JPCERTコーディネーションセンター(JPCERT/CC)は12月9日、SIP(Session Initiation Protocol)サーバとして機能する、オープンソースのIP-PBXソフト「Asterisk」を不適切な設定で利用した場合に発生しうる不正利用について注意喚起を発表した。
JPCERT/CCでは、セキュリティ対策が不十分な状態でAsteriskを利用していたことで、第三者によって意図しない国際通話を行われてしまうといった不正利用被害を受けた事例を確認しているという。攻撃者は、SIPの通信で使用される5060/udpパケットをネットの広い範囲に送信し、応答したSIPサーバに対してIP電話の発信に必要なIDとパスワードを特定するための総当たりアタックを行っていると思われるとしている。
攻撃者はその後、特定したIDとパスワードを使用して海外へ不正に発信する。このため、IP-PBXのセキュリティ対策に不備があった場合、運用中のIP-PBXが攻撃者に不正に使用され、後日国際通話料が請求される可能性があるという。
JPCERT/CCでは、運用するAsteriskを外部から不正に使用されないための対策として「必要がなければ、Asteriskをネットに公開しない」「ゲストユーザー(未設定番号)による発信を拒否する」「総当たりアタックに対する対策を行う」などを紹介している。
