ほとんどの場合、ネットワークのセキュリティに関して電話システムは考慮されませんが、実際は VoIP は攻撃の対象になり得ます。
ジネスに携わっている人なら誰でも、VoIP(Voice over Internet Protocol)通話を知っていると思います。コストの低さと柔軟性のため、旧式の有線式公衆交換電話システム(PSTN)から広範に置き換えられています。しかし、名前のIP部分が示すように、VoIP はインターネット上で動作するアプリケーションであり、他のアプリケーションと同じ脆弱性を抱えています。したがってセキュリティ対策は重要ですが、VoIP のセキュリティ開発は少々遅れているようです。
長距離電話には依然として電話システムが関わっているため、企業と電話サービスプロバイダ(TSP)の両方を対象とした種々の興味深いVoIP 関連の不正行為が起きています。通信不正管理協会(Communications Fraud Control Association, CFCA)は、2015年に起きた通信料金詐欺のために381億ドルが損失したと報告しています。同期間のクレジットカードの不正使用による被害は、その半額以下でした。
VoIP のセキュリティ問題
VoIP は、IRSのエージェントからのように見せかける電話や、フィッシングの VoIP 版である「ヴィッシング」など、多くのセキュリティ上の脅威に直面しています。
中でも、通信料金詐欺では被害額が高額になります。電話サービスを窃盗して使用したり再販したり、または電話システムのどこかで料金を発生させたりする不正行為です。この不正行為は、被害者、すなわち詐欺行為によって出費を余儀なくされる者が誰かによって、2つの主要なカテゴリに分類されます。
利用者を狙った不正行為
信料金詐欺は、アナログの場合、電話回線の数に制限されます。しかし、VoIP で1つのエクステンションへの侵入が成功すると、追加チャネルを複製して多数の同時通信を行うことができ、大規模な請求を極めて迅速に実行することができます。コールはたいてい、プレミアムレート番号、セックス・チャットやサイキックスのような(そのようなものがまだ存在するということには少し驚かされますが)、詐欺師が所有する料金の高い宛先に転送されます。キューバ、ソマリア、ボスニア、エストニア、ラトビアなどの宛先が使われることが多いようです。
この種の攻撃は、通常、夜間や週末に起こります。適切な監視が行われていない企業には、数十万ドルの請求が来ることもあります。現時点では、クレジットカード詐欺の場合のような、電話サービス業者に詐欺行為のための払い戻しを要求する法律はありませんが、この種の詐欺行為が認められた場合は払い戻しをする大手電話サービス会社もあります。そのような規定があるかどうかがサービス業者を選択する際の考慮事項になる可能性があります。
サービス・プロバイダを狙った不正行為
際電話の場合、VoIP パケットは、その時点で最も安価で効率的なラインを選択できるよう、広範囲の仲介業者を経由してルーティングされます。仲介業者の数が多くなれば、不正行為が入り込む機会はそれだけ多くなります。
パケットは、大きなTSP、より小さな地域のパケット、およびその他のパケットにスイッチングされます。電気通信サービスを提供する企業に正当な注意義務を課すような法整備がされていない国もあります。国際電話は様々な国境を越えて行われるため、訴追は困難です。
通話経路には、様々な収入に関する契約が絡んでおり、多くの不正行為は通話に絡んで発生する収入の操作、または利鞘稼ぎを目指します。通話のルーティングに自身のサービスを介在させれば、パケットごとに少額のお金を稼ぐことができます。Gimlet の Reply All には800番無料通話番号のルーティングを含む興味深いエピソード、Phantom Caller のケース、が紹介されています。国際的には、利鞘稼ぎ操作、バイパス操作、トラフィックポンピング、CNAM 収益のポンピングなどなど、可能性のある詐欺をリストすれば圧倒されるほど長く、不正行為による潜在的な収益は多大です。
関連ブログ: キーロガー脅威 - ずっとチェックされていた?
VoIP/IT のセキュリティ保護
VoIP 電話はIPベースであり、ビジネス電話のセキュリティはITネットワーク・セキュリティとして考察する必要があります。VoIP のセキュリティ・リスクを最小限に抑えるために、パスワード設定や業務上適正な手順をとることに加えて、企業が行うべきいくつかの具体的な事柄があります。
- セッション開始プロトコル(Session Initiation Protocol, SIP)は最も一般的な VoIP プロトコルであり、すべての VoIP 攻撃のほぼ半分がSIPを対象としています。疑わしいパケットをフィルタリングするために、SIPファイアウォールを設定します。
- アクセス・コントロールの改善。あまりに多くの人がシステムにアクセスできる状態を放置せず、アクセスは必要な人だけができるように制限するべきです。また、特定の通話転送ルールを選択し、転送先にも制限を設けます。未使用のデバイスがあれは削除してください。
- 通話履歴を定期的に確認して、不正な通話が行われているかどうかを確認します。より高度なシステムでは、アルゴリズムを使用して、履歴データに基づいて通話パターンの変化を検出し、正当性が検証されるまで発信者や場所をシャットダウンすることもできます。
単なる電話との認識を超えて
インターネットに接続された他のデバイスと比較すると、電話は、ずっと長い間日常生活で使用されてきたため、扱いがぞんざいになりがちです。企業は、VoIP によるコスト削減と柔軟性を利用しながら、VoIP の脆弱性を認識することで、リスクを大幅に削減することができます。
Alex Jablokow
Alex Jablokow is a freelance writer who specializes in technical and healthcare business. He blogs about the Internet of Things, software, inertial guidance systems, and other topics for business clients. Sturdy Words, his freelance content business, is at www.sturdywords.com.