IP-PBXの脆弱性やセキュリティ設定を突いたなりすまし通話に注意喚起：「かけた覚えのない通話料を請求」、休暇前の確認を推奨

IP-PBXにおけるセキュリティ設定の不備や脆弱性を利用した不正ななりすまし通話が発生していることを踏まえ、複数の業界団体が注意を呼び掛けた。ソフトウェアのアップデートや設定の確認などを推奨している。

[高橋睦美，＠IT]

　電気通信事業者協会（TCA）、テレコムサービス協会（TELESA）、日本インターネットプロバイダー協会（JAIPA）、日本ケーブルテレビ連盟（JCTA）、情報通信ネットワーク産業協会（CIAJ）の5団体は2013年8月6日、IP-PBXにおけるセキュリティ設定の不備や脆弱（ぜいじゃく）性を利用した不正ななりすまし通話が発生していることを踏まえ、注意を呼び掛けた。

　IP-PBXは、企業などで利用される回線交換／内線電話機能をIPネットワーク上で実現する機器／ソフトウェアの総称だ。音声専用回線ではなくIPネットワークを利用することで、通信コストの削減や、CRMをはじめとするアプリケーションとの連携を実現できることから、広く導入されている。

　TCAなどの注意喚起によると、IP-PBXの設定不備や脆弱性を悪用し、第三者が企業になりすまして不正に国際通話を発信する事例が発生している。この結果、「かけた覚えのない国際通話などの通話料を請求される」といった被害が全国的に増加しているという。

　これらなりすまし通話の原因はいくつか考えられる。1つは、外部から社内IP-PBXを利用する際のパスワードや管理用のパスワードが破られてしまった場合だ。また、IP-PBXソフトウェアへのアクセス制御が適切に行われておらず、外部からも利用できる状態になっていたり、脆弱性が残った古いバージョンを利用している場合にも、不正な通話が行われる可能性がある。

　これを踏まえてTCAなどでは、

• IP-PBXソフトウェアを最新のバージョンにアップデートする
• 外部から不必要な接続を許可する設定になっていないかを確認し、不要な接続環境を削除する
• 外部接続用／管理用パスワードについては、第三者が推測しにくいものを設定する

といった対策を取るほか、IP-PBXへのアクセスログを記録、保存し、不審なアクセスの有無をチェックするよう勧めている。もし、会社として国際通話を利用しない場合は、国際通話発信規制サービスの申し込みを行うのも1つの手という。特に、週末や連休中など、オフィス内が無人となる時間帯に被害が発生する傾向があることから、夏期休業前の確認を推奨している。

　なお、通信事業者やベンダでも相談に応じるが、あくまでIP-PBXなどの機器やソフトウェア、IP電話機器の設定／管理責任は、通信事業者やベンダではなく利用している顧客にあることにも触れ、「不正利用により損害が発生してしまった場合でも、通信事業者およびPBXなど機器メーカーでは一切の責任を負うことはできない」点に留意してほしいとしている。