資安署：公務信箱註冊外部網站 恐有帳密外洩風險

數位部資安署最新一期資安月報指出，呼籲公務人員不要使用公務信箱註冊在非公務外部網站，且帳號密碼也應該跟公務系統不同，避免外部網站遭駭後，可能導致帳號密碼外洩等資安風險。

根據數位部資安署最新一期資通安全網路月報，發現部分公務人員使用公務信箱註冊在非公務網站，導致帳密外洩案例。

資安署解釋，如果外部網站遭駭，駭客可能從公務信箱發現是公務人員，相關帳號、密碼及使用者個資等資料都將同步曝險，若個人使用在外部服務的密碼又跟公務系統相同，就可能有資安風險。使用者的電腦系統及軟體也應該定期更新及掃毒，以維護資通安全。

此外，在事前聯防監控部分，月報指出，今年1月政府機關資安聯防情資共6萬2578件，較去年12月增加1萬2997件，分析可辨識的威脅種類，第1名為資訊蒐集類（31%），主要是透過掃描、探測及社交工程等攻擊手法取得資訊；其次為入侵嘗試類（23%），主要是嘗試入侵未經授權的主機；再來為資訊內容安全類（15%），大多是系統遭未經驗證存取或影響資訊機敏性。

月報進一步分析聯防情資資訊，發現近期駭客利用微軟Outlook電子郵件服務，針對政府機關人員寄送主旨為「投訴政府人員不作為」，內含惡意附檔的社交工程電子郵件，企圖誘騙收件人開啟惡意附檔以植入後門程式，進而竊取機敏資訊，相關情資已提供各機關聯防監控防護建議。

至於在事件發生中的通報應變部分，月報指出，1月資安事件通報數量共79件，較去年12月減少12件，主要為多個機關資訊設備符合惡意程式特徵的連線或疑似下載惡意程式，占總通報數量58.23%。

事後資訊分享方面，月報指出，某機關端點偵測軟體偵測發現對外服務網站遭嘗試上傳後門程式，調查發現，網站後台帳號密碼為弱密碼，導致駭客破解後成功登入，並嘗試上傳惡意程式。

調查也發現，這組帳號密碼從廠商交付後，未曾變更密碼；機關已停用並另外建立新帳號，採用複雜性密碼（長度至少8碼，含英文大寫、小寫、數字及特殊符號），同時設置僅限單位內部可存取的管理介面。

資安署指出，機關應建立密碼變更機制，並套用到內部所有系統，首次登入系統時，應立即變更密碼，採用複雜性密碼，避免使用預設密碼導致外洩風險。

資安署建議，機關應針對後台登入頁面限制存取來源，僅允許內部IP存取，並套用政府組態基準的帳戶原則，像是定期變更密碼、採用複雜性密碼及設定帳戶鎖定閾值（嘗試登入錯誤次數）等，降低系統遭入侵風險。