パソコンやスマートフォン(スマホ)だけでなく、冷蔵庫や洗濯機、監視カメラ、プリンターなど、あらゆるものがインターネットにつながるIoT時代。心配なのはセキュリティだ。IoT機器を乗っ取られ、インターネット経由で操作される恐れがある。多くの企業が導入しているIoT機器であるIP電話機を対象に、乗っ取れるか実験してみた。

ウイルス感染パソコンを踏み台に

 社内LANにつなげたIP電話機に、第三者がインターネットから直接アクセスするのは困難だ。そこで実験3では、同じ社内LANに、攻撃者によって遠隔操作可能にされたウイルス感染パソコンがあると仮定する。ウイルス感染パソコンを踏み台にして、IP電話機を乗っ取って外部に発信できるかを調べた。

実験3の概要
実験3の概要
社内LANのIP電話機を外部から操作して発信できるかどうかを確かめた。実験では、攻撃者が自由に操作できるパソコンがLAN内にあると仮定した。
[画像のクリックで拡大表示]

 今回利用したIP電話機には、コールセンターのシステムなどのアプリケーションと連携する機能(API)が用意されている。この機能を使えば、受話器を上げたり、プッシュボタンを押したりしなくても、Webブラウザーを使って電話をかけられる。

▼IoT
Internet of Thingsの略。
▼API
Application Programming Interfaceの略。