電話も攻撃対象――セキュアなVoIP導入のためのノウハウ：スパムや盗聴から会社を守るために

VoIPは電話料金を抑える手段として魅力的に思える。だが、音声をデータと同じネットワークに乗せることで攻撃やハッキングの標的ともなり得る。

≫ 2009年12月11日 07時30分公開

[Michael Cobb，TechTarget]

　厳しい経済状況が続く中、VoIP（Voice over IP）は電話料金を抑える手段として非常に魅力的に思える。しかし拙速に飛び付く前に、セキュリティとコストに与える影響を考慮する必要がある。

　VoIPはデータやインターネットのトラフィックが流れるのと同じネットワークに通信を移すもので、ネットワーク情報データパケットと同様、VoIPトラフィックも攻撃やハッキング、盗聴、ルート改ざん、劣化の対象となり得る。電話機はネットワーク上で保護が必要なノードの1つとなる。

　スパム業者もVoIPに注目している。スパム送信の上でもVoIPはコスト効率が良いからだ。電子メールでは今やほとんどのユーザーがスパムフィルタを導入しているため、インターネット電話スパム（Spam Over Internet Telephony＝SPIT）は電子メールスパムよりも成功率が高い。スパムフィルタをかいくぐったスパムメールは、送信者名と件名を見ただけで大抵は開かれることなく削除されるが、SPITの場合はリアルタイムの音声が使われるため、フィルタで遮断することは極めて難しい。かかってきた電話の一部を聞かない限り、それがスパムかどうかは判断できない。

準備すべきこと

　経営者やIT管理者は、音声とデータ、映像のトラフィックを同一のネットワークに乗せることに伴うセキュリティ問題を認識し、ネットワークの複雑性とトラフィックの致命性が増すことに対処できるようになっておく必要がある。まずは、VoIPの制御に使われるSIP（Session Initiation Protocol）および国際電気通信連合（ITU）の音声プロトコルH.323に、ネットワークインフラを対応させる必要がある。既存のセキュリティ対策が損なわれないよう、暗号化、リアルタイムの検出・監視、定期的な監査を導入しなければならない。

　ネットワーク構成の変更に関しては、デバイス認証用に強制アクセスベース制御を利用する必要があるかもしれない。また、管理対象となるデバイスへのアクセスを制限するため、IP許可リストと静的IPアドレスの割り当ても必要かもしれない。VoIPのユーザーすべてに厳格なネットワーク認証とパスワードポリシーを強制し、VoIPトラフィックはすべて暗号化し、可能な限りVPN（仮想プライベートネットワーク）経由で転送する必要がある。

　VoIPアプリケーションを実行しているネットワーク、OS、Webサーバといった既存インフラの脆弱性を、VoIPが受け継ぐ可能性もある。インフラ装置はすべて強化し、高性能のものにする必要がある。さもないと、VoIPのサービス品質（QoS）に影響が及びかねない。ユーザーは当然のこととして、VoIPサービスは必要なときに使えるものと思っている。従って、ダウンタイムを最小限に抑えるため、メンテナンス枠は極めて慎重に計画しなければならない。ご承知の通り、ネットワークトラフィックの重要性が高まれば、システム管理の重要性も高まるのだ。

必要な機能

　VoIPアプリケーションは相当の帯域幅を消費することがあり、ほかのプロトコル利用に支障が出ることもあるので、トラフィックの重要度に優先順位を付けたり、重要度が低いトラフィックに制限をかけたりできる機能を持ったVoIP製品を選ぶことが大切だ。集中管理システムを備えた製品の一例として、Stonesoftのアプライアンス「StoneGate Firewall/VPN」では、帯域管理によって、重要なトラフィックは常に業務に無関係なトラフィックよりも優先される。プロトコル検証と誤用検知機能も、悪質なトラフィックから通信を守る一助となる。

　別々の保護されたネットワーク間でやりとりされるVoIP通話の管理には、セッションボーダーコントローラー（SBC）も利用できる。SBCはファイアウォールの機能を持たせたり、ネットワークアドレス変換（NAT）を実行することができる。SBCの主な機能にはネットワークトポロジを隠す役割も含まれ、これによってネットワークの設定情報や通話のルーティング経路を見つけられるのを防止できる。

　SIPプロキシなどVoIPサーバの大部分は、エンドポイントからサーバにアクセスして通話をリクエストできるよう、外部ネットワークに対して開かれている。この仕組みはすなわち、サービスネットワークの接続形態が部分的に見えてしまい、脆弱になることを意味する。SBCでは中核的なネットワークをカプセル化し、外部ネットワーク用に単一の論理インタフェースを提供する。また、セキュアなトラフィックを許可し、不審なトラフィックには制限をかけ、セキュアでないトラフィックを拒否することによってサービス妨害（DoS）攻撃から身を守る。過剰負荷防止も同様の役割を果たす。

　ネットワークの帯域幅は固定されているため、これらはいずれも重大な責任を担っている。回路交換方式の公衆電話網ならサービス品質が保証されているのに対し、VoIPではネットワークが潜在的に、回線の混雑、DoS攻撃、不正メッセージ、サービス品質悪用などに対して脆弱になる。

　VoIPデータの傍受と情報の改ざんは、特に内部の攻撃者が「Wireshark」のようなパケットスニファーを使った場合、従来型の電話回線の不正利用に比べてはるかに容易だ。Wiresharkは無償で入手でき、これを使えばネットワークパケットを傍受し、改ざんできてしまう可能性もある（通信を傍受する別の手段として、レイヤー2スイッチなどのアクセスデバイスをハッキングし、データを攻撃者側に転送させるやり方もある。ネットワークデバイスへの物理的アクセスをすべて厳格に管理・監視する必要があるのはそのためだ）。パケットスニファー攻撃の脅威に対抗するため、メディア系のパケットはすべて暗号化するといい。

　セキュアなVoIP電話ソフト製品の「Zfone」ではインターネット経由で暗号化された通話ができる。主席設計者はPGPの作成者、フィル・ジマーマン氏だ。この製品はZRTPという新しいプロトコルを使い、ソフトVoIPクライアントのプラグインとして提供されており、実質的にVoIPクライアントでセキュアな通話ができるようになる。ZRTPプロトコルは標準仕様案としてIETFに提出されており、ソースコードも公開されている。

　最後に、VoIP電話は大抵が電力を使っているのに対し、従来型の固定アナログ電話は直流給電の電話会社の電話線に直接接続されている。従ってVoIPは停電が起きれば使えなくなるため、もしVoIPが組織にとってミッションクリティカルなサービスとなるなら、代替電力も検討する必要がある。

本稿筆者のマイケル・コッブ氏は、データセキュリティ・分析関連のトレーニングやサポートを提供するITコンサルティング会社Cobweb Applicationsの創業者。CISSP-ISSAP（公認情報システムセキュリティプロフェッショナル―情報システムセキュリティアーキテクチャプロフェッショナル）の資格を持つ。