サイバー犯罪で個人や企業に直接的に金銭的なダメージを与えるのはインターネットバンキングを不正に利用されて口座のお金を盗まれる事件とランサムウェアによる脅迫が定番なのですが、最近は別の恐ろしい犯罪が発生しています。IP-PBXが乗っ取られてIP電話が不正利用され、海外への通話料金を請求されてしまうという事件です。
IP-PBXを使っていない企業は全然関係ないのですが、使っている企業にとっては結構深刻な問題です。これだけでは何のことが分かりにくいので簡単に説明します。
IP-PBXというのは企業内のネットワーク内に設置され、IP電話システムを管理する装置やソフトウェアのことで、IP電話と通常の電話網との中継も行います。内線がIP電話化されていたり、コールセンターのようにたくさんの外線チャネルをもっているような企業でよく使われています。
IP-PBXはネットワークにつながっている機器ですから、その企業のネットワークがインターネットにつながっていれば犯罪者に不正に侵入され則られる可能性があります。サーバやパソコンが乗っ取られた場合と違うのは、IP-PBXには普通の電話網とつながる線があるということです。電話機として機能をもっていると考えてください。この線を使って電話を掛けられてしまうと当然電話料金が発生してしまいます。海外につなぎっぱなしにされたりすると膨大な金額の電話料金を電話事業者(普通はNTT)から請求されることになります。3月から4月に発生した事例では、会社が休みの土日の間、海外に電話をかけっぱなしにされたようです。
なぜ、犯罪者がそんなことをするかというと、大体の場合は海外(主にアフリカ)の電話事業者と裏取引しており、その電話事業者が受け取った電話料金の何割かを報酬としてもらうことができるからと言われています。つまり、関係ない人の電話を勝手に使って電話料金を発生させ、発生した電話料金の一部を電話事業者からもらっているということです。
(このような海外の電話事業者と犯罪者が組んで行っている悪さとして”国際電話でのワン切り”というものがあります。 )
インターネットバンキングの不正利用と比べて何が恐ろしいかというと、まず、侵入の手口が良く分かっていないということです。インターネットバンキングの不正利用は対策を知っておけばあまり引っかかることはないといえますが、IP-PBXの不正利用は対策が良く分かりません。いつのまにが被害者になっている恐れがあります。
また、これまでの被害者も平均で70万円くらいは請求されているみたいですが、被害額の上限が決まっていないというのも恐ろしい点です。普通は電話の利用限度額の設定なんかないですからね。下手したら借金して電話料金を払う必要が出てくるわけです。
あと、犯罪の被害者なのか、本当に海外に電話したけど料金が高すぎてごねているだけなのかの判断が難しいというのも恐ろしいですね。NTTは基本的にはこういった事案での補償はしないと断言しています。(3月から4月の被害については特例で補償したみたいですが。)
https://www.ntt-west.co.jp/info/support/attention4.html
手口が明らかになっていたい以上、対策が難しいのですが、まずはファイアウォールやUTM、ルータやL3スイッチの設定を見直してネットワークのセキュリティを強化し、外部からIP-PBXに接触されないようにすることが大事だと思われます。