ブログ(トレンド&インサイト)

パンデミック時の使用量急増に伴うVoIPネットワークを標的とした脅威

インターネット・サービス・プロバイダーは、新型コロナウィルスの大流行中に在宅勤務が増えたことで、Voice over Internet Protocol (VoIP)の使用率が急増していると認識しています。これはComcastを含むこの分野の多くの企業によって報告されており、VoIPとビデオ会議の使用率はパンデミックの開始以来210~285パーセント増加していると述べています。このことを念頭に置いて、VoIP システムが社内で保守されているか、サードパーティ・ベンダーに外注されているかにかかわらず、VoIP システムは組織の攻撃対象の延長線上にあり、攻撃者の犠牲になる可能性があることを覚えておくことが重要です。

VoIP システムは、サービス拒否、メタデータの盗難、トラフィックの傍受、プレミアム・ナンバー詐欺など、多くの脅威に対して脆弱です。また、脅威アクターは、安全ではない VoIP システムを入り口として利用して、より機密性の高いネットワークを侵害したり、悪意のある活動から他の場所に注意を逸らすこともできます。このような脆弱性があるにもかかわらず、VoIP システムは通常、IT 部門からあまり注目されていません。これらのシステムはデフォルトの認証情報や共有された認証情報を保持していることが多く、脆弱性を検索したり修正したりする際に見落とされてしまうことがあります。そのため、VoIP インフラが業務上重要な役割を果たしているとはいえ、多くの企業にとっては、VoIP マルウェアに気づくかどうかが問題となっています。

Mandiant の脅威インテリジェンスでは、敵対者が盗用された、またはブルートフォースアタック(総当たり攻撃)を使って VoIP 管理者のユーザーアカウントにアクセスしようとしていることがよく見受けられます。これらのクレデンシャル収集ツールは広くアクセスが可能で、高度な開発の専門知識を持たないアクターでも VoIP インフラを侵害できることを意味しています。VoIP の侵害によって促進される活動の幅の広さを考えると、ネットワーク・ディフェンダーは、攻撃者が以下のような結果になる可能性があることを考慮する必要があります。

メタデータの標的化とボイスメールの盗難

VoIP通話システムは、スパイ活動や経済的動機のあるアクターが求める音声録音と関連メタデータを生成します。 2020年9月、ESETの研究者は、通話メタデータを盗むように設計されたキャンペーンでVoIPテレフォニースイッチを標的とする攻撃で使用されている「CDRThief」と呼ばれる珍しい新種のLinuxマルウェアを発見しました。 2019年8月、MicrosoftはAPT28がVoIPベースの電話システムだけでなく、他のIoTデバイスを侵害しようとしていることを報告しました。Mandiant Threat Intelligenceは、VoIPファイルの録画をキャプチャできるFINSPY亜種を使用したと思われる脅威活動を観察し、別のキャンペーンでは、スパイ行為者が企業のVoIPサービスから盗まれた可能性のある正当なボイスメールメッセージを含むフィッシングメールを送信しました。

プレミアムナンバー詐欺

「コールポンピング」詐欺は、侵害された VoIP システムによる企業への最も一般的な脅威の 1 つです。Communications Fraud Control Association は最近、保険料番号詐欺(International Revenue Share Fraud (IRSF))に関連する損失を 40 億ドルから 61 億ドルと見積もっています。このスキームには、侵害された電話システムから、発信者に請求する電話番号に電話をかけることが含まれています。アクターは、より高い料金を請求するために、しばしば海外のプレミアムコール番号を登録し、そこで料金の一部を受け取ります。そして、侵害した電話システムを利用してこれらの高額電話番号に電話をかけさせ、被害者の口座に高額な料金を請求します。

これらの詐欺は、被害を受けた企業が短期間で数百万ドルもの不正なプレミアムナンバー料金を請求されるもので、サイバー犯罪者にとって魅力的なものとなります。ほとんどの電話会社が毎月請求するのに対し、悪質なアクターは、週単位で請求・支払いを行うプレミアムナンバーサービスを選択することがよくあります。このようにして、悪質なアクターは詐欺が発覚する前に多額の請求を実行できます。

TDoS攻撃

VoIP 電話システムは、大量の不正なコールが正当なコールの通過を妨げる、TDoS (telephony denial-of-service) 攻撃に対して脆弱です。また、VoIP システムは、「招待」のリクエスト、「ありがとうございました」「利用できません」のメッセージ、または同様のフラッディング攻撃など、他のベクトルからのサービス拒否状態に対しても潜在的に脆弱である可能性があります。この手法は、大量に使用されている上に見逃しにくいため、攻撃者にとっては有利に働く可能性があります。

通話操作

通話操作を可能にする中間者(Man-in-the-Middle)攻撃が成功すれば、電話を利用したソーシャル・エンジニアリング活動のほとんどが可能になります。例えば、悪意のあるアクターが銀行の電話システムを侵害した場合、顧客からの着信をリダイレクトして、攻撃者が管理するインフラに接続させ、顧客の身元を確認すると見せかけて、顧客の口座を侵害することができます。また、悪意のあるアクターは、金融機関からの通話を取引確認しようとする顧客にリダイレクトし、顧客になりすまして取引を確認させることもできます。

恐喝攻撃: VoIP 濫用の未来?

VoIP インフラが侵害されることで、アクターは企業の機密情報へのアクセスを可能にし、サービス拒否状態を引き起こすことができるようになります。ランサムウェアの被害者を対象とした公開データ開示サイトの採用などに見られるように、アクターは歴史的にこれを利用して恐喝攻撃を煽ってきました。自動化された音声ファイルのトランスクリプションと処理により、アクターは機密性の高いビジネスデータを迅速に特定することができるため、大量の通話データの窃盗でさえ恐喝の対象となる可能性があります。

リスク軽減に関する考慮事項

企業が VoIP のリスクを軽減するためにできる最大のステップは、VoIP インフラを社内で管理しているかサード・パーティが管理しているかにかかわらず、攻撃対象の一部として真剣に検討することです。簡単に言えば、VoIP インフラは IT インフラの延長線上にあるため、他の領域と同様に監視、保守、監査が必要となります。ここでは、VoIP ネットワークを保護する方法についてのヒントをいくつか紹介します。

  • VoIP電話とインフラのファームウェアには定期的にパッチを適用し、パスワードをデフォルトから変更する必要があります。
  • VoIPアカウント、特に管理者権限を持つアカウントにアクセスするには、多要素認証が必要です。
  • 国際番号またはプレミアム番号への通話は、通話ポンピングスキームを無効にするように制限できます。また、期間、頻度、時間などの要素を監視して、異常値や不正使用のパターンがないかどうかを確認する必要があります。
  • VoIP電話を別のネットワークで実行すると、侵害された電話がネットワーク経由で送信されたデータを公開したり、ネットワーク上の他のマシンへのアクセスを提供したりするのを防ぐことができます。
  • 組織は、VoIPシステムが利用できない場合に備えて、TDoS活動、またはランサムウェアや破壊的なマルウェアなどの他のサービス拒否シナリオを通じて計画を立てる必要があります。

パンデミックの影響で、これまで以上に多くの従業員が自宅で仕事をするようになりました。このシナリオは、パンデミックの間に VoIP の使用率を上昇させ、私たちのほとんどがグローバルな接続性に依存していることを思い知らされました。悪意のあるアクターは、この依存関係を利用して事業運営に損害を与え、セキュリティ・チームのインシデント対応作業から目を逸らし、不正行為から利益を得ることができます。組織は、VoIP インフラを防御的な業務から外しておくわけにはいきません。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:October 21, 2020 「Threats Targeting VoIP Networks as Usage Surges During Pandemic