IPよもやま話
I(愛)ちゃんとP(パパ)とO(小野田君)の会話が続きます。
今日は、小野田君のリクエストで「IP-PBX乗っ取りの話」だったわよね。
年金機構のようなパソコン(LAN)などが乗っ取られる話は多いけど、PBXまで乗っ取られるようになったの?
図1 PBX乗っ取り犯人
そうなんだ。
最近(2015年3月ごろから頻繁に)国内の複数の企業で相次いで発生したんだ。そのひとつの事例は、ビジネスホン(ボタン電話)だったんだがね。
それは、レカム社の「ビジネスホンAI900」なんだが、手口は「攻撃者がビジネスホンやIP-PBXなどに不正侵入し、設定を変更するなどして、西アフリカのシエラレオナなどに国際電話をかけていたんだ。そのイメージが図2だ。
図2 IP-PBX乗っ取りのイメージ図
乗っ取った人はどんな利益を得たの?
情報料金徴集代行サービスを用意して、ここに不正に電話をかけさせて利益を得たんだそうだ。
どれほどの利益、逆に言えば被害額はどのくらいあったんですか?
レカム社が公表した数字は、同製品のユーザーで74件、合計被害額は500万円規模だったそうだ。総務省によると、被害企業の多くは中小企業で、1社あたりの被害額は数万円〜数百万円だそうだ。
結構な被害が出ていますね。
うん、新聞報道もあったね。もっと被害額は出ているし被害額をNTTが支払った話もある。読売新聞の記事(*1)によると「4月分の請求分の通話明細書は、全部で351枚。電話帳ほどの厚さがあった。」「通話先地域名SIERRA LEONE(シエラレオネ)」「通話時間32秒」「通話料175円」。同じ記載が延々と続く。<中略>普段の電話料金が月1万円程度なのに、255万円と書かれていた。<中略>被害を訴えたが、同月末には請求額通り、銀行口座から引き落とされた。」とあるね。
NTT東西が被害額の一部を支払ったという記事は東京新聞(*2)だ。
えーっ!
本当のことー?
図3 NTTが一部弁償
本当だとも。その内容はね、「インターネット回線を使ったIP電話が何者かに乗っ取られ、高額の料金を請求される被害が相次いでいる問題で、NTT東日本と西日本は7月6日、被害に遭った約120の契約者に、通話料金の一部計約7100万円を支払うと発表したんだ。
両社によると、2010〜15年に何者かがインターネット経由でIP電話の機器内に不正に侵入、アフリカなどに国際電話を勝手にかける被害が発生したんだが、これに対して両社は、被害者らにIP電話から海外へ通話ができない設定に変更するよう注意を呼び掛けたが、変更申し込みから工事終了まで数日間かかる場合があり、その期間の被害額を支払う」
というものだ。
NTTは、何か対策を講じないんですか?
いやいや、被害額が出ているせいもあるが、NTT東西も対策に乗り出しているんだよ。
NTTはこれまでも、通常に対して電話料が高騰したユーザーには通信規制を実施すような案内をしてきたんだが、緊急措置として、ユーザーと連絡が取れない場合でもNTT側の判断で一時的に発信規制(国際通話)する措置を7月中に始めたんだね。
企業ユーザーだけが注意すればいいのかしら。
いやいや、NTTでは一般家庭で使用している「ひかり電話」でもIP電話なので、国際電話をかけない家庭では「国際発信規制」をするよう、各家庭に通知を配って注意を喚起しているし、電話一本で無料で「発信規制」をするようにしているんだよ。
総務省が注意を喚起する通達(要請等)を出したって大変なことですよね。
そうだね。
6月12日に出たその通達は最後に全文を紹介するが、その中で「不正利用が確認されたケース」としては、次のように書かれているよ。
「PBXを利用している利用者において、PBXやこれに導入されているソフトウェアのセキュリティ対策が不十分な場合に、第三者がインターネット経由で利用者のPBX等にアクセスし、利用者になりすまして国際通話を不正に発信している。
IP電話を利用するために接続するルータのセキュリティ対策が不十分な場合に、第三者が接続のためのIDやパスワードを不正に入手し、利用者になりすまして国際通話を不正に発信している」とね。
さらに総務省は、7月7日に通信事業者で構成する5団体(*3)にも対策を要請したんだ。
被害にあったら、通信事業者やメーカーに責任(保障金など)を請求できるのかしら?
図4 保守者も要注意
いやいや、それは出来ないね。
通信事業者やベンダでも相談には応じるが、あくまでIP-PBXなどの機器やソフトウェア、IP電話機器の設定/管理責任は、通信事業者やベンダではなく利用しているユーザーにあるんだ。
「不正利用により損害が発生してしまった場合でも、通信事業者およびPBXなど機器メーカーでは一切の責任を負うことはできない」点に留意しなくてはいけないんだよ。
とはいっても、PBXの保守を委託されているディーラーなどは、PBXの設定などで、ユーザーをリードして被害から守るようにしないといけないだろうね。
そうですね。
責任がユーザー自身にあるといっても、販売したり保守したりしている提供側も、積極的に問題が発生しないように、ユーザーを指導して対策を講じないといけないと思います。
具体的に注意しないといけないことは、どんなことですか?
今回のしかけは「内線番号に成りすまして攻撃すること」にあるので、次のような点に注意が必要だね。
この「内線番号成りすまし」の他の手口は無いんですか?
うん、最近のPBXは、保守業者が遠隔で保守点検が行える「リモートメンテナンス機能」があるので、これを悪用するケースもあるし、DDos攻撃やまだ解明されていない方法もあるかも知れないね。
「データ系ネットワーク」はコストをかけて対策しているのに、IP電話(音声ネットワーク=IP-PBXやボタン電話、ルータ等)は、穴だらけで、攻撃者が新しい標的にしてきたと言うことのようですね。
でも、不正な国際通話なら、通信事業者が監視したりすることは出来ないんですか?
うん、国際電話の料金が急激に増えた企業に対して、正常な通話かどうかを確認することだね。企業側に身に覚えの無い通話の場合は、通信事業者が国際通話を遮断することはできるが、 不正通話だと推測するには、通話先や回数などを確認する必要があるだろう。これは「通信の秘密」などに抵触するので、企業に確認する必要もあるんだ。
確認がとれれば対策になりますよね。
うん、その通りだ。
そのために(確認を取られないように)攻撃者は「休日を狙う」(終末や連休中などオフィスが無人になる時間帯)傾向にあるようだ。
従って、夏休みや正月休みなどの前に、キチンと対策を取っておく必要があるんだよ。
良く分りました。
この勉強会の前に、日立システムズネットワークス(現:日立システムズフィールドサービス)社に、日立さんのCX9000やCX-01のIP-PBXに問題があるかどうかは、聞いておきました。
ほほう。それは感心、どうだったかな?
図5 メーカーからの指示
具体的にはメーカーから各種機能の対策と情報管理を徹底するようディーラーに指示されているようです。
その内容は?
各種機能の対策は
なるほど。
きめ細かいね。
情報管理では
下記の情報が第三者の目に触れることがないように管理して下さいといっています。
わかった。
では、最後に総務省の注意喚起の通達の全文を、図4に示したよ。
この他に、先ほど話した「7月7日に通信事業者で構成する5団体にも対策を要請した要請次項」があるんだね。これはネット検索できる(*4)から後で見てくれないか。
よく分りました。
有難うございました。
パパ。次のテーマなんだけど先日飛行機に乗ったら、機内でWiFiが使えるのね。
私としたことが知らなくて「不勉強」を自覚したの。このことについて教えてくれないかな。
いいとも。わがままお嬢さんの要望だからね。(笑)
図4 第三者によるIP電話等の不正利用に関する注意喚起(総務省6月12日)
(出典:http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000191.html)
