2019.07.07ビジネスフォン

ビジネスフォンの乗っ取りに要注意丨手口・適切なセキュリティ対策とは｜トラムシステム

パソコンをハッキングされ、個人情報やデータが盗まれるといった事例は枚挙に暇がありませんが、近年は電話もターゲットとなっているのをご存知でしょうか。
オフィスのビジネスフォンはクラウド化が進んでいますが、ネットワーク上でハッキングされるなどセキュリティ面で問題を抱えています。悪意を持った人間による乗っ取りを受けた事例も報告されており、もはや他人事ではありません。ビジネスフォン乗っ取りの手口と対策を解説します。

サムネイル画像

ビジネスフォンの不正利用に関する事例
乗っ取り・不正利用を防ぐためには
クラウドPBXのセキュリティについて
スマートフォン利用も要注意
まとめ

ビジネスフォンの不正利用に関する事例

2015年、とある事件乗っ取り事件が話題となりました。企業が利用しているビジネスフォンが不正利用され、国際通話料金を請求される事件が発生したのです。高額な国際通話が1万回以上機械的に行われ、最高で250万円請求された企業もありました。

IP回線を利用したビジネスフォンをネットワーク上でハッキングし、西アフリカのシエラレオネに国際電話をかけさせるというのが、犯人の手口です。シエラレオネに電話をかけさせることで、関連する通信会社に利益をもたらし、その見返りとして報酬を請求する目的があったと推測されています。通信機器販売を手がけるレカム社のビジネスフォンが被害にあいましたが、IP電話のSPIサーバーに直接アクセス可能だったなど、セキュリティは非常に脆弱でした。

この事件は、日本最大手の通信キャリアであるNTTや総務省をも動かしました。NTTは2015年7月、被害者に対する総額7,100万円の弁済を発表し、対象は120社に及んでいます。総務省は2015年6月に注意喚起を行い、7月には通信事業者5団体に対策を要請しました。

このように、パソコンだけでなくビジネスフォンも乗っ取りやハッキングの危険性に晒されており、特にネットワーク回線を利用したIP電話を利用する企業は、セキュリティ体制の強化や見直しが急務となっています。

乗っ取り・不正利用を防ぐためには

では、具体的にどのような対策を取ればビジネスフォンの乗っ取り・不正利用を防ぐことが出来るのでしょうか。レカム社の例からもわかるように、通信事業者が「万全の対策」を謳っていても安心はできません。パスワードなど、単純な対策でも比較的高い効果を得られるので、これから紹介する対策を可能な限り実行するようにしましょう。

ID・パスワードは定期的に変更する

パスワード対策は、乗っ取りを防ぐための対策の中でもっとも有効です。レカム社の事件では、リモート操作をしやすいようパスワード・IDが共通となっており、ホームページで公開状態にあるなど非常に脆弱でした。

パスワードを設定する際は、1111やABCDなど単純な法則を必ず避けましょう。初期状態で比較的簡単なパスワードになっているパソコン・ソフトウェアも存在するので、必ず再設定してください。

共通パスワードではなく各端末ごとにパスワードを設定する、一定の期間ごとにパスワードを変更するなどを行うと、非常に効果的です。顧客情報を扱う金融機関は1日ごとにパスワードを再設定していますが、余裕がない場合は、1〜2ヶ月に1度の再設定でも効果を発揮します。

ソフトウェアは最新版に保つ

「ソフトウェアは自動的にアップデートされている」と思い込むのも危険です。レカム社の事件では、2009年から6年間SPIサーバーのアップデートが行われておらず、古い状態のままでした。IT技術は「1年で10年分進歩する」と言われており、レカム社のサーバーは60年前の旧式だったのです。

このような事態を避けるためにも、パソコンのOSやセキュリティソフトウェアのバージョンはこまめにチェックしましょう。古いバージョンのものがあれば、必ずアップデートを行ってください。近年は自動アップデートのサービスも増えてきましたが、確認は怠らないようにしましょう。

利用制限を設定する

より厳重なセキュリティが必要な場合は、ビジネスフォンやパソコンに利用制限を設定してください。レカム社の事件では、SPIサーバーがネットワーク上で公開され、外部からのハッキングが容易でした。近年流行している、従業員の携帯端末を業務で利用するBYOD (Bring your own device）も、セキュリティが脆弱になる危険性があります。

利用制限を設定する場合、社員が自身のノートパソコンやスマートフォンを業務で利用していないかまず確認しましょう。利用があった場合はそれをやめさせ、会社指定の機器を利用するよう指示してください。USBメモリーなど、会社のデータを社外に持ち出すのも禁じましょう。

オフィス全体の継続的な状況把握

オフィスの状況を把握することが、乗っ取り防止への最大の抑止となります。レカム社の事件も、お粗末な管理体制やセキュリティを把握していなかったことが最大の原因です。

オフィスの状況を監視したい場合は、ネットワークを確認できる「チェックツール」の利用がおすすめです。無償・有償問わず様々なソフトウェアがあり、異常があった際の調査に役立ちます。セキュリティツールと連携して、ネットワークセキュリティをより強固にしましょう。無償でも対策になりますが、株式会社エクストランスの「X-MON」、株式会社コムスクエアの「PATROLCLARICE」など、実績のある有償ソフトが特におすすめです。

クラウドPBXのセキュリティについて

IP回線を利用し、電話機能をネットワーク上に設置するクラウドPBXを利用する場合、セキュリティが不十分なケースがあるので注意しましょう。ネットワーク上にシステムが存在するので、ハッキングや不正利用を受けやすいという弱点が存在するからです。

海外製の製品は特に注意が必要です。製造者が分かりにくい上に、日本で利用する際に必要なセキュリティが欠落している可能性があります。管理体制を敷く際にも、機能説明や仕様が不親切など不便です。

クラウドPBXを導入する際は、信頼できるベンダーを探し、運用をゆだねましょう。経験や知識が豊富なベンダーなら、海外製の製品も安心して利用することができます。業者を選ぶ際のポイントは、以下の通りです。

・インターネットの口コミやレビューの得点が高い
・アフターフォローが充実しており、トラブルがあった時の対応が素早い
・過剰な売り込みを行わず、必要な機能を的確に提供してくれる

複数の業者に資料請求と見積もりを要請し、上記条件を満たすベンダーを探しましょう。

スマートフォン利用も要注意

スマートフォンを、会社業務で利用するのは危険です。Wi-Fiに自動的に接続する設定の場合、外出先では最も強力な電波に接続されますが、それが悪意ある人間のものだった場合、内部の個人情報は全て流出してしまいます。悪意を持った人間のWi-Fiは「FREE-Wi-Fi」など一見無害に思える名前を付けており、瞬時に判別するのは困難です。

スマートフォンの情報が流出すると、以下のような犯罪に利用される可能性があります。

・銀行口座が乗っ取られ、高額商品を購入される
・位置情報、通話履歴などをコピーされ、機密情報を盗まれる
・勝手にアプリをインストールされ、高額な国際電話につながってしまう

会社業務に関連していた場合、被害はさらに深刻です。BYODでスマートフォンを業務に採用している企業も増えており、情報流出のリスクは年々高まっています。個人情報の流出といった直接的な被害はもちろんのこと、会社から責任を問われるケースもあるので、より一層注意が必要です。

スマートフォンを業務で利用する場合は、以下の条件を可能な限り満たしてください。

・アプリを不用意にインストールしない
・安全が確認されたWi-Fiを利用する
・ウイルス感染の危険があるサイトにアクセスしない
・一定のセキュリティ要件を満たした端末を利用する
・BYOD端末を管理するMDM(Master Data Management)を導入する

下記記事も参考にし、安心してスマートフォンを利用できる環境を作りましょう。