通信コストを削減できるとして,企業を中心に普及が進むIP電話。だが,そのIP電話には,従来の電話には存在しなかったタイプのぜい弱性が指摘されている。

IP電話のメリットを逆手にとるスパム出現

 その一例がIP電話を使う“スパム”だ。米国で「SPIT(spam over internet telephony)」などと呼ばれ話題になっている。はっきりした定義はまだないようだが,VoIPセキュリティの業界団体であるVoIPSA(VoIP security alliance)と米ソニックウォールによるSPITの定義は次の通り。(1)発信者に明らかな悪意はないが通信チャネルを妨害し,(2)自動的に発信され,(3)着信側が必要ともしない広告などをIP電話で送りつけてくる通話。米AT&Tの定義も「一般的には必要としていない広告を自動的に生成して,電話番号などのリスト全員に送り付ける行為と考えられる」と前者のケースに似ている(図)。

 実は,IP電話は迷惑電話の発信者にとって従来の電話より都合の良いシステム。その最たるものが,同一サービスまたは同じVoIP基盤網内のプロバイダのユーザー同士なら通話料が無料であることだ。つまりいくらかけても通話料はゼロ。また,電話番号はメール・アドレスよりも推測しやすい点も発信者に有利だ。

 かねてより,通信事業者や迷惑メール(スパム・メール)対策に詳しい関係者などによって「スパムのような迷惑メッセージは,IP電話の音声として届くようになるだろう」という予言はなされていた。そして,実際にSPITと考えられる迷惑電話が国内でも登場したことが確認できた。本誌の調査によるとソフトバンクBB,NTTコミュニケーションズ,ニフティの3社で,IP電話からIP電話にかけた自動音声の迷惑通話が見付かっている。通信事業者3社で見つかったSPITは,いずれも同一のサービス内またはVoIP基盤網内で発着信していた。

 SPITのメッセージの内容は迷惑メールと同様,アダルト系などが多いようだ。だが,その迷惑度はメールよりも高い。着信音が鳴れば,作業を中断して受話器を取らざるを得ない。だがその内容は取ってみるまでは分からない。

通信事業者も対策に動き出す

 通信事業者も,既に対抗策に着手している。ソフトバンクBBはSPITを発信した法人ユーザーを約款に基づき強制解約とし,「迷惑電話に関しては,今後も強制解約など断固とした措置をとっていく」と宣言。NTTコミュニケーションズは,迷惑なIP電話を禁止するよう約款を変更。さらに同社のVoIP基盤網を使うプロバイダなどにも同様の約款変更を依頼している。ニフティも約款を変えている。

 約款だけではなく,技術的・サービス的な対応も必要になってくる。既に複数のIP電話サービス提供事業者が,番号を指定して着信を拒否できるサービスを提供中,または提供を検討中だ。知人など登録したユーザーからだけ着信する仕組みが必要との指摘もある。また着信拒否の仕組みは,発信元の電話番号が偽装されていないことが前提であるため,SPIT対策の一環として発番偽装対策も欠かせないだろう。

 IP電話は企業でも家庭でも使われている。NTTコミュニケーションズには,同社のIPセントレックス・ユーザーからもSPITが報告されているという。職場の電話に次々とかかってくれば業務に支障を及ぼしかねない。また家庭においては,アダルト系の広告を子供が受けてしまうこともあるかもしれない。NTTコミュニケーションズは「今のうちに芽を摘みたい」と怒りの色を隠せなかった。ついに大増殖してしまった迷惑メールと同じことを繰り返すわけにはいかない。

IP電話で容易になった盗聴

 従来の電話からIP電話への乗り換えが進むことで誕生する脅威はSPITだけではない。それが「盗聴」だ。従来の電話を盗聴するには,PBX(構内交換機)ルームなどに侵入するなど,それなりの手間がかかる。だがIP電話では,社内いたる所に配置されたLANポートに「パケット・キャプチャ・ソフト」をインストールしたパソコンを接続することで盗聴が可能になる。受付エリアなど,社外の人間が自由に出入りできる場所にLANポートが設置されていれば,部外者でも内線通話を盗聴できてしまうことになる。

 対策として,音声を送受信するためのRTP(real-time transport protocol)を暗号化するSRTP(secure RTP)といった技術も標準化されている。だが,パケットのアドレスを調べれば「誰と誰が話した」かは分かってしまう。セキュリティを高めるには,IP電話機を接続するLAN端子はパソコンなどが勝手に接続できないよう物理的に隔離するなどの対策が必要になる。

(山崎 洋一=日経コミュニケーション

【緊急連載 今本当に必要なセキュリティ対策】特集ページはこちらをご覧下さい。

【緊急連載 今本当に必要なセキュリティ対策】記事一覧
●(1) カカクコムが浮き彫りにした商用Webサイトの油断
●(2) 迷惑メール対策は総力戦,皆が協力しないともう止められない
●(3) IP電話に襲いかかる“スパム”や盗聴
●(4) トレンド問題が残した教訓──単一ソフトに依存する危険性
●(5) 「持ち出せなければ紛失もない」ノートPC/携帯電話の新潮流