FBI、VoIPシステムのバグを悪用したフィッシング電話への注意を喚起
「Asterisk」ソフトウェアの脆弱性を悪用し、大量に呼発信米国連邦捜査局(FBI)は12月5日、犯罪者がIP-PBXソフトウェア「Asterisk」の脆弱性を悪用しているとの警告を発した。攻撃者は発信者を偽って、1時間に数千回もの呼発信をすることが可能だという。
FBIの発表では、具体的にAsteriskのどのバージョンがこの脆弱性を持つのかは明らかにされていない(同ソフトウェアを最新版にアップデートするよう推奨されている)。AsteriskはLinuxで稼働するオープンソース・ソフトウェアで、VoIP(Voice over IP)電話の交換機(IP-PBX)の役割を果たす(関連記事)。
いわゆる「ビッシング(vishing)」攻撃(電話を使ったフィッシング詐欺全般)では、犯罪者がVoIPシステムを悪用して偽のコールセンターを構築し、金融機関などを装った電子メールなどでユーザーに電話をかけさせるようしむけるパターンが多い。電話をかけたユーザーは、個人情報やアカウント情報をだまし取られるという仕組みだ(関連記事)。だが、FBIの説明によれば、今回の犯罪者らは正規のAsteriskシステムを乗っ取り、ターゲット・ユーザーに直接電話をかけているという。
FBIが5日に「Internet Crime Complaint Center(IC3:インターネット犯罪通報センター)」のサイトへ掲載した勧告には、次のように記されていた。「Asteriskの初期バージョンに脆弱性が存在することは、すでに知られている。犯罪者はこの脆弱性を悪用し、Asteriskを自動ダイヤル装置として機能させ、1時間に数千本もビッシング電話をかけられるように仕組んでいる」。
Digiumが中心となって開発を進めるAsteriskソフトウェアは10年ほど前から利用されており、これまでも深刻な脆弱性が数多く見つかっている。例えば今年3月には、Mu Dynamicsの研究者らが、攻撃者にAsteriskシステムのコントロールを可能にするバグを報告している。
FBIが今回言及したバグの詳細については、Digiumでも把握していないという。同社のAsteriskオープンソース・コミュニティ担当ディレクター、ジョン・トッド(John Todd)氏は、おそらくこれは3月に発見された前述のバグだと推測している。「この脆弱性は、VoIPシステムに登録されている個人アカウントを乗っ取れるものだとされている。確かに、最悪の場合、1時間に何千回も呼発信する行為にまで発展する可能性がある」(トッド氏)。
それでも、FBIが言うような攻撃を実際に起こすのはきわめて難しい、とトッド氏は説明する。Asteriskがインストールされているシステムの大半は、実際にはファイアウォールやその他のセキュリティ・ソフトウェアによって保護されている。さらに、万が一ビッシング攻撃者がシステムに不正アクセスできたとしても、1つのアカウントが同時発信できる数は、通常は管理者によって制限されているからだ。「したがって、1時間に数千回の発信ができるようなケースはまれだ」(トッド氏)。
同氏は、旧バージョンのAsteriskはこの脆弱性の影響を受けるが、最新のバージョン1.6では問題ないと話している。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
