不正使用による通話料請求が多発--「Asterisk」の設定確認を呼びかけ

吉澤亨史

2010-12-10 18:46

 JPCERTコーディネーションセンター(JPCERT/CC)は12月9日、SIP(Session Initiation Protocol)サーバとして機能する、オープンソースのIP-PBXソフト「Asterisk」を不適切な設定で利用した場合に発生しうる不正利用について注意喚起を発表した。

 JPCERT/CCでは、セキュリティ対策が不十分な状態でAsteriskを利用していたことで、第三者によって意図しない国際通話を行われてしまうといった不正利用被害を受けた事例を確認しているという。攻撃者は、SIPの通信で使用される5060/udpパケットをネットの広い範囲に送信し、応答したSIPサーバに対してIP電話の発信に必要なIDとパスワードを特定するための総当たりアタックを行っていると思われるとしている。

 攻撃者はその後、特定したIDとパスワードを使用して海外へ不正に発信する。このため、IP-PBXのセキュリティ対策に不備があった場合、運用中のIP-PBXが攻撃者に不正に使用され、後日国際通話料が請求される可能性があるという。

 JPCERT/CCでは、運用するAsteriskを外部から不正に使用されないための対策として「必要がなければ、Asteriskをネットに公開しない」「ゲストユーザー(未設定番号)による発信を拒否する」「総当たりアタックに対する対策を行う」などを紹介している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]