DoS、盗聴、スパムにボット……PCと変わらぬVoIPの脅威：Interop Tokyo 2007

6月14日に行われたInterop Tokyo 2007のカンファレンス「VoIPセキュリティ」では、IP電話を取り巻くさまざまな脅威とそれらに対する対策が紹介された。

[ITmedia]

　「VoIPはまだ成長途中の技術。100％完璧な対策はないけれど、対策できない問題もない」――6月14日に行われたInterop Tokyo 2007のカンファレンス「VoIPセキュリティ」の中で、NTT情報流通プラットフォーム研究所のエリック・Y・チェン氏はこのように述べた。

　エリック氏はカンファレンスの中で、VoIP／IP電話を取り巻くさまざまな脅威と対策について解説した。IPという技術をベースにしている以上、VoIPにもPCをはじめとするほかのIP端末と同種の脅威が存在する。さらにSIP特有の問題もいくつか指摘されており、攻撃ツールも既に60種類を越えているという。

GoogleでIP電話攻撃の下調べ？

　チェン氏によると、VoIPを狙う攻撃は通常のネットワーク攻撃と同様に、攻撃前の情報収集に当たる「フットプリンティング」と実際の「攻撃」に大別される。

　フットプリンティングとは、対象を絞り込み、有効に攻撃を仕掛けるための下調べ作業だ。VoIPの場合は、「ワン切り」と同じように次々に電話をかけて有効な番号リストを作る「ナンバースキャニング」や、SIPサーバにさまざまなリクエストを投げ、その応答から有効な番号を絞り込む「SIPスキャニング」といった手法があるという。ただいずれも、サービスプロバイダー側できちんと監視し、SIPサーバのログを確認していれば検知可能だ。

　興味深い方法としては、IP電話機の中に搭載されているWebサーバを狙う手口がある。こうしたWebサーバは、管理用のWebベースのインタフェースを提供するために組み込まれているものだが、そのままの設定で不用意にインターネットに接続すると「Googleなどで検索され、設定画面にアクセスしてさまざまな情報を盗み見られる可能性がある」とチェン氏は指摘した。

　IP電話製品に付属するマニュアルでは一般に、「インターネットに接続する（グローバルIPアドレスを割り振る）際には、Webベースの管理インタフェースを有効にしておくことは推奨できない」と記述されているという。しかしその通りに設定を変更しておかなければ、設定ファイルやさらにはID、パスワードといった情報を盗み取られる恐れがあるというわけだ。

　同氏はこの手のフットプリンティング対策として、「製品のガイドラインに従って設置すること」「Webサーバが内蔵されていることなどを認識し、PC端末と同等のセキュリティ対策を施すこと」「インターネットに接続する必要がある場合はWebサーバを無効にすること」といった項目を挙げた。また、検索エンジンを用いて定期的にチェックし、自社の機器の設定が露出していないかを確認することも有効という。

DoS、盗聴、スパムにボット

　実際の攻撃としては、まず「Flooding攻撃」が挙げられる。大量のパケットを送りつけてターゲットを麻痺させる、いわゆるDoS攻撃の一種だ。これも、IPやTCPなどさまざまなレイヤで実行可能な手法だが、VoIPに特有のFlooding攻撃もあるという。

　具体的には、VoIPの呼制御のためのシグナリングパケットや実際の通話に当たるRTPパケットを大量に投げつけることで、サーバや端末を麻痺させるもの。こうなると受話器を取っても「プププ……」という音がするだけで、まるで故障してしまったようになるという。

　これに対しNTTでは、DoS攻撃防止システムの「Moving Firewall」に加え、SIPをターゲットとしたDoS攻撃からの防御に特化した「SIP Guard」を開発しているという。

　ほかに、通常とは異なる形式のパケットを送りつけてターゲットをクラッシュさせ、再起動させるまで利用できなくする「Fuzzing攻撃」、各ベンダーの実装段階で出てくる「脆弱性」（いわゆるセキュリティホール）などが挙げられるという。

　またIP電話では、従来型の電話に比べ、比較的「盗聴」の脅威が高いとされている。「従来の電話では物理的に施設に忍び込む必要があったため、ハードルが高かった。これに対しIP電話では、ルータなどにさえアクセスできれば、あとはSIPは平文だし、RTPもツールを使えば簡単に読み取れる」とチェン氏。また、アナログ式の音声暗号化技術もあるが、IP電話ではノイズを除いて本来の音声を取り出せるため、効果が薄いとも言う。

　したがって盗聴に対しては、物理的なセキュリティ対策の強化のほか、ホテルなど不特定多数が利用すると思われる場所では重要な通話を行わないよう心がけることなどが挙げられる。また、ネットワーク暗号化技術も有効だ。シグナリングの部分についてはIPSecやTLSといった既存の暗号化技術が利用できるほか、音声伝送はSecure RTP（SRTP）で暗号化可能だ。ただ、鍵交換の部分については現在「DRLS-SRTP」と「ZRTP」という2つの方式が提案されており、議論中だという。

　チェン氏はさらに、今後予想される脅威として、「SPIT」と「SIPBOT」を挙げた。

　SPIT（SPAM over IP Telephony）とは文字通り、VoIP版のスパムだ。「これが将来問題になると思う理由はいくつかある。まず発信コストがフラットなこと、SIPスタックを用いて容易に発信を行えること、また音声なのでフィルタリングが難しく、宛先の番号もフットプリンティングで容易に入手できることなどだ」（同氏）。この問題に対する議論はいまIETFなどで進められている。

　またSIPBOTは、名称の通り「SIPをしゃべることができるボット」のこと。先日報告されたSIPBOTは、まだコンセプト実証段階のものというが、「もしこうしたものが流行ってしまえば、（感染した）正規ユーザーの端末から攻撃が仕掛けられる可能性がある」という。

　チェン氏は、まだそれぞれの攻撃に対する完璧な対策はないが、対策がまったくできない脅威も存在しないとし、ベンダーには「正しい実装」を、プロバイダーには「攻撃手法の把握と防御技術の導入」を、そしてユーザーには「脅威を認識し、クライアント側の対策技術を導入するとともに、タイムリーなアップデート」を求めた。

端末側での対策を

　チェン氏の前に講演を行ったフュージョン・コミュニケーションズの可知純夫氏によると、これまで約6年にわたってIP電話サービスを提供してきたが、FloodingやSPITなどの攻撃は「それほど多くはないけれど、あることはある」という。ただし、同社側で網を監視し、異常トラフィックを検知すればそれを止めることを約款の中に明記しておくことで対処できているとした。

　可知氏氏はまた、「端末側のセキュリティは取り残されがち」と指摘。事業者の閉域網と端末をつなぐアクセスの部分、具体的には無線LANなどを利用している場合は注意が必要だし、インターネットに端末のグローバルIPアドレスをさらしている場合も、DoS攻撃などに対する注意が特に必要だとした。

　同氏は、従来からの「接続性の確保」に加え、悪意ある通話の妨害やSPITなどの攻撃への対応が通信事業者の責務となる一方で、ユーザー側の設備のセキュリティはユーザー側の自己責任であるとし、その上で端末側でも対策を取ってほしいと呼び掛けた。

　「ネットワークのオープン化をどんどん進めようとすると、セキュリティホールも増えるし、考えなければいけない要因も増える」としながらも、セキュリティとオープン化のバランスを取りながら取り組みを進めていきたいと同氏は述べている。

　また、セキュリティを構成する「CIA」の3要素のうち、障害多発などで注目を浴びている「A（可用性）」については、「最初は不安だったが、思ったほど影響は少ない」と可知氏。IP電話サービスの故障がたびたび報じられているが「フュージョンではIPを使って過去6年にわたってサービスを提供してきたが、IPという技術そのものに欠陥があるとは思えない。今は、加入者の急増などを背景に過渡的な状況で起こっている問題だと思うので、時間が経ち、運用がこなれてくれば必ずや解決されると思う」と述べている。