> > 技術課題 > VoIPセキュリティの基礎 〜IP電話システムを安心・安全に利用するコツ〜

課題への取組

VoIPセキュリティの基礎 〜IP電話システムを安心・安全に利用するコツ〜

2016年12月16日
CIAJ通信ネットワーク機器セキュリティ分科会

2015年頃より、IP電話端末を他社に不正利用され、多額の国際電話料を請求される問題1)が発生しています。総務省は2015年6月12日にIP電話の利用者およびシステムの開発企業、事業者に対して注意喚起2)を発表しました。IPネットワーク上で音声を伝送するVoIP(Voice over Internet Protocol)技術を用いたIP電話システムやIP電話サービスは、2000年初頭頃より実用化されています。2010年前後より利用者も増え、現在は利用者も2000万人を越え、普及期に入ったと言えるでしょう。そのため、IP電話システムがインターネットでのセキュリティ脅威にさらされるケースが増えてきたと考えられます。IP電話システムは、ネットワークインタフェースにIP(Internet Protocol)を使用するもののシステムの機能や形態は従来の電話端末やPBX、ボタン電話システムと変わりません。そのため、インターネットシステムでは当たり前のセキュリティ対策や運用上の留意事項が見逃されているため、不正利用などの問題が発生しているケースもあるようです。そこで、VoIPシステムとして注意しなければいけない課題と対策について、基礎的なポイントを解説します。

VoIPシステムの種類と構成

image01VoIPシステムの基本構成を図1に示します。VoIPシステムの多くは、SIP(Session Initiation Protocol)という手順に従っています。SIPでは、VoIPシステムに接続するIP電話端末をSIPサーバーに登録します。登録時には、使用する電話番号とIPアドレスを対応付けます。このことにより、電話の発信をする場合に、相手先の電話番号から接続するIP電話端末のIPアドレスを見つけることが出来ます。

VoIPシステムには、製品の特徴によりいくつもの形態があります。基本的な種類を図2に示します。

image02

SIPサーバーは、汎用のサーバーにVoIP機能をソフトウェアで実装したものです。IP電話端末は、ルーターやスイッチを介してIPネットワークに直接接続します。アナログ電話端末や公衆電話網への接続は、VoIPゲートウェイを介します。
IP-PBXやIPボタン電話は、従来のPBXやボタン電話システムにIP電話端末を直接収容することが出来る交換システムです。
VoIPゲートウェイは、アナログ電話端末や公衆電話網などをIPネットワークに接続するための変換装置です。
IP電話端末は、見た目は従来の電話機と同じですが、IPネットワークインタフェースを有する端末です。

VoIPシステムのセキュリティ脅威

image03図3に情報処理推進機構(IPA)が発表しているVoIPシステムのセキュリティ上の脅威3)の一覧を示します。これは、SIPというプロトコルの特徴を突いてシステムを攻撃するものです。しかし、VoIPシステムを開発している方は理解できると思いますが、一般の利用者には具体的な対応方法を理解するのは困難です。

image04そこで、図4に利用者視点での脅威について示します。例えば、パスワードなど「端末情報の漏洩」により、通信内容が「盗聴」されたり、利用者の端末が「なりすまし」を受けて不正に利用され、多額の通信費が請求されるなどのことが発生します。また、「なりすまし」は利用者の番号を他者が利用することですが、これとは別にVoIPサーバーを「乗っ取り」、正しい利用者が使用できないようにするなどの脅威があります。
では、これらの脅威からどのようにVoIPシステムを守ったら、良いでしょうか。

VoIPシステムのセキュリティ対策

image05まず、「システム設定」が重要です。VoIPシステムをインターネットなどのIPネットワークに使用する際には、正しいセキュリティ設定をしましょう。企業のネットワークにおいて標準の設定条件が示されている場合は、その設定を守りましょう。また、インターネットに直接接続する場合には、使用しないポート(インターネット上のサービス機能の番号)は閉じる設定にしておくのが安全です。
一番重要なのは、「パスワード管理」です。パスワードは、VoIPサーバーの運用管理のためのものや、端末へのログインなどのために設定が必要です。パスワードを初期値のまま使用するのは危険です。初期値は製品ごとに設定されているので、製品名がわかれば、誰でも入手可能です。そこで、パスワードは利用時に変更することが必要です。以前は、パスワードは定期的に変更することを推奨するケースが一般的でした。しかし、最近では定期的なパスワード更新を盗聴するケースも出ているため、パスワードは不定期にかつ頻繁に行うことが望ましいです。
また、システムの運用者は「ログ管理」と「通話履歴管理」を行うことが必要です。
通常時からログや通話履歴を確認することで、日頃使用しない端末からのアクセスや海外発信などを発見することが可能です。

まとめ

VoIP技術を用いたIP電話システムは、普及期に入りセキュリティのリスクも顕在化してきています。しかし、システムの形状や機能は従来の電話システムと変わらないため、セキュリティ対策が甘くなっているケースがあります。そこで、VoIPシステムのセキュリティ脅威として、「端末情報の漏洩」、「盗聴」、「なりすまし」、「乗っ取り」の例を上げました。そのための対策として、IPシステムとしての「システム設定」を行った上で、不定期かつ頻繁に「パスワード設定」を行い、定期的に「ログ管理」と「通話履歴管理」を行うことが望ましいと考えられます。
IP電話システムのセキュリティ対策については、開発ベンダや通信事業者あるいはCIAJなどの業界団体から適宜セキュリティ情報を提供しています。これらの情報を定期的に確認することをお勧めします。

著者: 千村 保文(ちむら やすぶみ) 沖電気工業株式会社(OKI)

プロフィール
沖電気工業株式会社(OKI) 経営企画本部政策調査部 上席主幹、VoIPシステムの開発に従事。ITU-T SG16やTTC(情報通信技術委員会)などでVoIPシステムの標準化活動に関与。IP電話普及推進センタ(IPTPC)のOKI代表。CIAJ通信ネットワーク機器セキュリティ分科会委員。

参考文献

  1. 総務省研究会資料「なりすましによるIP電話等の不正利用について」(2015年7月)
  2. 総務省 IP電話の不正利用に関する注意喚起(2015年6月12日)
    http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000191.html
  3. SIPに係わる既知の脆弱性に関する調査報告書(IPネットワーク上のマルチメディアコミュニケーション・システムのセキュリティ品質向上のために)(2010年9月、(独)情報処理推進機構セキュリティセンター)
  4. ボイスオーバーIP(VoIP)アプリケーションのプロテクションプロファイル(2013年10月21日、(独)情報処理推進機構セキュリティセンター)
  5. IPTPCセキュリティデザイナ・テキスト(第4版)
  6. なりすまし利用など、第三者による不正なIP電話利用等に関して(ご注意)
    http://www.ciaj.or.jp/jp/topics/topics2013/2013/08/07/10849/
  7. 「IoTに対するセキュリティの考察」(日本IBM ProVISION81)
  8. IP電話普及推進センタ(IPTPC)「攻撃に備える!VoIPセキュリティの実践基礎知識」月刊テレコミュニケーション2016年2月号

◆VoIPセキュリティの基礎 ~IP電話システムを安心・安全に利用するコツ~ [PDF:537KB]

問い合わせ先

企画推進部
TEL:03-5403-9357 FAX:03-5403-9360