Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

脆弱な「VoLTE」の実装により「なりすまし」や「不正発呼」などのおそれ

IP通信により通話を行う「VoLTE(Voice over LTE)」の実装方法によっては、ユーザーの知らない間に発呼されたり、電話番号が詐称されるといった問題が生じる可能性があることがわかった。セキュリティ機関が注意を呼びかけている。

モバイル端末などにおいて音声通話のIP化が進む一方、LTE通信網とアプリケーションの実装において問題があり、従来のVoIPと同様、実装状況によってはプライバシーが侵害されたり、不正請求やなりすましなどへつながるケースもあるとして、セキュリティ機関が注意を喚起したもの。

脆弱性の例として、SIPメッセージの認証が適切に行われないケースがあるという。電話番号を詐称される可能性があるほか、ひとりのユーザーによって複数のSIPセッションを確立され、DoS攻撃に悪用されるおそれがある。

また一部のネットワークでは、通信キャリアのSIPサーバを通さずに携帯電話間で通信が可能となり、電話番号の詐称や、無料データ通信でのビデオ通話などに使用される可能性がある。

さらに「Android」のパーミッションモデルの問題を指摘。従来の通話は「CALL_PHONEパーミッション」が必要だが、現状のLTE通信網の利用形態に則しておらず、アプリが「INTERNETパーミッション」のみでSIPパケットを送信し、発呼できる場合があると指摘。

脆弱性が悪用されて不正発信が行われると、課金請求の発生や、サービス運用妨害につながるおそれがあるという。ただし、iOSに関しては同脆弱性の影響を受けない。

キャリアごとに実装方法が異なるため、影響の範囲はわかっていない。各プロバイダが必要に応じて対策を講じる必要があるとして、セキュリティ機関が注意を呼びかけている。

(Security NEXT - 2015/10/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

ヤマハ製の複数ネットワーク機器に脆弱性 - 停止や再起動のおそれ
Cisco製OSやVoIP製品などに脆弱性「CDPwn」が判明 - 数千万台に影響か
ヤマハ製の一部ネットワーク機器、管理者間の攻撃が可能となる脆弱性
iOS向けVoIPアプリ「ShoreTel Mobility Client」に脆弱性
SIPサーバ探索、3年強で約5.9倍に - SIPアカウントへの辞書攻撃に注意
PBX「Asterisk」の管理画面を狙う辞書攻撃 - 管理者は注意を
IP電話で経費節減のはずが高額請求 - あらためて安全チェックを
ネットワーク機器のリモート管理実装に多数のゼロデイ脆弱性 - ISPや利用者に壊滅的な被害を与えるおそれも
dit、ネットワーク監視システム「WatchPoint 3.0」を発売
SIPサーバに対する攻撃が増加 - 脆弱なサーバを踏み台に辞書攻撃