類別:資訊保護【案號:S11001】美國人口統計局IT管控遭糾舉多項疏失
【焦點話題】
美國商務部檢核長辦公室(Department of Commerce Office of Inspector General, OIG)於2021年8月16日發布一份調查報告[1],內容為2020年1月美國人口統計局(Census Bureau)所管理的伺服器遭到公開可取得的弱點利用工具攻擊。這些伺服器主要是用於員工遠端存取以進行任務作業、開發及實驗之用。攻擊者企圖遠端執行程式碼,成功變更了系統上使用者帳號資料,但是未能在系統上植入後門程式,因此攻擊者未能成功駭入該單位網路。
但OIG認為人口統計局仍有下列缺失:未及時修補重大漏洞、未及時發現並報告該事件、未保存足夠的系統軌跡紀錄(Log)、未執行事故評估與改善的管理程序、持續使用供應商已不支援服務的伺服器等。
【參考資料來源:三立新聞,109/11/06】
【重點摘要】
- 從資通安全風險管理的角度檢視本案可知,如遭駭客入侵,即使其未成功植入後門程式或造成其他損害,仍應即時進行通報並進行相關問題之發現、處理及改善。
- 因應資安事件的有效做法包括:建立及時通知系統管理人員重大漏洞的程序、定期檢視更新漏洞掃描清單並進行掃描、檢視自動警示系統確保可發現相同類型的攻擊、確保能及時通報已查明之資安事件、定期檢視系統Log以確保IT資產正常、在資安政策中規定執行資安事件事後改善的時程要求、建立生命週期終止產品的優先除役計畫等。
【法律觀點】
為有效因應資通安全事件,從風險管理的角度出發,應包括事前安全防護、事中緊急應變及事後復原等程序。以公務機關為例,目前資通安全管理法、資通安全管理法施行細則與資通安全事件通報及應變辦法中,針對事前、事中與事後之管理均有相對應之規範。在事前,各公務機關應符合其所屬資通安全責任等級之要求,並考量其所保有或處理之資訊種類、數量、性質、資通系統之規模與性質等條件,訂定、修正及實施資通安全維護計畫[2],並應訂定通報及應變機制[3],且應每年向上級或監督機關提出資通安全維護計畫實施情形[4],並應就資通安全事件之通報與應變訂定作業規範[5]。
於事中,於知悉資通安全事件時,除應通報上級或監督機關外,並應通報主管機關;無上級機關者,應通報主管機關[6]。其通報時間應於知悉資通安全事件後,一小時內依主管機關指定之方式及對象,進行資通安全事件之通報[7]。如因故無法依第一項規定方式通報者,應於同項規定之時間內依其他適當方式通報,並註記無法依規定方式通報之事由[8]。除通報外,公務機關知悉資通安全事件後,第一級或第二級事件,應於知悉該事件72小時內,第三級或第四級事件,應於知悉該事件36小時內,完成損害控制或復原作業,並依主管機關指定之方式及對象辦理通知事宜[9]。
而事後,應向上級或監督機關提出資通安全事件調查、處理及改善報告,並送交主管機關;無上級機關者,應送交主管機關[10]。該報告除了事件的發生紀錄、影響評估、損害控制評估及調查處理之歷程外,更重要的是事件根因分析,與防範類似事件再次發生所採取之措施,與相關措施預定完成時程與成效追蹤機制[11]。相關調查、處理及改善報告,並應於完成損害控制或復原作業後一個月內,依主管機關指定之方式送交之[12]。
【管理Tips】
根據OIG此次報告所給的建議,可知如機關遇到類似風險,亦可採取相關管理措施以處理風險,並可避免資安事件發生:
首先,儘管美國國家標準技術研究院(National Institute of Standards and Technology)已於事件發生前即召開相關會議,並針對該漏洞利用問題進行討論與提出相關因應措施,統計局並未能有效落實相關因應措施。且亦未利用定期漏洞掃描即時發現此一漏洞。因此建立及時通知系統管理人員重大漏洞的程序、並定期檢視更新漏洞掃描清單並進行掃描,可有效降低事件發生的機率。
其次,統計局的防火牆於1月13日即成功阻擋駭客的攻擊,但直到1月28日統計局才意識到伺服器已遭受攻擊,究其原因,是統計局未能利用資安資訊與事件管理工具(Security Information and Event Management Tool, SIEM),對有可疑的網路活動進行主動警示。且亦未能及時將相關受侵害資訊進行內外部通報,故檢視自動警示系統確保可發現相同類型的攻擊、而及時通報已查明之資安事件方能結合各方資源以有效因應相關攻擊。
另外,統計局僅透過供應商預設的Log規模儲存Log,因此所存之Log不足以分析此次事件,因此應定期檢視系統Log儲存設定,以確保IT資產正常。
而檢視統計局的資安事件應變政策,並未規定執行資安事件事後分析改善的時程要求,應於政策納入此一部分,方能透過事件後所得之經驗改善其作業流程。
最後,本報告調查中發現統計局至2021年2月仍在使用此次事件中受攻擊之伺服器,而這些伺服器已過使用期限,服務供應商不會再更新安全修補程式,也不會提供維護服務,持續使用這樣的系統會產生漏洞被利用的持續性風險,因此應建立生命週期終止產品的優先除役計畫以降低此一風險。
另外,針對本事件,亦可參考最新修正資通安全責任等級分級辦法附表十資統系統防護基準中相關防護做法,如依據日誌儲存需求,配置所需之儲存容量;定期確認資通系統相關漏洞修復之狀態,並測試其有效性及潛在影響;監控資通系統以偵測攻擊與未授權之連線,而採用自動化工具監控進出之流量並進行分析,則可管理更高之風險。
【相關標準】
ISO 27001:2013(CNS 27001)
- A.8.3.2 媒體之汰除
- 標準內容:
|
當不再需要媒體時,應使用正式程序加以安全汰除。
|
- 適用說明:
|
本案中統計局應建立生命週期終止產品的優先除役計畫淘汰已過期的伺服器以降低漏洞被利用的風險。
|
ISO27001:2013(CNS27001)
- A. 12.2.1 防範惡意軟體之控制措施
- 標準內容:
|
應實作防範惡意軟體之偵測、預防及復原控制措施,並合併適切之使用者認知。
|
- 適用說明:
|
利用SIEM,對有可疑的網路活動進行主動警示,以確保可發現相同類型的攻擊。
|
ISO27001:2013(CNS27001)
- A.12.4.3 管理者及操作者日誌
- 標準內容:
|
應存錄系統管理者及操作者之活動,且應保護及定期審查該日誌。
|
- 適用說明:
|
定期檢視Log系統的規模與運作狀態,方可提供資安事件調查之有效資訊。
|
ISO27001:2013(CNS27001)
- A.12.6.1 技術脆弱性管理
- 標準內容:
|
應及時取得關於使用中之資訊系統的技術脆弱性資訊,並應評估組織對此等脆弱性之暴露,且應採取適當措施以因應相關風險。
|
- 適用說明:
|
建立及時通知系統管理人員重大漏洞的程序、並定期檢視更新漏洞掃描清單並進行掃描,可有效降低資安事件發生的機率。
|
|
關鍵字
|
資通安全事件、資通安全事件通報應變、定期漏洞掃描、自動警示系統、日誌Log管理、資通系統、防護基準
|
類別:資訊保護【案號:S11002】國內基金系統遭駭 企業機密恐嚴重外洩
【焦點話題】
國內某基金之創業投資電腦系統於110年6月底遭到大陸駭客惡意入侵,導致系統主機被植入病毒程式。遭到入侵的資料庫內存有企業投資與融資業務資料,包含轉投資事業基本資料、財務報表及會議記錄、貸款專案內容及執行情形等。同時遭到入侵的還有人事資料相關之資料庫,資料庫內包含委員、股權代表及員工的個資。因所涉包括個人資料等重要資料,已被通報為資通安全事件。該基金於知悉事件後,已立即阻斷不當連線並採取處理措施,且經初步盤點數位軌跡,並未發現有資料遭竄改或竊取之情事。
經調查後發現,該基金委託銀行建置之電腦系統,似有資安維護措施不足之情形;銀行則表示其歷年來協助進行相關資安管理並提供資安建議,包括:Windows Update、防毒更新、防火牆及入侵防禦系統維運、伺服器系統備份等資安維護措施。
【參考資料來源:中時新聞網,110/7/23;國家發展委員會新聞稿,110/7/23】
【重點摘要】
- 當受託維運資通系統之機關發生資通安全事件時,應儘速通知委託機關,以利委託機關依照資通安全管理法所規定之時間,按照資通安全事件之等級,進行相關通報與應變作業。
- 機關依據調查結果,應迅速採取降低或解除風險之措施,並進行復原,如封閉相關系統對外連線、重新設定存取控制措施、清查是否有資料遭受破壞或外洩。除此之外,亦應透過根因分析,逐步調整現有作法,如增加相關資安人力資源,或更新資料庫管理方式,以避免資通安全事件再次發生。
【法律觀點】
本案因受駭標的─創業投資電腦系統遭植入病毒程式,且資料庫遭入侵而導致有資料外洩之疑慮,已符合資通安全事件之認定。如屬資通安全管理法 為例進行介紹,除應依規定迅速向上級、監督機關及主管機關通報外,更重要的應該是能夠儘速控制或復原損害,依資通安全事件通報及應變辦法第6條規定,公務機關知悉資通安全事件後,關於第三級資通安全事件,應於知悉該事件後三十六小時內,完成損害控制或復原作業。本案之受託廠商亦已召開緊急會議,同時裝設網路監控系統進行偵測及側錄。第一時間封閉該系統及網域的對外連線,並將惡意程式的特徵碼回報給資安防毒公司,作為第一線的阻擋防護外,在系統防護未確保提升前,不對外提供連線。只允許特定人士可以存取該系統;透過重新設定網域和系統管理員的帳號、密碼,清查所有使用者身分,不僅釐清所有代理人之間的存取權限和關係,也暫停使用不必要的網路共用帳號、密碼,並進行系統的漏洞修補和主機重置,徹底清除惡意程式[13],可在第一時間將系統被不當利用之風險降低與解除。
此外,由於本案涉及系統委外建置,該機關應依資通安全管理法第9條與資通安全管理法施行細則第4條,監督受託廠商對於該系統之資通安全維護情形,而應監督之要項包括:受託者應具備完善之資通安全管理措施或通過第三方驗證;受託者應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員;對複委託之管理;涉及國家機密之受託人員之適任性查核;系統開發相關之安全性檢測與授權證明;受託者違反法令或知悉資通安全事件時之通知與補救義務;委託關係終止或解除時,確認受託者返還、移交、刪除或銷毀因履約所持有之資料;對受託者之稽核等[14]。
【管理Tips】
除針對資通安全事件的通報與緊急應變外,為避免後續再次發生類似資安事件,提出完整的資通安全事件調查、處理及改善報告,包括事件根因分析、為防範類似事件再次發生所採取之管理、技術、人力或資源等層面之措施等[15]。於本案中,所採取的相關分析與後續管理措施包括[16]:
- 在資通系統委外之情形下,可參考政府資訊作業委外資安參考指引中,對委外廠商服務之監視與審查之方式。除了通案要求委外廠商依循採購文件載明之資安要求事項辦理外,可透過書面審查,如取得委外廠商第三方審查報告、內部稽核報告、自動化工具掃描之報告或自我評估報告等,以進行監管。如評估委外系統風險更高時,亦可由委託機關自行召集適切之稽核人員至受託廠商地點進行稽核[17]。
- 回報發現到的惡意程式特徵碼給相關的資安防毒業者,未來只要有類似的惡意程式入侵系統,可提升防毒軟體攔阻的成功率。
- 因系統老舊,某些系統監控資料因為儲存空間不足而遭到資料覆寫,故應適當增加儲存空間以提升系統監控效率,並使系統監控資料可以適切保存,有利為未來查核。
- 加強組織本身資訊、資安人員的配置,搭配外部資安專業機構的協助,更能確保整體系統的安全性。
【相關標準】
ISO27001:2013(CNS27001)
- A.15.2.1 供應者服務之監視及審查
- 標準內容:
|
組織應定期監視、審查及稽核供應者服務交付。
|
- 適用說明:
|
於本案中,係因委外建置之系統遭駭客侵入,而有資訊外洩之風險,若有資訊服務或系統委外者,對於受託之單位仍應以稽核或其他適當方式,善盡監督之責任。
|
ISO27001:2013(CNS27001)
- A.16.1.2 通報資訊安全事件
- 標準內容:
|
應循適切之管理管道,儘速通報資訊安全事件。
|
- 適用說明:
|
於本案中,應由發現事件之單位儘速通報內部資安管理單位,其後再依據資通安全管理法之規定,通報管權責機關。至於通報之方式,公務機關為利用「主管機關指定之方式」,即利用國家資通安全通報應變網站(https://www.ncert.nat.gov.tw/)辦理通報業務。
|
ISO27001:2013(CNS27001)
- A.16.1.6 由資訊安全事故中學習
- 標準內容:
|
應使用獲自分析及解決資訊安全事故之知識,以降低未來事故之可能性及衝擊。
|
- 適用說明:
|
如上所述,應提出完整的資通安全事件調查、處理及改善報告,透過事故根因分析,並採取防範類似事件再次發生之管理、技術、人力或資源等層面之措施。
|
|
關鍵字
|
資通安全事件通報應變、駭客攻擊、資料庫入侵、資訊委外、資通安全
|
類別:資訊保護【案號:S11003】Google將加強對未滿18歲用戶的隱私保護
【焦點話題】
科技進步與資訊量增多,影響了現代人的生活方式,兒童與青少年花更多時間上網,引起家長、社會團體關心兒童與青少年因網路活動而產生的隱私問題。為因應來自家長與社會團體的批評,Google近來重新調整服務辦法與個人資料蒐集的內容與使用方式,以避免對兒童、青少年使用者造成不良影響。其修正包括:將13歲至17歲之YouTube使用者預設為最高等級隱私保護,這表示這些使用者所上傳之內容預設為私人影片,僅本人及指定分享對象才能看見,避免未成年使用者在未留意情況下,將個人影片公開於網路。此外,Google將防止18歲以下的用戶接觸到針對其年齡、性別、興趣等所投放的精準廣告(targeting ads),且允許18歲以下用戶及其父母或監護人要求從Google圖片搜尋結果中刪除未成年人的圖片。
【參考資料來源:UPI,110/08/10;DEADLINE,110/08/10】
【重點摘要】
- 我國個資法就未成年人告知同意、權利行使並無特別規定,因此關於未成年人行使個資法上相關權利,應回歸適用民法有關行為能力之一般規定,何時須法定代理人同意,何時得由未成年人自行處理,於個案適用上難免有模糊空間。
- 相較於我國法制,美國聯邦法針對13歲以下的兒童頒布兒童線上隱私保護法(Children's Online Privacy Protection Act, COPPA),針對企業蒐集兒童個資所應踐行的告知同意,規定應取得父母同意,並且父母同意的過程必須是可以驗證的。此法案特別考量兒童於數位平台的使用上可能之隱私議題,並以父母介入監督作為必要條件,對未成年人的保護更加完善,可作為企業實踐或是未來修法的建議方向。
【法律觀點】
我國兒童及少年福利與權益保障法中,將未滿12歲之人稱為兒童、12歲以上未滿18歲之人稱為少年[18],針對兒童及少年的隱私保護,我國多聚焦於兒少案件的隱私[19]、或是新聞媒體播報兒少案件時,對其個人資訊之隱匿。但是對於一般兒童與少年使用數位媒體或平台的隱私保障,仍仰賴個人資料保護法(下稱個資法)對個資蒐集、處理、利用的規定,又個資法就未成年人告知同意、權利行使並無特別規定,是關於未成年人行使個資法上相關權利,應回歸適用民法有關行為能力之一般性規定。
過往實務案例中,有教材業者以贈品利誘學童提供個人資料,國家發展委員會(下稱國發會)依照個資法第5條[20]、第7條第1項[21]、第8條第1項[22]之規定,以及個資法施行細則第16條[23]之規定,認為若欲基於當事人同意蒐集個人資料,應明確告知應告知事項,使當事人充分瞭解後審慎為之,且告知之方式,應以足以使當事人知悉或可得知悉之方式為之。由於學童多為未成年人,教材業者之告知方式應符合學童之年齡、生活經驗及理解能力,以容易理解、清楚簡單之語言或文字為之,並使該學童得以充分瞭解其個人資料之後續利用。倘教材業者未完整踐行告知,或其告知對象無法充分瞭解其個人資料之後續利用,則未能符合個資法第7條告知後取得同意之規定[24]。
相較於我國法規定,美國之兒童線上隱私保護法(Children's Online Privacy Protection Act of 1998, COPPA)[25]係於1998年頒布、2000年生效、針對美國公司於美國境內或境外蒐集13歲以下兒童個人資料所頒布之法案,其中規定網站營運商若欲蒐集13歲以下兒童之個人資料,應於網站上說明將蒐集兒童的哪些資訊、如何利用此類資訊等[26]、按照法令取得可驗證之父母同意(Verifiable parental consent)[27]、符合資料保留與刪除之規定,並禁止以參加遊戲、提供獎品或其他條件,讓兒童提供超過所需之個人資訊[28]。此法案特別考量兒童對於數位平台的使用,並直接加入父母監督要素做為告知同意之條件,不待回歸其他法律的適用,對未成年人保護更為完善,或可作為未來修法之參考方向。
【管理Tips】
企業如從事跨國資料蒐集時,必須清楚盤點並知悉各國相關個人資料保護或是隱私之相關規定。例如美國企業在台灣營業、蒐集台灣人民之個資,必須要遵循台灣的個人資料保護法,同樣地,企業若在歐盟境內設有據點或是對歐盟境內的個人蒐集個資,則有歐盟一般資料保護規則(General Data Protection Regulation)之適用。
盤點個資暨隱私相關法令規定後,則進一步需於公司內部程序、產品與服務設計中加入法遵與隱私設計。尤其隱私設計上,對於可能使用產品或服務的受眾,應考量其年齡,對於未成年的使用者,宜拉高其隱私保護層級,例如上傳內容的預設保護、精準廣告的投放限制等均屬須注意之處,此外,產品設計上讓父母或監護權人得以監督未成年人的之使用,也是業界的良好實踐。
【相關標準】
ISO27001:2013(CNS27001)
- A. 18.1.4 個人可識別資訊之隱私及保護
- 標準內容:
|
應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。
|
- 適用說明:
|
公司應定期盤點應適用的法令與法規,尤其需特別注意隱私與個人資料保護的相關規定,以美國公司為例,若其產品、服務或是營運上有蒐集兒童的個人資料,必須將兒童線上隱私保護法(COPPA)的規定納入法令遵循的範疇。
|
ISO 29100 :2011(CNS29100)
- 4.7隱私控制措施
- 標準內容:
|
組織宜發展隱私控制措施作為其「隱私設計」作法之一部分,亦即隱私遵循宜於PII處理之系統設計時期即納入考量而非於後續階段方納入。(摘錄)
|
- 適用說明:
|
隱私設計是指產品或是服務在設計上必須符合法律規定,且蒐集處理個人資料應具備適當性、關聯性以及與處理資料目的時的必要性。例如對兒童與青少年的隱私保護預設為私人影片,即為一種隱私設計的做法。
|
|
關鍵字
|
兒童線上隱私保護法(COPPA)、個人資料保護法、未成年人個資告知
|
類別:資訊保護【案號:S11004】房仲神器違法蒐集與販售個人資料
【焦點話題】
前房仲業者編寫「People」查詢系統(俗稱房仲神器或小白機),蒐羅全台民眾房產個資高達1億8千萬筆,內容包括全台人民持有房產、住址、工作經歷、聯絡手機及生日、身分證資料等,檢警所搜扣之查詢系統資料庫容量達220G並以一台數萬元的價格銷售給其他房仲業者謀利。
【參考資料來源:聯合新聞網,2021/08/18,自由時報,2021/08/18】
【重點摘要】
- 我國個資法第41條規定,意圖營利而違法蒐集、處理、利用個人資料,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
- 企業應定期或不定期對其所屬人員施以基礎認知宣導或專業教育訓練,使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。尤其若有營利意圖而違法的行為,將會面臨民、刑事責任。
【法律觀點】
依據我國個人資料保護法(下稱個資法)之規定,若欲蒐集、處理、利用他人個資,應符合特定法定要件。該法第19條規定,除特種資料外,非公務機關對個人資料之蒐集或處理,應有特定目的,並符合8種法定情形[29]。同法第41條則規定:意圖營利而違法蒐集、處理、利用個人資料,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金[30]。另外,同法第29條亦規定其民事賠償責任:非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,應負損害賠償責任。
本案例中大批民眾個資,係先由該前房仲業者蒐集後,編寫系統並進一步向其他房仲業者銷售謀利;其他房仲業者向其購買後,再進行各自對個資的利用,因此在個資的蒐集階段即須依照屬於直接或間接之蒐集方式,而應符合相應要件。若係直接蒐集者,應於蒐集前為個資法第8條之告知並取得同意[31];若係間接蒐集者,亦應依第9條第1項之規定於處理或利用前踐行告知義務[32]。另應特別注意者,係各產業的中央目的事業主管機關得依據個資法第27條指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。以本案的不動產經紀業為例,內政部訂有「不動產經紀業個人資料檔案安全維護管理辦法」,該辦法第10條明確指示不動產經紀業應區分直接蒐集與間接蒐集的個資的情形,並分別訂定告知方式、內容及注意事項,並要求所屬人員確實辦理。以下將針對案例中兩種不同主體進行討論:1. 蒐集個資並販賣的前房仲業者;2. 收受資料的其他房仲業者。
以蒐集個資並販賣的前房仲業者為例,其若未於蒐集前或處理與利用前踐行告知義務,亦無個資法第19條的法定情形,已屬於違法蒐集、處理個資的情況;又,其隨後將其違法蒐集所得之個資販賣給其他房仲業者,販售行為屬於個資法上的利用行為[33],本應依個資法第20條之規定,於蒐集之特定目的必要範圍內為之,或需符合特定目的外利用情形,本案中的情節顯然並未遵守此一要求。
至於收受資料的其他房仲業者,其收受資料的行為屬於間接蒐集之情形,應於處理及利用前踐行告知、取得當事人同意,並於特定目的為利用,始為適法的行為。
【管理Tips】
本案係屬於非公務機關對個資的違法蒐集、處理、利用。房仲屬於不動產經紀業,對於個人資料蒐集、處理及利用應符合個資法第19條及第20條規定,為防免員工因缺少法律意識而有觸法之可能,業者應定期或不定期對其所屬人員施以基礎認知宣導或專業教育訓練,使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。
【相關標準】
ISO 27001:2013(CNS 27001)
- A.18.1.4 個人可識別資訊之隱私及保護
- 標準內容:
|
應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。
|
- 適用說明:
|
個資保護法中有關於刑事、民事責任之規定,企業若涉及個人資料的蒐集、處理及利用,應特別注意規範內容,確認個人的隱私與資料均依循法律規範而有完善保護。
|
ISO 27001:2013(CNS 27001)
- A. 7.2.2 資訊安全認知、教育及訓練
- 標準內容:
|
組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。
|
- 適用說明:
|
對個人資料蒐集、處理及利用應符合個資法規定,企業應定期或不定期對其所屬人員施以基礎認知宣導或專業教育訓練,使其明瞭個人資料保護相關法令規定、責任範圍及應遵守之相關管理措施。
|
|
關鍵字
|
個人資料保護法、不動產經紀業個人資料檔案安全維護管理辦法、認知宣導、教育訓練
|
類別:資訊保護【案號:S11005】Android新木馬病毒藏身免費App挾持數千個Facebook帳號
【焦點話題】
新的木馬程式FlyTrap從2021年3月開始席捲140個國家,透過社交媒體、第三方應用程式商店,入侵超過10,000名受害者的裝置,並利用社交工程挾持Facebook帳號。
FlyTrap使用某些吸引人的主題,例如Netflix或Google AdWords的免費優惠券代碼、或是投票選出最佳足球員活動等,這類免費程式會搭配精美設計介面,並使用社交工程,引誘使用者下載。使用者不僅可透過Google Play或第三方Android市集下載,也可從一般網站直接下載。下載後,FlyTrap會以投票、收集優惠卷代碼或累積積分等理由引導使用者登入Facebook帳戶,並蒐集受害者的Facebook名稱、位置、電子郵件、IP位置及和Facebook帳號相關Cookie等個人資訊。隨後,FlyTrap會再利用這些帳戶作為殭屍網路,用以進行惡意攻擊,如散布惡意程式、不實資訊等。
【參考資料來源:科技新報,110/8/11】
【重點摘要】
- 木馬程式與社交工程已經成為資訊安全的最大威脅之一,除了政府單位、關鍵基礎設施之外,企業對於資料保護也相當重視。至於個人電腦、手機等終端裝置,因為很高機率與社交媒體帳戶、銀行應用程式、企業工具等綁定連結,資料含金量高,易成為惡意攻擊之對象。
- 木馬程式FlyTrap挾持用戶Facebook帳戶,損害了機密性、完整性與可用性。可知全民資安意識的提升甚為重要,雖然Google已經將嵌入有FlyTrap的應用程式於Google Play商店下架,但類似之攻擊或威脅仍持續存在。用戶於下載免費應用程式應特別注意類似攻擊模式,也建議安裝防毒應用軟體,以偵測木馬或是惡意程式之威脅。至於企業則應訂定相關行動裝置使用政策,使員工下載應用程式時應遵循公司之政策與程序,以確保資通安全。
【法律觀點】
資通安全管理法第7條第1項規定:「主管機關應衡酌公務機關及特定非公務機關業務之重要性與機敏性、機關層級、保有或處理之資訊種類、數量、性質、資通系統之規模及性質等條件,訂定資通安全責任等級之分級;其分級基準、等級變更申請、義務內容、專責人員之設置及其他相關事項之辦法,由主管機關定之。」而該條授權訂定之資通安全責任等級分級辦法中,附表一(資通安全責任等級A級之公務機關應辦事項修正規定)、附表三(資通安全責任等級B級之公務機關應辦事項修正規定)於今(民國110年)年增訂「端點偵測及應變機制」之應辦事項[34],要求A級、B級公務機關應於初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。
又所謂端點偵測及應變機制,指具備對端點進行主動式掃描偵測、漏洞防護、可疑程式或異常活動行為分析及相關威脅程度呈現功能之防護作業[35]。若設備端有進行前述端點管理,則如FlyTrap等木馬程式侵入,或有大量蒐集個資的異常活動,端點偵測及應變機制將能掃描偵測並記錄惡意程式的行為,以進行分析,提高資安防護的能量。
此外,資通安全管理法第3條說明資通安全是指「防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,以確保其機密性、完整性及可用性。」機密性(Confidentiality)指的是資訊的存取須經過授權;完整性(Integrity)是確保資訊的內容正確且完整;可用性(Availability)則是確保經授權的使用者,能存取及使用資訊。若系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作時,即構成資通安全政策之威脅而形成資通安全事件。
本案例中,木馬程式FlyTrap挾持用戶Facebook帳戶,進而利用社交工程散播含有木馬程式的惡意連結、宣傳虛假消息與活動,影響用戶對帳戶的控制與使用,同時損害了機密性、完整性與可用性,可能已構成資通安全事件,如為資通安全管理法之公務機關或特定非公務機關時,則亦應資通安全管理法相關規定進行通報與後續處理。
【管理Tips】
FlyTrap以投票、收集優惠卷代碼或累積積分等理由引導使用者登入Facebook帳戶,並蒐集受害者的個人資訊。FlyTrap使用了JavaScript injection的技術,在WebView中配置了注入JavaScript程式的功能,只要使用者用該WebView開啟URL,就能夠注入惡意JavaScript程式並擷取所有必要的資訊,包括Facebook名稱、位置、電子郵件、IP位置及和Facebook帳號相關Cookie等[36]。
行動裝置的使用與個人日常生活習習相關,為了居家工作或是移動方便,許多公司的資訊系統也會與行動裝置相連接,因此管理行動裝置的使用也成為組織保護資訊系統的重要環節。FlyTrap等木馬程式或惡意威脅利用用戶對於手機等終端裝置的使用習慣,竊取大量個人資訊,且傳播容易,可以輕易挾持眾多社交媒體帳號,產生巨大的影響。又許多公司會請員工於私人手機中下載並使用企業工具,或配發公務手機、公務筆電供員工使用,為避免受到類似FlyTrap等木馬程式的攻擊,企業應訂定相關行動裝置使用政策,包括軟體下載與使用時,應僅安裝來自可信任來源之軟體、注意軟體安裝時所要求之權限是否合理、安裝資安防護軟體、定期進行軟體更新或修補作業等[37],並更新常見的惡意攻擊資訊,提醒員工下載應用程式或軟體時應遵循公司政策與程序,以確保資訊安全。
FlyTrap只是竊取網路平台帳號憑證的眾多威脅之一,雖然於收到通報之後,Google已經立即將嵌入有FlyTrap的應用程式於Google Play商店下架。但第三方Android應用市集與各式提供免費應用程式下載的網路平台,則持續有其蹤跡。用戶於下載免費應用程式應特別注意是否有類似登入社交平台帳號取得優惠的吸引要素,也建議安裝防毒應用軟體偵測木馬或是惡意程式的威脅。
【相關標準】
ISO 27001:2013(CNS 27001)
- A.6.2.1 行動裝置政策
- 標準內容:
|
應採用政策及支援之安全措施,以管理使用行動裝置所導致之風險。
|
- 適用說明:
|
許多公司的資訊系統會與行動裝置相連接,因此管理行動裝置的使用也成為組織保護資訊系統的的重要環節。組織應頒布有關行動裝置的使用政策,例如針對公務機禁止下載與工作無關的應用程式。
|
ISO 27001:2013(CNS 27001)
- A.12.5.1 運作中軟體之控制
- 標準內容:
|
應實作各項程序,以控制對運作中系統之軟體安裝。
|
- 適用說明:
|
透過引誘下載、社交工程等方式進行帳號挾持或是裝置入侵,因此造成組織損害的情形逐年增加。組織應透過管理手段對於軟體安裝的行為加以控制,保護資訊系統。
|
|
關鍵字
|
木馬程式、惡意攻擊、資通安全管理法、行動裝置使用政策
|