電話を使ううえでのセキュリティの話になると、最も多く耳にする懸念はプライバシーに関するものである。前回の記事「盗聴からVoIPを守れ!敵を知ることがその第一歩」ではVoIP通話の盗聴について取り上げた。しかし、VoIPを利用する際に直面するセキュリティ上のリスクは盗聴だけはないし、さらに深刻なリスクとなる問題もある。
VoIPを攻撃する側は、実際の音声を保持するメディアプロトコルのパケットを傍受するだけではなく、コールシグナリングプロトコルや土台となっているネットワークプロトコル(つまりTCP/IP)も攻撃の対象とする。攻撃者は、通話品質を低下させたり、場合によってはVoIP機器やネットワークを機能停止に追い込んだりする。今回は、こういった攻撃のいくつかを取り上げるとともに、それらに対してVoIPが脆弱である原因と防護策を紹介している。
DoS(Denial-of-Service)攻撃
VoIPネットワークのネットワーク層とトランスポート層は、攻撃者がデータネットワークを機能停止に追い込むDoS攻撃と同種の攻撃に対して脆弱である。ネットワークやIP利用機器(それがコンピュータであるかVoIP電話機であるかにかかわらず)を停止させる典型的な手法は、ターゲットが処理しきれないほどのパケットを大量に送信し、停止に追い込む(あるいは、少なくともパフォーマンスを大幅に低下させる)というものだ。
フラッド攻撃と論理攻撃
TCP SYN(同期)フラッド攻撃は、TCPの接続処理(3ウェイハンドシェイク)の仕組みを悪用している。新たな接続の開始を要求するSYNパケットを、標的とするシステムに過負荷をもたらすほど大量かつ頻繁に(通常はIPアドレスを詐称して)送信することで、接続待ち行列テーブルをいっぱいにし、新たに正規の接続要求が来ても無視されるようにするのだ。
偽のIPアドレスからACK(確認応答)が返ってくることはないため、ハンドシェイク処理が完了せず、そのリクエストはタイムアウトするまで待ち行列に残り続けることになる。この問題は、待ち行列の長さやタイムアウト設定を調整したり、状態監視の可能なファイアウォールを使用したり、こういった攻撃を監視する侵入検知システム(IDS)を使用したりすることで緩和できる。
よりVoIPに特化した攻撃として、SIP INVITEパケットやREGISTERパケットなどのVoIPプロトコルのパケットを用いて、VoIP機器に対して同種のフラッド攻撃を行う手法がある。こういった攻撃はネットワーク階層のより上位レベルに対して仕掛けるものであるため、問題を引き起こすために必要なパケットの数が少なくてすむ。
さらに、脆弱なプロトコルはSIPだけではない。IAX2(Inter-Asterisk eXchangeバージョン2)プロトコルも、通話リクエストを利用したフラッド攻撃に対して脆弱なことがわかっている。
ネットワークコミュニケーションを妨害するもう1つの方法として、論理攻撃がある。サービスを妨害するために膨大な数のパケットが使用されるフラッド攻撃とはちがって、論理攻撃では、順番が異なっていたり形式が不正であったりする何らかの無効なパケットが使用される。
フラッド攻撃の場合と同様、論理攻撃はネットワークプロトコル(TCP/IP)や、より上位層のVoIPプロトコルを対象とする。例えば、論理攻撃は無効または不完全なフィールドが含まれるパケットを送信することで、SIPシグナリングプロトコルの脆弱性を突くものだ。ハッカー向けのウェブサイトでは、高度な技術知識がなくても使用することのできる、InviteFloodやIAXFloodといったツールが公開されている。
VoIPプロトコルを利用したフラッド攻撃や論理攻撃からVoIPを守るには、SIPに対応し、不正なSIPメッセージを検出できるファイアウォールやプロキシが必要となる。また、プロトコルの弱点を検出するために「ファジング」すなわち機能プロトコルテストを用いた後、検出された弱点に対処するための策を講じることもできる。
メッセージインジェクション
VoIP通話を攻撃するためにハッカーが使うもう1つの方法として、偽のメッセージを通話のシグナリングチャネルに差し込んで(つまりインジェクションすることにより)攻撃するというものがある。偽のコールテアダウン(コールティアダウンと表記されることもある)メッセージを用いたDoS攻撃はその一方法である。攻撃者は、「コールテアダウン」メッセージ--例えば、SIPのBYEメッセージやIAXのHANGUPメッセージ--を用いることで、いつでも通話を切断することができる。
インジェクション攻撃への対策は、シグナリングチャネルの傍受を防ぐためにプロトコルを暗号化し、すべてのパケットを認証することである。この手の攻撃においても、ハッカーは自らその手法を理解している必要はない--sip-killといったツールをダウンロードして使用することができるのだ。
筆者Debra Littlejohn Shinderについて
Windows Server SecurityのMicrosoft Most Valuable Professional(MVP)として、多数の書籍や技術文書などの執筆、編集作業に力を入れながら、テクノロジーコンサルタント、トレーナーとしても活動する。警察官、警察学校のインストラクターとして活躍した経験を持つ。専門はMicrosoft製品とセキュリティ。
関連情報
-
PKIとZfone、VoIPセキュリティの本命はどっち?それとも第三の候補があるのか?
VoIPの普及とともにセキュリティ上の課題も大きくなっている。今回は、VoIPの認証と通信内容の保護に注目してセキュリティテクノロジを比較してみよう。 - 盗聴からVoIPを守れ!敵を知ることがその第一歩
- セキュリティ専門家、「iPhone」実証コード2件を発表--設計に深刻な問題と指摘
- NECなど、盗聴困難なインターネット音声通信を開発--秘密分散共有を応用 [From CNET Japan]
- ソフトイーサ、リモートアクセスソフト「Desktop VPN」ベータ版公開
「通信」 の新着情報
-
複数のデータセンターを分散させたままでBCP/DRを展開:山武
業務に必要なシステムをデータセンターで稼働させている企業は多いと思うが、災害復旧(DR)を中心とした事業継続計画(BCP)... - 日立ソフト、「SecureOnline 出前クラウドサービス」発表--導入負担を軽減
- APC、アセスメントサービス拡充--赤外線カメラで高温部分を把握
- シマンテック、中小企業に関するIT調査を発表:57%がIT費用増加と回答
- 日本IBM、企業内クラウドの展開を管理するアプライアンス「CloudBurst」を発売
- 通信 一覧へ »
「シンダー先生のシステム管理ゼミナール」 のバックナンバー
-
マイクロソフトのVoIP市場進出への準備は万全?OCSをレビュー
マイクロソフトのVoIP製品「Office Communications Server」に搭載されているソフトウェアベースのVoIP機能は、既存のPBXシステムと統合することも単独で使用することも可能である。今回はOCSの機能を取り上げる。 -
企業の事業継続計画(BCP)に盛り込んでおくべき10項目
-
料金、音質、信頼性…あなたがVoIPに求めるものは何?
-
VoIPは詐欺師にとって好都合なテクノロジなのか?抜け道をふさぐポイントを探る
-
本当に意味のあるIT資格を目指そう:米国ITプロが選ぶ10の有力資格
- シンダー先生のシステム管理ゼミナール 一覧へ »
ZDNet Japan Essential Topic
-
ストレージ、イチから勉強しませんか?
ネットワークに仮想化、ストレージの流行も教えます -
工事進行基準、まだ間に合いますよ!
工事進行基準でなにが変わるのか自信をもって言えますか?
企画特集
-
そのストレージで仮想化に対応できますか?
メリット盛りだくさんのサンのオープンストレージ製品 -
【徹底対談】運用管理ツールの賢い使い方
市場背景〜仮想化管理までアナリストが解説! -
インターネット上の悪意を未然に防ぐには?
ブラウザに備わったセキュリティ機能を徹底解説 -
今注目の「サジェスト検索」−デモ掲載中
システムのユーザビリティに革命を起こす技術とは -
ストレージメディア特設サイト開設
仮想化環境において最適なソリューションを! -
SOA、BPM、SaaS −今、企業に必要なこと
ビジネス・アプリケーションの今を網羅する特設サイト -
中小企業のセキュリティリスクとは?
導入する側・される側 得するセキュリティ製品 -
仮想環境を実現するソリューション特集
仮想化導入時、こんなところ気にしてますか? -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
◆エン・ジャパン厳選求人☆毎週更新◆
不況下でも急成長の秘訣とは?注目企業の取組みも公開! -
セキュリティ&ユーザ事例【SIer Club】
最新のセキュリティ情報と提案事例が満載 -
パンデミック対策特集
2009年のパンデミック発生から再考する事業継続計画 -
ESBでIT投資の無駄を劇的に解消する
IBM IMPACT 2009を徹底レポート! -
ロリポップ!がリニューアル
【第1回】創業者の家入一真氏が語る誕生秘話!! -
集積度も性能も、業界最高水準のブレードPC
サーバの実装技術を、シン・クライアントへ応用 -
サーバー監視・運用のコストを削減するには
エージェントレス方式を用いたパトロールクラリスで -
サービス・ドリヴン・データセンター
コスト効果の高いデータセンター構築には? -
■ストレージ容量50%削減保証■
ネットアップによる削減保証キャンペーン実施中 -
エンタープライズにおけるSUSEの強み
次世代データセンターの基盤は11だ。
幸い今回は弱毒性で大事には至らなかったが、まだ油断はできない。企業活動を停止すると、大きな経済的損害や社会的信用の低下を招いてしまう。 
サーバやOS、アプリケーションなどの世界ではオープンソーススタンダードが市場を牽引する現在、ストレージの世界でもオープン化の流れが始まっている。 
ZDNet Japanからのお知らせ
- ご回答にはCNET_IDご登録が必要です。
Intel Video Series
-
3.Composer概要
Intel Parallel Studioの一部であり、並列プログラムを実装するために役... -
4. Inspector概要
Intel Parallel Studioの一部であり、順次および並列プログラムでメモリ...
新着企業動向
-
社員による企業評価サイト『Vorkers』、Sier・ソフトウェア業界の「経営者への提言」など、公...
株式会社ヴォーカーズ -
無料SEO対策セミナー『SEO内製化支援セミナー』09年7月27日開催!
網羅株式会社 -
事例のご紹介 Vol.3 | ストレージ統合
EMCジャパン -
セキュリティ診断
NRIセキュアテクノロジーズ - 企業動向一覧へ»
