これだけは知ってほしいVoIPセキュリティの基礎

これだけは知ってほしい

VoIP

セキュリティの基礎

2015年12月9日

IPTPC/OKI 千村 保文

1.

身の回りにあるセキュリティの脅威

2.

VoIPセキュリティ問題事例

3.

VoIPセキュリティ対策（技術編、運用編）

4.

IPTPCセキュリティデザイナ資格のご紹介

5.

将来展望：

VoIPセキュリティを知ることは、

IoTセキュリティに役立つ。

6.

まとめ

本日の目次

１．身の回りにある

セキュリティの脅威

第

_{1位 インターネットバンキングやクレジットカード情報の不正利用}

第

2位 内部不正による情報漏えい

第

_{3位 標的型攻撃による諜報活動}

第

4位 ウェブサービスへの不正ログイン

第

_{5位 ウェブサービスからの顧客情報の窃取}

第

6位 ハッカー集団によるサイバーテロ

第

7位 ウェブサイトの改ざん

第

_{8位 インターネット基盤技術の悪用}

第

9位 脆弱性公表に伴う攻撃

第

_{10位 悪意のあるスマートフォンアプリ}

情報セキュリティの１０大脅威

（

IPA発表：2015年版）

https://www.ipa.go.jp/security/vuln/10threats2015.html

２．

VoIPセキュリティ

問題事例

項目

説明

環境

個人事業主などの中小企業等が利用している

PBX

概要

保守用の

_{WebからPBXに侵入され、端末のID/PWが盗まれた。}

原因

保守のための回線を

つないだまま

にしており、

パスワードを初

期設定から変えていない

。

端末情報の漏洩

インターネット

PBX

WEB

サーバー

攻撃者

なりすまし

項目

説明

環境

通信事業者が提供する

_{PBXを導入する利用者}

概要

_{PBXに不正アクセスされ、SIPサーバのIDとパスワードが窃用}

された。

原因

利用者サポートとして、

_{Web上でSIPサーバのIDとパスワード}

の案内をしており、そこから

_{IDとパスワードが盗まれた。}

インターネット

IP-PBX

攻撃者

乗っ取り

項目

説明

環境

通信事業者の

IP電話サービスに加入し、インターネット回線

に直結している

_{IP電話システム}

概要

インターネット回線から

_{IP電話システム内のVoIP-GWに侵入し、}

国際発信に利用された。

原因

インターネット回線から内線端末をなりすまして発信し、通信

事業者を利用して国際発信した。

インターネット

攻撃者

事業者

SIPｻｰﾊﾞｰ

VoIP-GW

IP-PBX

盗聴

項目

説明

環境

公衆無線

LAN環境の下でIP電話を使用する利用者

概要

公衆無線

_{LANの下でIP電話した際、ID/パスワードや通話を}

盗聴された。

原因

・公衆無線

_{LANの暗号鍵設定がされていない、あるいは暗号}

鍵が公開されている。

・

_{IP電話のパスワードを初期設定のまま使っている}

インターネット

AP

３．

VoIPセキュリティ

対策

技術編

VoIPの仕組み

IPネットワーク

SIPサーバー

①登録

②発信

③着信

④通話



システム管理者のパスワード



システム管理者以外には公開しない。



定期的に変更する。



ユーザーのパスワード



初期値のままで使用しない。



定期的に変更する。



無線ＬＡＮのパスワード



壁に貼り出すなど、公開しない。



定期的に変更する。

パスワード管理上の注意事項

ＩＤ／ＰＷ



使用するポート以外は閉じておく。



ＳＩＰでは、ＵＤＰ５０６０番を使用します。



保守用のＷＥＢでは、８０番を使用します。



使用しないポートを開けておくと、ＦＴＰやＴＥＬＮＥＴな

どを介してシステム内に侵入される危険性があります。

ポート管理上の注意事項



システムのログは記録する。



ネットワーク・アクセス



システム・アクセス



システムのログは定期的に確認する。



通信事業者でＩＰ電話の通話記録（明細）取得が可能

な場合は取得する。



国際発信などの記録はないか？



普段、通話しない相手との記録はないか？など

ログ管理上の注意事項



国際電話など使用しないサービスは規制する。



ＰＢＸベンダや通信事業者に問合せ、国際電話の発信

を規制しておくことをお勧めします。

４．

IPTPCセキュリティ

デザイナ資格のご紹介

IPTPC技術者認定資格制度

安心・安全なテレフォニーシステム構築・提案に最適な資格。

IPTPCセキュリティデザイナ資格

５．将来展望：

VoIPセキュリティを

知ることは、



ＩｏＴシステムの特徴



ネットワークに常時接続しているデバイスを使用する。



センサーなど、画面や操作キーなどが付与されておらず、

パスワード設定などは外部から行う。



使用者にとって、これまでセキュリティ設定が必要であっ

たという意識が乏しい。



ＶｏＩＰのセキュリティは、ＩｏＴセキュリティを考える上で

先行事例となる。ＶｏＩＰセキュリティのわかるエンジニ

アを育てることは、将来のＩｏＴビジネスにとって重要。

IoTシステムにおける

セキュリティ課題



セキュリティの基礎は、PCもVoIPも同じ。



インターネットと接続する場合は、認証、パスワード管理、ポート管理

（

不要なポートは閉じておく

）が重要。特に、保守用回線は要注意。



_{無線LAN上を使う場合は、}

暗号化は必須

。

（

_{WEPのパスワードを壁に貼っておいては、セキュリティ対策にならない）}



IoTのデバイス、ゲートウェイもVoIPと同様に環境条件の確認が重要！



IoT時代のネットワークに関わる方に「IPTPCセキュリティデザイナ」は

最適な資格です！

本日のまとめ

1.

情報セキュリティ１０大脅威

_{2015年版（（独）情報処理推進機構）}

（

https://www.ipa.go.jp/security/vuln/10threats2015.html

）

2.

総務省研究会資料「なりすましによる

IP電話等の不正利用につい

て」（平成

_27年7月）

3.

SIPに係わる既知の脆弱性に関する調査報告書（IPネットワーク上

のマルチメディアコミュニケーション・システムのセキュリティ品質

向上のために）（

_{2010年9月、（独）情報処理推進機構セキュリティ}

センター）

4.

ボイスオーバー

IP（VoIP）アプリケーションのプロテクションプロファ

イル（

2013年10月21日、（独）情報処理推進機構セキュリティセン

ター）

5.

IPTPCセキュリティデザイナ・テキスト（第4版）

6.

「ＩｏＴに対するセキュリティの考察」（日本ＩＢＭ

ＰｒｏＶＩＳＩＯＮ８１）

参考文献

ご清聴、ありがとうございました。

IP電話普及推進センタ

（

IPTPC）を今後もよろしく