資通安全網路月報（110年12月）

<近期政策重點>

110年政府機關屢次發生因使用如身分證字號、生日、電話，抑或是123456等簡單規則之弱密碼，導致資通系統遭破解後，機關敏感資訊外洩，請各機關落實下列資安防護措施：

• 一、資通系統均禁止使用弱密碼，請依循GCB密碼原則。
• 二、評估重要資通系統採用多因子驗證機制，如搭配手機一次性驗證碼(OTP)等。
• 三、帳號多次登入錯誤應有鎖定機制，並應向系統管理者發出告警訊息。

<整體威脅趨勢>

事前聯防監控

本(12)月蒐整政府機關之資安聯防情資共49,561件，統計近1年情資數量分布詳見圖1。經分析上述資安聯防情資，可明確辨識之威脅種類，第1名為入侵攻擊類（37%），主要係網頁攻擊行為及國外IP攻擊行為；其次為掃描刺探類（30%），主要係外部主機執行掃描探測攻擊；以及政策規則類（20%），主要係嘗試安裝服務偵測及防火牆規則異動事件偵測。

其中，依聯防情資彙整資訊進一步分析，發現近期駭客以帳號異常行為通知為由，寄送含有釣魚網站連結之社交工程電子郵件，企圖騙取政府機關人員電子郵件帳號密碼，技服中心已透過聯防監控月報提供相關防護建議予各機關參考。

圖1 資安聯防監控資安監控情資統計

事中通報應變

本月資安事件通報數量共64件，近一年資安事件通報統計詳見圖2。本月資安事件通報數量較去年同期增加25.49%，主要因近期竊取郵件帳號密碼活動有升溫跡象，導致接獲較多通報事件。

圖2 資安事件通報統計

事後資訊分享

某機關通報其前端網頁主機CPU使用率異常上升，檢視主機時發現異常排程，分析主機日誌研判遭駭客利用Java的日誌紀錄框架工具Log4j漏洞入侵並植入惡意程式，機關發現後即刪除惡意程式，並全面清查修補內部存在Log4j漏洞之資訊設備，以及啟用資安防護設備之Log4j攻擊相關防禦機制。此外，為確保受駭主機無其他殘存惡意程式，資訊人員亦建置新主機取代受駭設備。

足資借鏡：近期資安研究人員發現Log4j存在重大安全性漏洞，Log4j工具應用範圍非常廣泛，因此各領域皆有傳出攻擊事件，機關應隨時掌握資安漏洞資訊，確認資訊設備更新情形，若無法及時完成漏洞修補，亦應採取緩解/防護措施，以降低資訊設備遭入侵風險。

<國內外重點資安新聞>

• 一、美國國土安全部公布Hack DHS漏洞回報獎勵計畫

  美國國土安全部（Department of Homeland Security, DHS）為尋求加強自身系統之安全性，12月14日啟動Hack DHS漏洞回報獎勵計畫，允許資安研究人員發現並回報DHS外部系統中之安全漏洞。依發現漏洞之嚴重程度，資安研究人員可獲得500到5000美元之漏洞回報獎勵。

  Hack DHS漏洞回報獎勵計畫是建立在美國聯邦政府類似活動（如Hack the Pentagon計畫等）之最佳實踐與經驗傳承之上，該計畫分為三個階段，第一階段資安研究人員將對特定DHS外部系統進行虛擬評估；第二階段資安研究人員將參與即時之DHS系統駭侵活動；第三階段DHS將納入與檢視所獲得之經驗，用以規劃未來之漏洞回報獎勵計畫。

  （資料來源：美國國土安全部、CyberScoop、Bleeping Computer）

• 二、歐盟議會委員會通過數位服務法案提案

  歐盟議會之內部市場與消費者保護委員會於12月14日以36票對7票及2票棄權，通過數位服務法案（Digital Services Act, DSA）提案。

  DSA法案之主要目的是賦予主管機關監管大型互聯網平台，以及移除假新聞與濫用內容之權力。同時，超大型線上平台（Very Large Online Platforms, VLOPs）除須針對其非法內容偵測與刪除之演算法負責外，亦須遵守特定透明度之相關要求。此外，超大型線上平台應充分揭露其內容推薦之演算法，使主管機關能夠瞭解其推薦排序依據為何。

  其他DSA法案重要規定包括對微型與小型企業之特定義務之豁免、禁止網路平台使用欺騙或輕推手段影響使用者行為、向使用者說明將使用者資料用以獲利方式之義務與超大型線上平台應提供至少一個不基於行為分析之推薦方式等。

  （資料來源：歐盟議會、Bleeping Computer）

• 三、數位發展部組織法三讀過關，整合資訊、資安、電信、傳播和網路五大領域業務功能

  《數位發展部組織法草案》以及《數位發展部資通安全署組織法草案》於12月28日立法院院會三讀過關，行政院資通安全處將改組為其轄下資通安全署，統籌政府整體資安治理架構；另將成立數位發展署與國家資通安全研究院，前者負責數位經濟產業相關政策規劃與執行，後者將擔任國家資安技術智庫幕僚。

  數位發展部將整合目前分散在各部會執行之電信、資訊、資安、網路與傳播5大領域業務，整體規劃國家數位發展政策，統籌基礎建設、環境整備及資源運用，以達成國家數位轉型之目的。從其他部會移撥之業務包括國家通訊傳播委員會的「通訊傳播基礎建設」、「電信產業發展與輔導」、交通部的「通訊整體資源規劃」、經濟部的「資安、AI、軟體、數位內容、電子商務、系統整合等產業發展與輔導」、國家發展委員會的「智慧政府」、「開放資料」與行政院資安處的「資通安全」等，另擴增「數位轉型」、「數位法制」、「資料治理」、「人才培育」與「監理沙盒」等業務。

  為因應全球數位科技快速發展等情況，數位發展部得依聘用人員聘用條例的規定，聘用數位科技與應用及管理等相關領域專業人員，其聘用員額不得超過100人。

  （資料來源：iThome、關鍵評論、科技新報）

• 四、臺灣證券交易所發布「上市上櫃公司資通安全管控指引」

  配合金融監督管理委員會強化上市公司資通安全管理政策，臺灣證券交易所與證券櫃檯買賣中心於12月23日聯袂發布「上市上櫃公司資通安全管控指引」，協助上市公司有效規劃資通安全管理政策，強化資通安全防護及管理機制，保障投資人權益。

  臺灣證券交易所參考行政院「資通安全實地稽核項目檢核表」，訂定「上市上櫃公司資通安全管控指引」，指引內容涵蓋政策面、管理面及執行面，提供上市公司作為資通安全相關規劃及執行計畫參考，並鼓勵上市公司免費申請成為台灣電腦網路危機處理暨協調中心（TWCERT/CC）會員，以有效接收及傳遞資安情資，提升整體資安防護能量。

  （資料來源：臺灣證券交易所）

<資通安全長及資訊主管異動情形>

國立故宮博物院數位資訊室主任自110年12月6日起，原為謝俊科主任，現由王輝雄主任擔任。