統合コミュニケーションインフラの防御を固める：盗聴、ヴィッシング、DoS攻撃、etc.

IP電話の盗聴、電話料金の不正請求――。VoIP、IM、メールなどのインフラを守るためには、何が脅威となるのかを把握し、それに対応するための基本的な技術を把握しておくことだ。

[John Burke，TechTarget]

　企業のIT・セキュリティ担当者は、VoIPと統合コミュニケーションシステム周辺の防御で苦労することが多い。CIOであれシステム管理者であれセキュリティエンジニアであれ、何が脅威となるのかを知り、それに対応するための基本的な技術を把握しておくことは大きな助けになる。ここではそのノウハウを紹介する。

　ます、技術について定義しておこう。統合コミュニケーションとは、音声、動画、テキスト通信などの多数のフォーマットを組み合わせたものだ。電話会議を含む電話式の音声トラフィック（VoIP）、インスタントメッセージング（IM）、電子メール（音声メッセージとFAXを組み合わせて統合メッセージを形成することもある）、デスクトップ間のビデオ会議、Web会議などがある。こうしたツールを使ったユーザー間のやりとりはすべて、個々のクライアントインタフェース（ブラウザ、電子メールクライアント、IMクライアントなど）の集合体を通じて管理することもできれば、単一のインタフェースであるリアルタイムコミュニケーションダッシュボード（RTCD）に全クライアントを集約させる方法もある。個々のIP電話はデスク上に物理的に存在するかもしれないし、しないかもしれない。今やデスクトップやノートPC、携帯端末上で電話の役割を果たすアプリケーションのソフトフォンのみを使っているユーザーも多い。

統合コミュニケーションの脅威

　音声および動画通信を一般のデータネットワークとデスクトップに統合した統合コミュニケーションのセキュリティは、エンタープライズデスクトップやデータネットワークと同程度に安全だ。だが、統合コミュニケーション特有の脅威と攻撃経路も幾つか存在するほか、統合コミュニケーションを狙った新しい手口もある。

　最も懸念されるのは盗聴、つまりVoIP、IMなどのトラフィックを無許可で傍受されることだ。統合コミュニケーションのエンドポイントは、デスクトップもノートPCもIP電話（実際の電話ではなく、特別のユーザーインタフェースを持ったコンピュータ）もすべてデータネットワークに接続されており、ネットワークのどこであれデータが流れる部分に不正アクセスされれば、傍受される恐れがある。さらに、ハード電話でもソフトフォンでも、いったん侵入されてしまえば、電話を取らなくてもカンファレンス機能や受話器、ヘッドセット、マイクを起動させることが可能になる。これにより、私的な会話をリモートから盗聴することが可能になり、本人が知らないうちにそれが起きていることも多い。このような形で不正侵入するのは簡単ではないが、セキュリティ攻撃の性質がアマチュアからプロへ、不特定多数相手から標的を絞ったものへと変化する中、今後こうした技術が開発され、誰でも対価を払えば入手できるようになるだろう。

　これと関連して電話料金の不正請求もある。サービスの盗難、特に長距離サービスの盗難により各国のIP通信事業者が被っている被害額は年間何億ドルにも上る。現在、統合コミュニケーションの音声・動画トラフィックは、SIP（Session Initiation Protocol）を使って通話をコントロールしているが、通話のための実際のメディアストリームは、そのコントロールのストリームとは別のものになる。従って、SIPを使って新手の料金詐欺を実行できる。攻撃者はSIPを利用して、コールマネージャがコントロールしている通話の種類について偽の情報を流すことが可能だ。例えばコールマネージャには音声のみの通話だと思わせておいて、実際には高精細ビデオのストリームを流し、実質的にシステム所有者から動画トラフィック分の高収益をだまし取る。

　統合コミュニケーションのセキュリティ不安の3番目は、フィッシングのVoIP版である「ヴィッシング」だ。攻撃を仕掛ける側はフィッシングの基本技術を新しいツールセットに適用し、偽の発信者番号通知などの通話情報を使って正規の企業や販売業者のITサポート、あるいは政府機関からかけているように装い、電話の相手に個人情報などを公開させる。

　サービス妨害（DoS）攻撃では、統合コミュニケーション分野に的を絞った新しいアプリケーションが存在する。従来型のテレフォニーでは実質的に知られていなかったが、現在では攻撃者が不正侵入でゾンビ化したPC部隊を武器に、電話を殺到させたりクラッシュさせることにより、デスクトップレベルの通信インフラ妨害を計画することが可能だ。あるいは、企業のVoIPシステムと外部をつなぐネットワークノードを攻撃することで、ゲートウェイレベルでも妨害が可能になる。さらに、SIPなどのプロトコルを使ってコールマネージャを直接攻撃し、有効だが不正なセッションリクエストを洪水のように送り付けてマネージャをクラッシュさせることもできる。

　統合コミュニケーションにとっての、もう1つの大きなセキュリティ問題はプラットフォーム攻撃だ。問題はもはや電子メールシステムやIMにとどまらず、攻撃者はサーバ、デスクトップ、携帯端末のアプリケーションをクラッシュさせたり、SIP、SIMPLEなどのプロトコル経由でIP電話を乗っ取ることができるようになっている。攻撃者はここから、隠れた情報収集活動や感染拡大、DoS、破壊活動などあらゆる攻撃を仕掛けることが可能になる。

統合コミュニケーションのセキュリティ

　統合コミュニケーションのセキュリティにまつわる問題は、サーバ、エンドポイント、ネットワークインフラにまでまたがるものであり、企業はあらゆるレベルの防御を講じる必要がある。防御は既に導入されていてしかるべきだが、統合コミュニケーションによって緊急性は一層高まる。

　電話はほかのネットワーク機器と同様のセキュリティを施す必要がある。使われていないサービス（例えば多くのIP電話はWebサーバが組み込まれている）は閉鎖し、使っていないポートは無効にし、デフォルトの管理パスワードは変更しておかなければならない。可能であれば、管理はすべて、認証され、暗号化された接続経由で行うのが望ましい。

　IP電話やデスクトップを相互から守るため、ネットワークに導入しておくべき最低限の戦略構成として、ファイアウォール、ルータのアクセスコントロールリスト、VLAN、ポートレベルのスイッチセキュリティ、認証されたネットワークアクセスが挙げられる。

　クライアントと統合コミュニケーションサーバの間を行き来するトラフィックでは、ホストおよびネットワークベースの不正侵入検知も重要だ。侵入防止システム（IPSes）は、強固にすれば、容認できないほどの遅れを生じさせることなく統合コミュニケーションを管理することができ、もう1つの鍵となる。特に大切なのは、SIPとSIMPLE専用のIPS、つまりプロキシサーバだ。これは統合コミュニケーションネットワークのパケットを内部まで深く調べ、送られている実際のデータをチェックして、フォーマットや長さが容認できるかどうかだけでなく、可能性分析の手法を用いて悪質な意図を持ったデータを見つけ出す。

　ファイアウォール、スパイウェア／ウイルス対策エージェントといった標準的なホストレベルのセキュリティ措置にも目を向ける必要がある。攻撃者は常に最も抵抗の少ない経路を探し出す。従って、ネットワークトラフィックを直接攻撃する代わりに、サーバやクライアント経由で統合コミュニケーションに不正侵入しても同じことだ。

　結局のところ、SIPプロキシやファイアウォールといった個々の技術は統合コミュニケーションのセキュリティの役には立つが、もっと大切なのは、統合コミュニケーションの導入を、会社全体のインフラセキュリティのためのよく練られたマルチレベル／マルチレイヤーの防御戦略を導入するきっかけとしてとらえることだ。

本稿筆者のジョン・バーク氏はNemertes Researchの主席リサーチアナリスト。IT業界で20年近い経験を持ち、エンドユーザーサポートスペシャリスト、プログラマー、システム管理者、データベーススペシャリスト、ネットワーク管理者、ネットワークアーキテクト、システムアーキテクトなどあらゆるレベルのIT業務を経験している。ジョンズ・ホプキンス大学、セントキャサリンカレッジ、セントトーマス大学にも勤務した。