検索
ニュース

IP-PBXの脆弱性やセキュリティ設定を突いたなりすまし通話に注意喚起「かけた覚えのない通話料を請求」、休暇前の確認を推奨

IP-PBXにおけるセキュリティ設定の不備や脆弱性を利用した不正ななりすまし通話が発生していることを踏まえ、複数の業界団体が注意を呼び掛けた。ソフトウェアのアップデートや設定の確認などを推奨している。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 電気通信事業者協会(TCA)、テレコムサービス協会(TELESA)、日本インターネットプロバイダー協会(JAIPA)、日本ケーブルテレビ連盟(JCTA)、情報通信ネットワーク産業協会(CIAJ)の5団体は2013年8月6日、IP-PBXにおけるセキュリティ設定の不備や脆弱(ぜいじゃく)性を利用した不正ななりすまし通話が発生していることを踏まえ、注意を呼び掛けた。

 IP-PBXは、企業などで利用される回線交換/内線電話機能をIPネットワーク上で実現する機器/ソフトウェアの総称だ。音声専用回線ではなくIPネットワークを利用することで、通信コストの削減や、CRMをはじめとするアプリケーションとの連携を実現できることから、広く導入されている。

 TCAなどの注意喚起によると、IP-PBXの設定不備や脆弱性を悪用し、第三者が企業になりすまして不正に国際通話を発信する事例が発生している。この結果、「かけた覚えのない国際通話などの通話料を請求される」といった被害が全国的に増加しているという。

 これらなりすまし通話の原因はいくつか考えられる。1つは、外部から社内IP-PBXを利用する際のパスワードや管理用のパスワードが破られてしまった場合だ。また、IP-PBXソフトウェアへのアクセス制御が適切に行われておらず、外部からも利用できる状態になっていたり、脆弱性が残った古いバージョンを利用している場合にも、不正な通話が行われる可能性がある。

 これを踏まえてTCAなどでは、

  • IP-PBXソフトウェアを最新のバージョンにアップデートする
  • 外部から不必要な接続を許可する設定になっていないかを確認し、不要な接続環境を削除する
  • 外部接続用/管理用パスワードについては、第三者が推測しにくいものを設定する

といった対策を取るほか、IP-PBXへのアクセスログを記録、保存し、不審なアクセスの有無をチェックするよう勧めている。もし、会社として国際通話を利用しない場合は、国際通話発信規制サービスの申し込みを行うのも1つの手という。特に、週末や連休中など、オフィス内が無人となる時間帯に被害が発生する傾向があることから、夏期休業前の確認を推奨している。

 なお、通信事業者やベンダでも相談に応じるが、あくまでIP-PBXなどの機器やソフトウェア、IP電話機器の設定/管理責任は、通信事業者やベンダではなく利用している顧客にあることにも触れ、「不正利用により損害が発生してしまった場合でも、通信事業者およびPBXなど機器メーカーでは一切の責任を負うことはできない」点に留意してほしいとしている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  2. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  5. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る