Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

IP電話の高額請求トラブル、保守管理甘い一部製品に被害集中か

IP電話の不正利用被害が発生している問題で、原因の一因として特定メーカーのIP電話システムにおける管理上の問題がセキュリティベンダーによって指摘されている。

20150624_na_001.jpg
記者会見登壇した杉浦氏

SIPサーバ(IP-PBX)が不正アクセスを受け、IP電話が不正に利用されてしまう被害は以前より報告されているが、2015年3月ごろから再び被害が目立っていることから、ネットエージェントが実際に被害にあった2社を調査を実施し、結果を公表したもの。

被害企業から発信されていた通話先は西アフリカのシエラレオネ。30秒ほどの通話で175円の通信料が発生しており、約1万回にわたり繰り返されていた。約250万円に及ぶ請求を受けた企業もあったという。以前国内で提供されていた「ダイアルQ2」のように通話先に利益が発生する通話サービスを悪用した金銭目的の犯罪ではないかと見られる。

ネットエージェントによれば、今回の被害の特徴は、いずれの企業もレカムのIP電話システムを導入。他社製品が攻撃対象となった可能性もあるが、レカム製システムの利用者を中心に被害が生じたのではないかと分析している。

調査対象となったシステムは、インターネットからのアクセス制御が行われておらず、外部からアクセスできる状態。くわえて初期設定のパスワードがそのまま利用されているなど、複数の悪い条件が重なった。こうした状況は保守管理サービスと大きく関係しているようだ。

被害を受けた企業は、ファームウェアのアップデートや管理など、インターネット経由でレカムよりリモートメンテナンスサービスの提供を受けていた。また同システムは、NTPリフレクション攻撃やオープンリゾルバとなる問題なども生じており、外部公開が前提で提供されていたと見られる。

くわえて管理画面のパスワードは、インターネット上に公開されているマニュアルにも記載されている初期設定のID「admin」およびパスワード「master」を利用していた。

製品マニュアルには「パスワードを変更してください」との記載も見られる。しかし、レカムがリモートから提供する管理サービスでも、初期パスワードをそのまま利用しており、被害者も「導入時にパスワードの変更は促されなかった」とネットエージェントに話していることからも、多くのユーザー環境が初期パスワードで運用されていた可能性がある。

被害者によれば、今回の問題を受けたためか、4月ごろにリモートからパスワードが変更され、あらたなパスワードが届いたという。また外部接続ができないよう設定が変更されたほか、無断でシステムが初期化されたケースもあるという。アクセスログなども消去された状態で、不正通信の原因となった不正アクセスの実態などもわからない状況だった。

また今回の問題では、高額な料金請求に目が行きがちだが、ネットエージェントは情報漏洩の危険性についても指摘。管理者画面に不正アクセスを受けており、電話帳機能などを利用している場合は、これらが攻撃者によって取得された可能性がある。

説明会へ登壇したネットエージェントの取締役会長である杉浦隆幸氏は、「これまでの判例から通信会社に瑕疵はなく、不正発信を防ごうにも通信の秘密などもあり、通信会社が発信を監視することもできない」と説明。「ブラックリストなどを用いて不正な発信を防ぐなど対策が必要」と話す。

またネットエージェントでは、意図せず公開されていないか確認できる無料のウェブサービスを用意。IP電話利用者にセキュリティ対策を呼びかけている。

(Security NEXT - 2015/06/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

NTT東西、特定国番号の着信拒否できず - 海外迷惑電話で相談窓口
まほろば工房のIP-PBX製品にRCE脆弱性 - アップデートの実施を
Cisco製IP電話に脆弱性、PoCが公開済み - パッチは来年公開予定
SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
「675」から始まる着信履歴に注意 - 折返電話で高額料金のおそれ
電気通信事業者向けサイバー攻撃対処のガイドラインを改訂
NTT東、スマホのBYOD向けにクラウドサービス
「マイナンバー総合フリーダイヤル」を開設 - 総務省
「ひかり電話ルータ」に誤発呼の不具合
不具合存在するも「被害との因果関係は検証不能」 - IP電話高額請求問題