IP電話が乗っ取られるって?
固定電話に代わる「IP電話」。
このIP電話が乗っ取られるとは、一体どういうことなのでしょうか?
また、乗っ取られるとどのようなことが起こるのでしょうか?
こちらの記事では、IP電話の乗っ取りの防ぎ方・対処法と、実際に乗っ取られた事例をご紹介します。
IP電話とは?
「IP」とは、インターネットプロトコル(Internet Protocol)という通信方式の頭文字を取ったものです。
つまりIP電話とは、インターネット接続を利用した電話サービス全般のことを指します。
固定電話のように電話番号を取得でき、インターネット回線を引いていれば固定電話よりも安く電話をかけられるようになるのが最大の利点です。
IP電話で起きた乗っ取り事件
通信費の節約にも役立つIP電話ですが、2015年に大規模なIP電話の乗っ取り被害が発生しました。
乗っ取りの手口は、IP回線のルーターに何者かが不正アクセスし、遠隔操作で国際電話をかけて情報料などを徴収するというものでした。
この被害では255万円もの高額請求が発生したケースもあり、当時は大きな話題となると同時に、セキュリティ管理の甘さが問題視されるようになりました。
以前から「IP電話には第三者の不正アクセスを許す脆弱性がある」という指摘があったにもかかわらず、十分な周知や対策が行き届いていなかったことも問題とされました。
もちろん、ルーターなど個人や法人が所有する機器のセキュリティは、それぞれの責任のもとで管理しなければならないものです。とはいえ、利用者への情報提供が不十分だったことを疑問視する声も少なくありませんでした。
NTT東日本・西日本は、こうした事案を受けて、通常より大幅に高い通話料が発生した利用者には速やかに連絡を取り、国際通話の発信規制について案内する旨を発表しています。
ひかり電話も油断できない
IP電話は、インターネットを介して通話する点が、従来の固定電話(アナログ電話)との大きな違いです。
このIP電話と混同されやすいものに、NTT東日本・西日本が提供する「ひかり電話」があります。
実は、ひかり電話もIP電話の一種で、基本的な仕組みは同じです。違いは使っている回線で、かつてのIP電話はADSL回線などでも利用されていましたが、ADSLはすでにサービスを終了しており、現在は光回線を使う「ひかり電話」が主流になっています。
つまり、光回線の普及にともなってひかり電話に切り替える人が増えた今、ひかり電話を使う人もIP電話と同様にセキュリティ意識を高く持つ必要があるということです。
乗っ取り被害に遭わないために
IP電話やひかり電話で、このような乗っ取り被害に遭わないために、以下の点に注意してみましょう。
管理パスワードを複雑にする
とくに国際電話をよく利用する方の場合、乗っ取りを防ぐには、電話機とインターネット回線をつないでいる接続機器(ルーターなど)のパスワードを複雑にすることが重要です。
接続機器のパスワードは初期設定のままになっていることが多いのですが、初期設定のパスワードが短く簡単なものだと、外部からの不正アクセスがしやすくなってしまいます。
クレジットカードの暗証番号やWebサービスのパスワードはしっかり対策していても、接続機器だけは手付かず、というユーザーは少なくありません。
不正な電話利用を防ぐためにも、初期設定のパスワードが複雑なものになっているか、今一度チェックしましょう。
推測されやすい管理パスワードには、たとえば以下のようなものがあります。
- 文字数が少ない、数字・アルファベットのみ(1234、abc123 など)
- 同じ文字が連続している(1111、aaaa など)
- 誰でも思いつく簡単な英単語のみ(password、network など)
- 誕生日や名前など、個人情報が含まれるもの(netsensei2020 など)
これらは接続機器に限らず、どの場面でも特定されやすいパスワードなので、使用を控えましょう。
パスワードを設定する際は、アルファベットの大文字・小文字と数字(できれば記号も)を織り交ぜ、容易に推測されないものにしましょう。
また、パスワードを使い回さないことも大切です。漏えいが疑われるときは速やかに変更しましょう。
外部からの接続を許可している場合も、同様にパスワードを複雑なものに変更しておくとよいでしょう。
国際電話を使わない人は休止させる
IP電話の利用は国内通話のみで国際電話は使わない、という方は、国際電話の利用休止手続きをとりましょう。
そのために、まずは利用している回線の契約内容を確認しましょう。
事業者によっては、はじめから国際電話が使えないように設定されている場合があります。その場合は特に何もする必要はありませんが、そうでない場合は国際電話の利用を休止する手続きを行いましょう。
国際電話の利用を休止するには、IP電話やひかり電話を提供する事業者に連絡します。
あとは各事業者の手続き方法に従って、利用休止の手続きを進めましょう。
毎月の利用明細をチェック。高額請求が発生したらすぐNTTなどに連絡
IP電話の不正アクセス者は、利用者に気付かれないように、ルーターやPBX(構内交換機)などの脆弱なポイントから侵入してきます。
そのため、利用者は侵入されていることに気付かず、繰り返し不正利用されてしまいます。
見えないところで乗っ取りが起きていると考えるだけでも恐ろしいのですが、さらに怖いのは、わずか1〜2日程度の短時間で、機械的に大量の国際通話がかけられてしまうという点です。
こうなると、たった1日でも数百万円規模の被害になってしまう可能性もあります。
この事態に少しでも早く気付くためには、利用明細を毎月こまめにチェックすることが最も重要です。
そして、見覚えのない請求が見つかった際は、すぐに契約している電話会社(NTTなど)へ確認の連絡を取りましょう。
IP電話が不正アクセスを受けると、通話料金を水増しするために、日本から遠く離れた国への通話が大量に行われます。
これに対しNTTは、国際通話料金が水増しされている契約者について、発信を一時的に規制したり、あとから個別に連絡したりするとしています。
万が一連絡が取れなかった場合でも、緊急的な措置として一時的に発信が規制されることがあります。
サービス側で対応してもらえる安心感はありますが、念には念を入れて、毎月の利用明細はこまめにチェックしたいところです。
NTTでは、多発する国際不正通話を受けて、個別の相談や対応にも応じるとしています。少しでも「おかしいな?」と感じたら、積極的に窓口へ相談しましょう。
機器を最新の状態に保つ
IP電話の乗っ取りを防ぐには、パソコンのセキュリティ対策だけでは不十分です。
さらにセキュリティを強化するには、IP電話の利用に使うルーターやPBX(構内交換機)を、最新版のファームウェアにアップデートしましょう。
アップデートを行うことで不具合が解消され、セキュリティレベルや処理速度が向上するというメリットがあります。
製品によってアップデート方法が異なるので、メーカーサイトで確認してから実施してください。
ルーターの設定を変更する
ルーターやPBX(構内交換機)など、IP電話の利用に必要な機器が初期設定のままだと、第三者からの不正アクセスを招く可能性があります。
一般家庭では、企業と違ってルーターやPBXの設定を初期設定のままにしている人も多いと思いますが、不正アクセスの被害が確認されている以上、そのまま放置するのは危険です。
不正アクセスを防ぐためにも、ルーターのログイン情報(管理者IDとパスワード)を初期設定から変更しましょう。これだけでも十分な予防策になります。
簡易的なパスワードは、第三者が推測しにくい複雑なものへと変更します。
また、外部からの接続(リモート管理)が有効になっていないかも忘れずにチェックしましょう。有効になっている場合で必要がなければオフにすると、より安全です。
変更後のIDとパスワードは、第三者の目につかない場所で、後から見返せるように控えておきましょう。
ただし、スマートフォンやパソコンの中だけにメモしてしまうと、機器が使えなくなったときに困ります。メモ帳や手帳などアナログの媒体にも書いて保存しておくとよいでしょう。
公共のWi-Fiを利用するときは特に注意
ビジネスホテルなどで無料のWi-Fiを使う場合、使う前に必ず暗号化されているかどうかを確認しましょう。
暗号化されていないWi-Fiは、鍵のかかっていない玄関のようなもので、第三者の侵入を許してしまいます。
万が一暗号化されていないWi-Fiを使ってしまうと、情報が漏えいするリスクが高まります。
とくに海外のホテルは犯罪者に狙われやすいスポットとされ、セキュリティ対策への関心が薄いユーザーが被害に遭う傾向にあります。
ホテル以外でも、空港のラウンジや街中の無料Wi-Fiスポットは危険度が高いとされています。
こうした公衆Wi-Fiの中には、無線LANの暗号化(WPA2/WPA3など)が施されていない、または簡易な暗号化のものもあります。
その場合、見られたくない情報も第三者から覗き見られる状態になり、非常に危険です。接続する際は、必ず暗号化されているかを確認しましょう。
さらに悪意のある犯罪者の中には、ホテルなどで偽物のWi-Fiネットワークを立ち上げ、そこに利用者を誘導してアカウント名とパスワードを盗み取る者もいます。
ログイン情報が奪われれば不正アクセスが自由にできる状態となり、非常に危険です。
暗号化されているように見えても決して安全とは限らず、犯罪者が仕掛けたWi-Fiネットワークである可能性も否定できません。
接続の際は、インターネット上に仮想の専用ルートを設けて通信する「VPN」を使い、暗号化された状態で通信するなどの工夫が必要です。
高額請求された!払わないとダメ?払わなくていい?
2015年に起きたIP電話乗っ取り事件で高額請求となった事例は、企業のIP電話が不正利用されたケースです。
機械的に大量の国際通話が西アフリカの国などに行われ、電話1回あたり175円ほどで、総額200万円近い料金が請求されました。
身に覚えのない通話に料金を支払う義務はない、と言いたいところですが、過去の高額請求事例の中には、請求を受けたユーザーが全額を支払ったケースもあります。
とはいえ、すべてのユーザーが必ず損をするわけではなく、高額請求を受けても、不正利用が確認されれば個別に対応してもらえるとされています。
そのためNTT側は、まず不正利用にあたるかどうかの問い合わせを行うよう推奨しています。
どのような不正が行われたのかをチェックする必要があるため、回答までに数日かかることもあります。事業者とやり取りをして話し合い、不正利用被害と判明した場合は、警察にも届け出を行いましょう。
このときの注意点として、「IDやパスワードが不正利用されやすい環境にあったかどうか」という点で、回線事業者がユーザー側にも責任を求めてくることがあります。
一方で、不正利用が多発する環境を放置していたという点では、通信事業者側に責任がないとも言い切れません。
この点については、事業者とよく話し合う必要があるでしょう。
光回線のセキュリティ関係の口コミ
光回線悩むー。NURO光にほぼ決めてたのがONUがルーター一体型でFWなし、取り替えも基本不可と聞いてセキュリティやばめとは。。。コラボ回線のがええかなぁ。。。
— Takuyoshi Okawara NAFT (@takuyoshi1) June 28, 2020
https://twitter.com/arcykhr/status/1108004280194097152
https://twitter.com/shions99_trainz/status/1305416487067246593
まとめ
2015年のIP電話不正利用は、高額請求を狙った犯罪として大きく取り上げられ、セキュリティ面の脆弱性も問題視されました。
しかし、すべてのIP電話が危険なわけではなく、ユーザー側でまったく対処できないわけでもありません。
国際通話ができないように制限をかける、ルーターなど接続機器の初期設定を変更するといった対策で、不正アクセスのリスクを最小限に抑えられます。
そのほかにも、パソコンのファイル共有をオフにする、セキュリティ設定を見直す、ウイルス対策ソフトを最新の状態に保つ、ファイアウォールを有効にするといった方法も有効です。
さらに、パスワードを使い回さない、無料Wi-Fiを使う際にVPNサービスを使うといった対策で、セキュリティレベルを上げられます。
安全にIP電話・ひかり電話を使い続けるために、できる対策はしっかり行っておきましょう。
