2005年02月15日(火) 18時30分

大丈夫か？ VoIPのセキュリティー(上)（WIRED）

　新しい技術には、有益な使われ方だけでなく、犯罪者に悪用される危険性もある——こうした認識のもと、ボイスオーバー・インターネット・プロトコル(VoIP)に内在するセキュリティーの脅威を検証する目的で、業界団体が結成された。

　この業界団体『 http://www.voipsa.org/ VoIPセキュリティー連盟』(VOIPSA)は7日(米国時間)に始動する。現在加盟しているのは22の団体で、通信事業者、機器メーカー、セキュリティー専門家、研究者など、その立場はさまざまだ。ドイツのシーメンス社のような機器メーカーや米クエスト・コミュニケーションズ社のような電話会社もあれば、研究機関のSANS研究所も名を連ねている。

　VOIPSAの目的は、音声をデータパケットとして送信する技術に潜む、さまざまなセキュリティー関連リスクへの対策、およびVoIP機器を購入したユーザーの啓発だ。メーリングリストや作業部会を通じ、VoIPのテストツールに関する話し合いや共同開発を行なう。

　VoIPサービスを標的にした攻撃は、現在のところほとんど起きていない。その大きな理由は、攻撃する価値が出てくるほどユーザー数が多くない点にある( http://www.point-topic.com/ 英ポイント・トピック社による12月の報告では、全世界のVoIPユーザーは500万人としている)。

　しかし、セキュリティーの研究者により、VoIP技術に使われているさまざまなプロトコルに脆弱性が見つかっている。たとえば、コンピューター緊急事態対策チーム(CERT)は『セッション・イニシエーション・プロトコル』(SIP)[VoIPで使われる通話制御プロトコルの1つ]と『H.323』[IPネットワークでリアルタイムの音声・動画通信を行なうためにITU-Tが制定した通信プロトコル]の複数の脆弱性について警告を発している。

　専門家たちはこの1年、VoIPの悪用は必ず起きると繰り返し警告してきた。先月には http://www.nist.gov/ 米国立標準技術研究所(NIST)が報告書を発表し、VoIPへの移行を検討する際に見落とされることが多い、複雑なセキュリティー問題についてきちんと考察するよう、連邦政府機関や企業に呼びかけた。NISTはVOIPSAにも参加している。

　米オスターマン・リサーチ社のマイケル・オスターマン社長も、「スパムメールのように広まるのはまさに時間の問題だ」と述べている。

　専門家たちによると、スパム業者はすでに「スピム」(spim：インスタント・メッセージを利用したスパム)を始めているという。メッセージ技術のセキュリティー保護を手がける米サイファートラスト社の最高技術責任者(CTO)、ポール・ジャッジ博士は、同社の顧客企業のうち、10〜15％程度しかインスタント・メッセージ(IM)を利用していないにもかかわらず、IMのトラフィックの10％がスパムで占められていると述べている。「2年半前の電子メールとまったく同じ状況だ」

　当時の状況を検証してみよう。同じくメッセージ技術の保護が専門の米フロントブリッジ・テクノロジーズ社は、2002年1月の時点で17％の電子メールがスパムだったと指摘していた。昨年11月には、この割合が93％にまで上昇している。

　これらの事実から推測すると、「スピット」(spit：インターネット電話を利用したスパム)の登場も近いと考えられる。確かに、電子メールを大量送信するのと同じくらい手軽に、ボイスメールによる電話勧誘ができるようになれば、おいしいビジネスが生まれるはずだ。

　そうなったときにユーザーが被る迷惑は別にしても、1件あたり100KBのボイスメールが何百万通もいっせいに送信されれば、ネットワークリソースへの負荷は相当なものになるだろう。これに対し、電子メール1件の容量はせいぜい5KBか10KBだ。

　さらに、VoIPのセキュリティー上の脅威が悪用されれば、その被害の及ぶ範囲は違法なマーケティング活動という枠にとどまらないはずだ。電子犯罪への対策を専門とする http://www.icginc.com/index.shtml 米ICG社のオズボーン・ショー副社長によると、フィッシング詐欺の音声版が登場し、銀行からと偽ったボイスメールが犯罪者から送られてくる可能性もあるという。ショー副社長は仕事の立場上、スパムで紹介された商品を購入してみた経験がある。

　事実、VOIPSAのデビッド・エンドラー会長によると、VoIPを攻撃する方法はいくらでもあるという。エンドラー会長は、侵入防止システムを製造する http://www.tippingpoint.com/ 米ティッピングポイント・テクノロジーズ社で『デジタル・ワクチン』の責任者を務めている。

　まず、IPネットワークに影響を及ぼす問題はVoIPにも関わってくる。たとえば、ハッカーが分散型サービス拒否(DDoS)攻撃を仕かけ、不正なトラフィックでネットワークが混雑すると、電子メールやファイル転送、ウェブページのリクエスト以上に、音声通話は通じにくくなる。音声トラフィックはサービス品質の低下に特に弱く、すぐに使用に耐えないレベルまで通話品質が下がってしまうのだ。

　そのうえ、VoIPの導入に伴い、攻撃対象となるネットワーク上のノードが増加するという問題点もある。VoIPには、IP電話機やブロードバンドモデム、あるいはソフトスイッチ、シグナリング・ゲートウェイ、メディア・ゲートウェイといったネットワーク機器が使われるからだ。

(2/16に続く)

[日本語版：米井香織／長谷 睦]日本語版関連記事

・ http://hotwired.goo.ne.jp/news/business/story/20050203105.html 「電話番号持ち運び」や「番号選択サービス」で混乱も

・ http://hotwired.goo.ne.jp/news/culture/story/20050127204.html スパム業者を捕捉する分散型システム『プロジェクト・ハニー・ポット』

・ http://hotwired.goo.ne.jp/news/news/business/story/20050105104.html 低価格で携帯電話を使い放題に——通信事業者は渋面

・ http://hotwired.goo.ne.jp/news/news/business/story/20041026108.html IP電話「米行政機関の導入で、年間45億ドルの削減に」

・ http://hotwired.goo.ne.jp/news/news/business/story/20041018101.html ネット・ビジネスの新たな脅威「クリック詐欺」

・ http://hotwired.goo.ne.jp/news/news/business/story/20040802105.html 国境を越えるスパム業者に対抗——対スパム専門家を結ぶ国際協議会を設立

・ http://hotwired.goo.ne.jp/news/news/business/story/20031216105.html IP電話市場、通信大手の参入で競争激化へ

・ http://hotwired.goo.ne.jp/news/news/technology/story/20000517305.html 電話ハッカーの脅威ふたたび？


WIRED NEWSのメール購読申込みは http://hotwired.goo.ne.jp/reception/index.html こちらへ

http://headlines.yahoo.co.jp/hl?a=20050215-00000001-wir-sci