的歐洲冠軍聯賽(UEFA)的總決賽中,傳出俄羅斯駭客透過民眾家中的路由器,和IoT設備建立殭屍網路,企圖影響比賽的轉播。
網路安全動起來,民間團體推「星」認證
除了日本政府的強行介入,民間團體也動起來,針對IoT產品推出安全認證,從一顆星到三顆星,最終希望日本的所有產品,最起碼都要有一顆星的安全標準,預計「星級認證」將在四月上路。
由日本國內超過107個製造商與大學研究機構組成的「重要生活機器連接安全協議會」(重要生活機器連携セキュリティ協議会),將IoT產品的網路安全性分為三等級:
一星:最低限度的防護,不問產品種類,使用初期最起碼能對用戶發出通知,要求更換密碼。
二星:滿足一星條件,根據產品種類,制定安全標準。
三星:滿足一、二星條件,同一個產品種類內,根據每一個不同的商品,制定安全標準。
二、三星的認證由各企業的判斷獨自設定,協議會表示目前仍在彙整中,未來以日本「唯一標準」為目標。
文/葛翰勳
本文、圖經授權轉載自數位時代(原標題:東奧防駭,日政府允許官員「入侵」民IoT設備)
責任編輯/趙元