物聯網帶來資安挑戰 NCC下半年將制定檢測技術指引

因應物聯網帶來的資安挑戰，NCC 今 (31) 日指出，已參考國內、外相關資安防護指引及標準，下半年將陸續制定公布無線 IP CAM、Wi-Fi AP、無線路由器等資通安全檢測技術指引，透過推廣物聯網設備資安檢測，逐步健全資通安全環境。

NCC 表示，物聯網服務快速崛起，並橫跨智慧城市、智慧運輸、智慧能源、智慧醫療等領域，相關創新服務發展雖帶來生活便利，但層出不窮的資安事件也逐漸凸顯這些數量龐大的連網設備的資安風險。

NCC 說，2016 年 10 月，美國知名網域名稱服務公司 Dyn 遭受 Mirai 殭屍網路 DDoS 攻擊，造成 CNN、Amazon、Twitter 等大型網站中斷；隔年 2 月，美國某大學遭到 Mirai 變種殭屍網路連續 DDoS 攻擊 54 小時；事後資安專家指出，該殭屍網路成員不乏遭入侵控制的無線攝影機、路由器與監視器等物聯網設備。

今年 5 月，安全服務公司 Imperva 也指出，物聯網裝置 UPnP 協定的特定問題可能讓駭客用它來發動新型態分散式阻斷服務攻擊（DDoS）。同月，思科旗下威脅情報組織 Talos 披露，由俄羅斯駭客集團主導的 VPNFilter 攻擊行動已感染全球 50 萬台路由器，駭客可對遭駭設備進行流量監控、竊取網站憑證、切斷設備連網能力等行為，甚至讓設備無法使用。

今年 7 月，資安業者 Armis 更指出，約 4.96 億的物聯網設備曝露在 DNS 重新綁定（DNS rebinding）攻擊風險中，駭客藉由瀏覽器的安全漏洞，可以繞過防火牆與內部網路進行通訊。

NCC 強調，已參考國內、外相關資安防護指引及標準，今年 5 月 25 日預告「無線網路攝影機資通安全檢測技術指引」草案，且規劃下半年陸續預告 Wi-Fi AP、無線路由器及數位機上盒等物聯網設備資安檢測技術指引 (草案)，作為推動物聯網設備資安檢測參考。

另外，NCC 在行政院資安處指導下，與經濟部工業局協力推動物聯網設備資安檢測制度及認證標章，以保障消費者權益，同時鼓勵物聯網設備之設計者、製造商、服務提供者更重視連網設備之資通安全。