これだけは知ってほしいVoIPセキュリティの基礎

2015年12月9日 IPTPC/OKI 千村 保文

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 1

IPTPCセミナ2015資料

1. 身の回りにあるセキュリティの脅威 2. VoIPセキュリティ問題事例 3. VoIPセキュリティ対策（技術編、運用編） 4. IPTPCセキュリティデザイナ資格のご紹介 5. 将来展望：VoIPセキュリティを知ることは、

IoTセキュリティに役立つ。 6. まとめ

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 2

本日の目次

１．身の回りにある セキュリティの脅威

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 3

第1位 インターネットバンキングやクレジットカード情報の不正利用 第2位 内部不正による情報漏えい 第3位 標的型攻撃による諜報活動 第4位 ウェブサービスへの不正ログイン 第5位 ウェブサービスからの顧客情報の窃取 第6位 ハッカー集団によるサイバーテロ 第7位 ウェブサイトの改ざん 第8位 インターネット基盤技術の悪用 第9位 脆弱性公表に伴う攻撃 第10位 悪意のあるスマートフォンアプリ

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 4

情報セキュリティの１０大脅威 （IPA発表：2015年版）

https://www.ipa.go.jp/security/vuln/10threats2015.html

２．VoIPセキュリティ 問題事例

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 5

項目 説明

環境 個人事業主などの中小企業等が利用しているPBX

概要 保守用のWebからPBXに侵入され、端末のID/PWが盗まれた。

原因 保守のための回線をつないだままにしており、パスワードを初期設定から変えていない。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 6

端末情報の漏洩

インターネット PBX

WEB サーバー

攻撃者

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 7

なりすまし

項目 説明

環境 通信事業者が提供するPBXを導入する利用者

概要 PBXに不正アクセスされ、SIPサーバのIDとパスワードが窃用された。

原因 利用者サポートとして、Web上でSIPサーバのIDとパスワードの案内をしており、そこからIDとパスワードが盗まれた。

インターネット

IP-PBX

攻撃者

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 8

乗っ取り

項目 説明

環境 通信事業者のIP電話サービスに加入し、インターネット回線に直結しているIP電話システム

概要 インターネット回線からIP電話システム内のVoIP-GWに侵入し、国際発信に利用された。

原因 インターネット回線から内線端末をなりすまして発信し、通信事業者を利用して国際発信した。

インターネット 攻撃者

事業者 SIPｻｰﾊﾞｰ VoIP-GW

IP-PBX

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 9

盗聴

項目 説明

環境 公衆無線LAN環境の下でIP電話を使用する利用者

概要 公衆無線LANの下でIP電話した際、ID/パスワードや通話を盗聴された。

原因 ・公衆無線LANの暗号鍵設定がされていない、あるいは暗号鍵が公開されている。 ・IP電話のパスワードを初期設定のまま使っている

インターネット

AP

３．VoIPセキュリティ 対策

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 10

技術編 IPTPCセキュリティデザイナテキストより

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 11

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 12

VoIPの仕組み

IPネットワーク

SIPサーバー

IP電話端末 IP電話端末

①登録

②発信 ③着信 ④通話

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 13

VoIPセキュリティの脆弱性

出典：SIPに係わる既知の脆弱性に関する調査報告書（ＩＰＡ）

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 14

攻撃対象の調査手法

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 15

認証

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 16

暗号化

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 17

ネットワークでの暗号化

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 18

ファイアウオール

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 19

NAT問題

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 20

NAT問題の対策方法

運用編

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 21

システム管理者のパスワード システム管理者以外には公開しない。 定期的に変更する。

ユーザーのパスワード 初期値のままで使用しない。 定期的に変更する。

無線ＬＡＮのパスワード 壁に貼り出すなど、公開しない。 定期的に変更する。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 22

パスワード管理上の注意事項

ＩＤ／ＰＷ

使用するポート以外は閉じておく。 ＳＩＰでは、ＵＤＰ５０６０番を使用します。 保守用のＷＥＢでは、８０番を使用します。

使用しないポートを開けておくと、ＦＴＰやＴＥＬＮＥＴなどを介してシステム内に侵入される危険性があります。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 23

ポート管理上の注意事項

システムのログは記録する。 ネットワーク・アクセス システム・アクセス

システムのログは定期的に確認する。 通信事業者でＩＰ電話の通話記録（明細）取得が可能な場合は取得する。 国際発信などの記録はないか？ 普段、通話しない相手との記録はないか？など

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 24

ログ管理上の注意事項

国際電話など使用しないサービスは規制する。 ＰＢＸベンダや通信事業者に問合せ、国際電話の発信 を規制しておくことをお勧めします。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 25

通話制限

４．IPTPCセキュリティ デザイナ資格のご紹介

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 26

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 27

IPTPC技術者認定資格制度

ﾘﾆｭｰｱﾙ

安心・安全なテレフォニーシステム構築・提案に最適な資格。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 28

IPTPCセキュリティデザイナ資格

５．将来展望：VoIPセキュリティを 知ることは、

IoTセキュリティに役立つ。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 29

ＩｏＴシステムの特徴 ネットワークに常時接続しているデバイスを使用する。 センサーなど、画面や操作キーなどが付与されておらず、パスワード設定などは外部から行う。

使用者にとって、これまでセキュリティ設定が必要であったという意識が乏しい。

ＶｏＩＰのセキュリティは、ＩｏＴセキュリティを考える上で先行事例となる。ＶｏＩＰセキュリティのわかるエンジニアを育てることは、将来のＩｏＴビジネスにとって重要。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 30

IoTシステムにおける セキュリティ課題

まとめ

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 31

セキュリティの基礎は、PCもVoIPも同じ。 インターネットと接続する場合は、認証、パスワード管理、ポート管理

（不要なポートは閉じておく）が重要。特に、保守用回線は要注意。 無線LAN上を使う場合は、暗号化は必須。

（WEPのパスワードを壁に貼っておいては、セキュリティ対策にならない） IoTのデバイス、ゲートウェイもVoIPと同様に環境条件の確認が重要！ IoT時代のネットワークに関わる方に「IPTPCセキュリティデザイナ」は

最適な資格です！

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 32

本日のまとめ

1. 情報セキュリティ１０大脅威2015年版（（独）情報処理推進機構）（https://www.ipa.go.jp/security/vuln/10threats2015.html）

2. 総務省研究会資料「なりすましによるIP電話等の不正利用について」（平成27年7月）

3. SIPに係わる既知の脆弱性に関する調査報告書（IPネットワーク上のマルチメディアコミュニケーション・システムのセキュリティ品質向上のために）（2010年9月、（独）情報処理推進機構セキュリティセンター）

4. ボイスオーバーIP（VoIP）アプリケーションのプロテクションプロファイル（2013年10月21日、（独）情報処理推進機構セキュリティセンター）

5. IPTPCセキュリティデザイナ・テキスト（第4版） 6. 「ＩｏＴに対するセキュリティの考察」（日本ＩＢＭ ＰｒｏＶＩＳＩＯＮ８１）

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 33

参考文献

ご清聴、ありがとうございました。 IP電話普及推進センタ（IPTPC）を今後もよろしく

お願いいたします。

2015/12/9 ＠IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 34