IPTPC セミナ 2015 資料 これだけは知ってほしい VoIP セキュリティの基礎 2015 年 12 月 9 日 IPTPC/OKI 千村保文 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 1
本日の目次 1. 身の回りにあるセキュリティの脅威 2. VoIP セキュリティ問題事例 3. VoIP セキュリティ対策 ( 技術編 運用編 ) 4. IPTPC セキュリティデザイナ資格のご紹介 5. 将来展望 :VoIP セキュリティを知ることは IoT セキュリティに役立つ 6. まとめ @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 2
1. 身の回りにある セキュリティの脅威 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 3
情報セキュリティの 10 大脅威 (IPA 発表 :2015 年版 ) 第 1 位インターネットバンキングやクレジットカード情報の不正利用第 2 位内部不正による情報漏えい第 3 位標的型攻撃による諜報活動第 4 位ウェブサービスへの不正ログイン第 5 位ウェブサービスからの顧客情報の窃取第 6 位ハッカー集団によるサイバーテロ第 7 位ウェブサイトの改ざん第 8 位インターネット基盤技術の悪用第 9 位脆弱性公表に伴う攻撃第 10 位悪意のあるスマートフォンアプリ https://www.ipa.go.jp/security/vuln/10threats2015.html @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 4
2.VoIP セキュリティ 問題事例 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 5
端末情報の漏洩 環境 概要 項目 説明個人事業主などの中小企業等が利用しているPBX 保守用のWebからPBXに侵入され 端末のID/PWが盗まれた PBX インターネット WEB サーバー 攻撃者 原因 保守のための回線をつないだままにしており パスワードを初期設定から変えていない @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 6
なりすまし 環境 概要 項目 説明通信事業者が提供するPBXを導入する利用者 PBXに不正アクセスされ SIPサーバのIDとパスワードが窃用された IP-PBX インターネット 攻撃者 原因 利用者サポートとして Web 上で SIP サーバの ID とパスワードの案内をしており そこから ID とパスワードが盗まれた @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 7
乗っ取り 環境 概要 項目 説明 通信事業者の IP 電話サービスに加入し インターネット回線に直結している IP 電話システム インターネット回線からIP 電話システム内のVoIP-GWに侵入し 国際発信に利用された 事業者 VoIP-GW SIPサーハ ー IP-PBX インターネット 攻撃者 原因 インターネット回線から内線端末をなりすまして発信し 通信事業者を利用して国際発信した @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 8
盗聴 環境 概要 項目 説明 公衆無線 LAN 環境の下で IP 電話を使用する利用者 公衆無線 LAN の下で IP 電話した際 ID/ パスワードや通話を盗聴された AP インターネット 原因 公衆無線 LAN の暗号鍵設定がされていない あるいは暗号鍵が公開されている IP 電話のパスワードを初期設定のまま使っている @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 9
3.VoIP セキュリティ 対策 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 10
技術編 IPTPC セキュリティデザイナテキストより @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 11
VoIP の仕組み SIP サーバー 1 登録 2 発信 IP ネットワーク 4 通話 3 着信 IP 電話端末 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 12 IP 電話端末
VoIP セキュリティの脆弱性 出典 :SIP に係わる既知の脆弱性に関する調査報告書 (IPA) @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 13
攻撃対象の調査手法 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 14
認証 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 15
暗号化 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 16
ネットワークでの暗号化 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 17
ファイアウオール @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 18
NAT 問題 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 19
NAT 問題の対策方法 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 20
運用編 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 21
パスワード管理上の注意事項 システム管理者のパスワード システム管理者以外には公開しない 定期的に変更する ユーザーのパスワード 初期値のままで使用しない 定期的に変更する 無線 LAN のパスワード 壁に貼り出すなど 公開しない 定期的に変更する ID/PW @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 22
ポート管理上の注意事項 使用するポート以外は閉じておく SIP では UDP5060 番を使用します 保守用の WEB では 80 番を使用します 使用しないポートを開けておくと FTP や TELNET などを介してシステム内に侵入される危険性があります @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 23
ログ管理上の注意事項 システムのログは記録する ネットワーク アクセス システム アクセス システムのログは定期的に確認する 通信事業者で IP 電話の通話記録 ( 明細 ) 取得が可能な場合は取得する 国際発信などの記録はないか? 普段 通話しない相手との記録はないか? など @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 24
通話制限 国際電話など使用しないサービスは規制する PBX ベンダや通信事業者に問合せ 国際電話の発信を規制しておくことをお勧めします @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 25
4.IPTPC セキュリティ デザイナ資格のご紹介 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 26
IPTPC 技術者認定資格制度 リニューアル @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 27
IPTPC セキュリティデザイナ資格 安心 安全なテレフォニーシステム構築 提案に最適な資格 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 28
5. 将来展望 :VoIP セキュリティを 知ることは IoT セキュリティに役立つ @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 29
IoT システムにおける セキュリティ課題 IoT システムの特徴 ネットワークに常時接続しているデバイスを使用する センサーなど 画面や操作キーなどが付与されておらず パスワード設定などは外部から行う 使用者にとって これまでセキュリティ設定が必要であったという意識が乏しい VoIP のセキュリティは IoT セキュリティを考える上で先行事例となる VoIP セキュリティのわかるエンジニアを育てることは 将来の IoT ビジネスにとって重要 @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 30
まとめ @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 31
本日のまとめ セキュリティの基礎は PC も VoIP も同じ インターネットと接続する場合は 認証 パスワード管理 ポート管理 ( 不要なポートは閉じておく ) が重要 特に 保守用回線は要注意 無線 LAN 上を使う場合は 暗号化は必須 (WEP のパスワードを壁に貼っておいては セキュリティ対策にならない ) IoT のデバイス ゲートウェイも VoIP と同様に環境条件の確認が重要! IoT 時代のネットワークに関わる方に IPTPC セキュリティデザイナ は最適な資格です! @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 32
参考文献 1. 情報セキュリティ10 大脅威 2015 年版 (( 独 ) 情報処理推進機構 ) (https://www.ipa.go.jp/security/vuln/10threats2015.html) 2. 総務省研究会資料 なりすましによるIP 電話等の不正利用について ( 平成 27 年 7 月 ) 3. SIPに係わる既知の脆弱性に関する調査報告書 (IPネットワーク上 のマルチメディアコミュニケーション システムのセキュリティ品質向上のために )(2010 年 9 月 ( 独 ) 情報処理推進機構セキュリティセンター ) 4. ボイスオーバー IP(VoIP) アプリケーションのプロテクションプロファイル (2013 年 10 月 21 日 ( 独 ) 情報処理推進機構セキュリティセンター ) 5. IPTPCセキュリティデザイナ テキスト ( 第 4 版 ) 6. IoTに対するセキュリティの考察 ( 日本 IBM ProVISION81) @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 33
ご清聴 ありがとうございました IP 電話普及推進センタ (IPTPC) を今後もよろしくお願いいたします @IPTPC Copy Right Reserved, OKI Electric Industry Co., Ltd 34