モーグルとカバとパウダーの日記

モーグルやカバ(EXカービング)山スキー(BC)などがメインの日記でした。今は仕事のコンピュータ系のネタが主になっています。以前はスパム対策関連が多かったのですが最近はディープラーニング関連が多めです。

VoIPから国際電話を掛けることで金をかすめ取る攻撃手法

10年近く昔、まだ世の中はダイアルアップ接続が一般的だった頃、エロサイトに行くと動画を見るためにはこれをインストールする必要がある、と言われてexeを走らせると、勝手にダイヤルQ2*1経由でのインターネット接続に変更されてしまい、それで金をとられる、という詐欺手法があった。
その後、普通の契約のままではQ2が利用できないようにダイヤルQ2側で対策が取られると、今度はQ2ではなく国際電話で接続先を作るように進化した。


国際電話経由でインターネットにつなげてしまうわけだから、当然のように莫大な電話料金が掛かる。
しかしなぜ国際電話を掛けさせるようにするのか。
実は国際電話を掛ける先はアフリカの小国とかになっていて、そこの電話会社と裏でつながっており、そこからバックマージンをもらって儲けていたのだ。


しかし時は経ち、ダイアルアップ接続はすっかりすたれて、「電話回線」がつながっているPCはとても少なくなったため、これらの詐欺手法もすっかり絶滅した。



…で、ここまでが前提知識。


以前から、cNotesさんところを見てるとSIPを狙った攻撃が結構あるので、なんでだろう?と思っていました。電話を「タダ掛け」できても別にそんなにうれしくないだろう… と思ったからです。
cNotesの管理人の方も同様の疑問をお持ちのようでした。


不正なSIP着信 24 - cNotes: Current Status Notes
http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=%C9%D4%C0%B5%A4%CASIP%C3%E5%BF%AE+24

世界中から、タダがけ電話ができるサーバーを探しまくってるってこと。。。?そういうニーズ?市場があるんでしょうかね?


が、やっと理由がわかりました。


国際通話45,000円分の発信をされてしまいました - VoIP-Info.jp BBS
http://bbs.voip-info.jp/forum/viewtopic.php?showtopic=3808

Asteriskの外線用にウィルコム回線を接続しています。
昨日、ウィルコムから月額利用料の請求書が届いたのですが
いつもは2千円程度なのに今月は4万円近い金額だったのでビックリ。


何か誤った運用により意図しない発信をしてしまったのかなと
その時点では思っていたのですが、数日前に010の番号で始まる
外線発信を現場で数回見たことがあったのを思い出し、
SIPアカウントが乗っ取られて悪用されていたことを確信しました。


…略
その後、当方が作成していた既存のSIPアカウントでログインされて
6/21からドミニカ国の電話番号に何度も発信されてしまいました。


SIPのアカウントをクラックして、乗っ取ったVoIPサーバから国際電話を掛けさせるわけです。
そのあとの仕組みは懐かしのダイアルアップの頃と同じで、国際電話で掛けさせる先の小国電話屋からバックマージンをいただくというわけでしょう。
これ被害額が4万なのはまだ良いほうで、24時間電話を掛け続けられる環境なわけだから、桁が一つ二つ違っていてもおかしくないはずです。



さて、この手法を発展させると、Asteriskみたいな構内IP電話サーバ導入しているところじゃなくても、VoIPさえ導入されてれば使えそうな気がします。


ガンブラーのような手法でまずPCへと入り込み、内からVoIPルータにアクセスしてSIPのアカウントを取得したり一部設定を変更したりすれば、PCから任意の番号に対してVoIPの発信ができるようになるはずです。


例えば、ひかり電話のルータ配下PCからソフトフォンでの発信が可能なようです。

EZ-NET: ひかり電話をソフトフォン 3CX Phone で利用してみる
http://report.station.ez-net.jp/software/3cx/phone.asp


特に日本では、ひかり電話BBフォンを導入しているところは多いでしょうから、特定ルータに対してだけのコードでも相当な数が攻撃対象となりうると思います。


PC犯罪で攻撃者側が一番難しい点は「どうやって金にするか」というところではないか思うのですが、この手法の場合、アカウント当たりの儲けが非常に大きくすることができます。
少なくとも、アカハックしてRMTするよかずっと効率が良いでしょう。


というわけで、もしかしたら今後この手の攻撃がすごい増えるかも、と思いました。
ただ5,6年前、暴露ウイルス+普通のウイルスメールというのが来る!と予想してはずしてるから、今度もはずれればいいのだが。今だと暴露ウイルス+ガンブラーだろうね。これも相当たまらんけど。



(7/22 追記)

ソネットIP電話で"なりすまし"による不正利用が判明 | ネット | マイコミジャーナル
http://journal.mycom.co.jp/news/2010/07/21/031/index.html


これ、アカウント盗んで不正利用されたってことはわかるけど、どういう使い方をされたかまでは書いてない。
でも組織的に大量アカウント盗んでやってたってことは、それなりに儲ける手法確立してやってるってことだと思う。
なので、まさにここで懸念してたようなことを、すでにやられてるのかも。


また、同様の攻撃食らった人の記録がぼちぼちと見つかった。掛ける先は今のところ中米が多いのかな?


Asteriskへのなりすまし国際発信被害の対策について - VoIP-Info.jp BBS

http://bbs.voip-info.jp/forum/viewtopic.php?showtopic=3633


[Asterisk] 050IP電話番号をAsteriskで運用している人は気をつけて!SIPを攻撃されるのが流行っています。 - --kenti.jp-- そんなわけで

http://www.kenti.jp/dat/2009/09/asterisk_050ipa.html



(8/17 追記)

niftyIP電話ユーザの方で30万!もの被害を受けた方からトラックバックいただきました。


不正アクセスの餌食になってた - パソコン・メモメモ備忘録


詳細レポートはまだですが、これはほんとうにヤバい攻撃手法だと改めて感じました。
IPフォン使ってるユーザにはもっと注意喚起が必要でしょう。
特にパスワードが、内部からのアクセスしか許してないからということで、固定的な簡易なものになっているばあいとか、同じサービス使ってるユーザが狙い撃ちで根こそぎやられる可能性が考えられます。


(10/12 追記)

id:umonist さんのところで、niftyIP電話不正使用された件の追記がされました。

Asterisk 不正アクセス 雑感 - パソコン・メモメモ備忘録


(11/25 追記)

一般記事でもこの攻撃手法が紹介された。
被害額が数百万円という事例もあったらしい。

IP電話不正接続多発、国際電話数百万円分も : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞)
http://www.yomiuri.co.jp/atmoney/news/20101124-OYT1T01005.htm


ちなみに、IP電話をサービスしてるISPでは、標準では国際電話が掛けれないようにして、国際電話を掛けたい人は申し込みが必要にする、というような対処をしたところもあるみたい。それは良い対応だと思う。


(11/26 追記)

JAIPAのTopicsでも取り上げられていた。
こちらには、asterisk以外の一般のIPフォンでも不正利用された事例があると書かれている。
どうもメールアドレスをアカウントに利用するサービスで、パスワードを使いまわしている時にそのアカウントとパスワードを使われてしまっているらしい。

JAIPA Topics » IP電話の不正利用による国際通話に関する注意喚起について
http://www.jaipa.or.jp/topics/?p=371


JAIPAの件はNTT Comのが元になってるのかな?
特定IPフォン機器が狙われてるっぽい。

ニュースリリース 2010年11月24日:050IP電話の不正利用による国際通話に関する注意喚起について | NTT Com 企業情報
http://www.ntt.com/release/monthNEWS/detail/20101124.html

IP-PBXソフトウェア※」や「特定のIP電話ルータ製品」をお使いになり、セキュリティ対策が不十分なまま内線電話端末を登録されている場合に、第三者がインターネット経由でお客さまのご利用機器などに不正にログインし、お客さまになりすまして国際通話を行っているということが確認されています。


(12/20 追記)

この攻撃に関してJPCERTがまとめた資料に、攻撃手法や対策についての記載もあります。

不適切な設定で Asteriskを利用した場合に発生し得る不正利用に関する注意喚起



(関連)

iPhoneに対するウイルスとその危険性 - モーグルとカバとパウダーの日記
http://d.hatena.ne.jp/stealthinu/20100812/p1


PukiWikiのURL書き換えスパマーは中国からのROのキャラ取得とRMT目的らしい - モーグルとカバとパウダーの日記
http://d.hatena.ne.jp/stealthinu/20070507/p1


W32.Antinny.*の次を考える 〜悪夢のようなウイルス - モーグルとカバとパウダーの日記
http://d.hatena.ne.jp/stealthinu/20040402/p2

*1:NTTのやってた有料電話サービス