2002年頃から本格的に広がり始めたIP電話サービスは,2008年3月末時点の統計では0AB~J番号と050番号のサービスを併せて1700万加入を越えた。IP電話の普及と並行して,使われるようになったのが呼制御プロトコルのSIP(session inititation protocol)である。企業内のIP電話でもSIPは活用されており,今やメジャーなサービス基盤になっている。

 VoIPの普及によって,懸念されるのがセキュリティ・リスクである。実際,ここ数年で次のような動きが出始めている。

・2005年2月にVoIPセキュリティに関する業界団体(VoIPSA)が設立。

・2007年12月に情報処理推進機構(IPA)が「SIPに係る既知のぜい弱性に関する調査報告書」をまとめる。

・2008年1月に総務省の情報通信審議会が,「ネットワークのIP化に対応した安全・信頼性基準」を答申。この中で情報セキュリティの確保について言及。

・米SANS Instituteが毎年発表しているぜい弱性ランキングで,2006年,2007年連続でVoIPを処理する機器がネットワーク・デバイス部門で1位となっている。

 こうした動きを背景として,本連載ではVoIP/SIPのセキュリティ・リスクについて解説する。

VoIP/SIPシステムは攻撃しやすいのが現状

 VoIP/SIP上でのセキュリティ・リスクについては,国内外を問わず各種機関が警鐘を鳴らしている。だがリスクについての認知や理解は,Webサーバーなどには遠く及ばないのが現状ではないだろうか。

 一方,攻撃者の視点で考えると,VoIP/SIPシステムは魅力的な攻撃対象に映るはずだ。その理由を以下3つの観点から考察してみる。

(1)攻撃手法のハードルの低さ

 まず,SIPそのものの特性が攻撃のハードルを低くしている。SIPはプレーン・テキストで記述されており,内容の取得や理解が容易である。また,SIPはHTTPに類似しているため,既存のHTTP用の攻撃コードを流用しやすい。

 加えて,レイヤー3/4レベルの攻撃への耐性は,WebやFTP,メールといった他のサービスと同等かそれ以下であることが多い。IP電話システム全体で見ると,そもそもIP電話システムはネットワークなどの負荷に敏感であり,少々の負荷をかけるだけで問題が発生することがある。

(2)影響の大きさ

 通信キャリアにとってはもちろん,多くの企業にとって電話システムはコミュニケーション手段としてミッション・クリティカルなシステムである。SIPサーバーのぜい弱性を突かれると,電話系のサービスは麻痺してしまう可能性がある。さらにIP電話システムへの攻撃は,VoIPユーザーに影響がでるだけではない。電話をかけてくる相手にも影響が出る。

 また,音声の通話に対して盗聴や発信者詐称が起こった場合,プライバシー侵害やコンプライアンス違反といった問題につながる。  影響の大きさという点では,SIPはNGN上でのリソース・コントロールや一般のプレゼンス・システムで幅広く使われているため,SIPそのもののぜい弱性を突いた攻撃は単にVoIPにとどまらず,広がる可能性がある。

(3)予防,対策の取りづらさ

 音声を扱うシステムは,一般のIT系システムよりも長期間使われることが多い。そのため古くなった端末やゲートウエイの場合,ぜい弱性が発見されても,実際にパッチなどを適用するのが難しいケースが多い。  それだけでなく,ゲートウエイや端末は限られたリソースの中でリアルタイム処理が必要となるため,セキュリティ機能まで盛り込むことが難しいケースが多い,という問題点もある。

 さらに一般論になってしまうが,IP電話システムの開発や導入現場における検証作業は,「仕様に従って動作するか」ということが主になり,ダウンやスタックといった異常系試験は後回しになることが多い。異常系試験は検証者の発想力と経験と,それを実際に実行するためのスキルやツールが必要となり,ハードルが高い。

 これら(1)(2)(3)のどの側面から見ても,VoIP/SIPシステムは攻撃者によって狙われやすい状況にあることが分かるだろう。では,実際のVoIP/SIPシステムが持つぜい弱性についてはどうなのか。

Webアプリを追ってセキュリティ・リスクが顕在化

 筆者はVoIPセキュリティに関するコンサルティングをする中で,40以上のSIPエンティティ(SIPサーバーや端末など)に対し模擬攻撃を行ってきた。その結果,残念ながらほぼ全てのエンティティで,バッファ・オーバーフローの発現や盗聴の可能性など複数の深刻なセキュリティ・リスクを発見してきた。正しい対策が全般的になされているシステムはごく少数である。セキュリティ・リスクがメジャーになり“叩かれてきた”Webやメールなどの他のシステムよりもずっと簡単にぜい弱性が見つかるのが現状である。

 VoIP/SIPのセキュリティ・リスクが顕在化するタイミングについて,筆者は,Webアプリケーションのセキュリティの歴史が参考になると考えている。それは,メインで使用されているプロトコル(HTTP)がSIPと同じプレーン・テキストであるからである。

 プロトコルの標準化(RFC2616のHTTP1.1とRFC3261のSIP),セキュリティ団体の設立(OWASPとVoIPSA),そして2004年中頃からWebアプリケーションのぜい弱性を突いた攻撃が顕在化,といった流れを考えると,VoIP/SIPのセキュリティ・リスクはWebアプリケーションを3年程遅れて追いかけていると考えられる。つまり今がまさにVoIP/SIPの対策を考えるべき時期だと言える。

 次回より,VoIPを中心に,SIPやRTP, RTCPについてのセキュリティリスクについて,実例を交えながら手法,影響,対策について解説していく。

杉岡弘毅 (すぎおかこうき)
ネクストジェン ネットワークセキュリティ本部長
ネクストジェン起業時から参加し,SIP関連のシステム検証やSEなどに従事した後,現在はセキュリティ関連調査や技術開発に従事している。