2017年12月20日の日記です


無言電話(SIP SPAM)  2017-12-20 18:39:52  コンピュータ 歯車

先日 IP 電話を導入したら、すぐに無言電話がかかってきた。


無言なので電話を切ると、すぐにまた掛かってくる。

もしかして、機器の設定を間違えて音声がうまく通じていないのか、と思ったが、自分で確認したら大丈夫。


そもそも、新しい会社電話番号は税理士さんにしか伝えていない。

(この年末調整で、税務署に伝えてもらうためだ)


税理士さんが確認のために電話をくれたのかな、と思ったが、それにしてもしつこい。

10回もかけ続ける、なんて人間が相手ではありえないだろう。


とりあえず、IP電話の機器から電話機のケーブルを引き抜く。

どうせまだほとんど誰も電話番号を知らないのだ。電話がつながってなくても構わない。




忙しくてそのまま数日。

やっと設定を見直す。


ネットで情報を探すと、SIP SPAM とか、 SPIT (SPAM over Internet Telephony)とかいうらしい。

IP 電話に対して、だれかれ構わず電話をかける、SPAM。


もっとも「SPAM」というのは語弊のある部分で、実際には宣伝などの通話をしたいわけではない。

電話機のポートが開いていないかを確認していて、ポートが開いているなら攻撃を試みるのだ。


ネットで対策方法を調査し、機器設定で、一か所ボタンを Yes にするだけで、簡単に対処できるとわかった。

でも、その設定の「意味」を知っておかないと気持ち悪い。


そんなに簡単な対処なら、なぜわざわざ変更可能にしてあり、初期状態が No なのか。

何か副作用があるのではないか。




そんなわけで、VoIP 電話機がどうやって動作しているのか、改めて確認したので、まとめておこう。


ちなみに、同じような「無言電話」に困っている人のために、先に対処を書いておこう。


僕は Grandstream の HT701 を使っている。


設定の FXS PORT というタブに、Authenticate incoming INVITE という項目がある。

初期状態は No なので、 Yes にすればよい。これだけで SIP SPAM による無言電話が無くなる。


他の機器でも、INVITE 、Authenticate あたりをキーワードに設定を探すと見つかると思う。

(日本語では INVITE 認証、と訳されることが多いようだ)




設定の意味を理解するためには、VoIP の概要を知る必要がある。


VoIP は、単純に言えば、アナログ音声をデジタルサンプリングして、パケット化して相手と相互通信する技術だ。

これ自体はそれほど難しいことではない。


問題は「相手」ってなぁに? ってことだ。

インターネットを使うのだから相手は IP アドレスで指定しないといけないが、電話なので電話番号で指定したい。


そこで、VoIP 電話を提供する会社が SIP サーバーというものを用意する。

契約したユーザーには、ID とパスワードを発行する。

電話番号は、この ID と紐づいている。



通信機器は、まず SIP サーバーに接続し、パスワードで認証を行う。

これが成功すれば、ID に対して、接続してきた IP アドレスを記録できる。


先に書いたように ID と電話番号は紐づいているので、IPアドレスと電話番号も紐づけられることになる。



電話をかけたい人は、SIP サーバーに接続して、電話番号を伝える。

すると、SIP サーバーはその電話番号相手の IP アドレスに接続し、「INVITE」(呼び出し)と伝える。


VoIP 通信機器は、INVITE を受信すると、電話を鳴らす。

電話を取った場合、サーバーは発信者の IP アドレスを教え、以降はサーバーを仲介しない直接通信となる。




SIP SPAM は、SIP サーバーでない第三者が、ランダムな IP アドレスに対して INVITE メッセージを送ることで起きている。

INVITE が受け付けられれば、そこに VoIP 通信機器があることがわかる。


PC やサーバーの存在を確認しても、そうした機器は注意を払ってセキュリティを固めてあることが多い。

それに対し、VoIP 通信機器のようなものは、セキュリティに注意を払われにくい。


悪意のある人間としては、乗っ取りやすいありがたい機器だ。

これを知りたいから、SIP SPAM が行われる。



余談になるが、外部ネットワークから参照可能で、設置したらそのままほったらかしの機器は同様の問題を抱える。

Webカメラやルーター、NAS や HDDレコーダーなど。


対策は、常に最新のファームウェアを入れるように気をつけること。

また、脆弱性が見つかったらすぐにファームウェアを更新してくれる、信頼ある会社の製品を使うこと。


VoIP 機器の場合、SIP SPAM で「無言電話」にならない対策をしても、上記問題は解決しない。

やはりファームウェアの更新に気を付けること。




さて、当初の SIP はこのような「悪意」を想定しないで設計されてしまった (RFC 2543)。

しかし、このような攻撃方法が認識された時点で、追加の RFC で対策が立てられた (RFC 4474)。



サーバーは、ユーザー認証のためのパスワードを知っている。

ユーザーも当然自分のパスワードを知っている。


でも、攻撃者はこのパスワードを知らない。


そこで、INVITE メッセージを送る際に、パスワードやそのほかの情報を使って計算した値を一緒に伝える。

両者で計算が合えば「正当な」INVITE メッセージ、それ以外は SPAM だ。



ここで、SPAM かどうかを判断するのは、受け付ける VoIP 機器側だ。

SIP サーバーが数値を伝えてきたとしても、受け取る VoIP 機器側で無視しても何ら問題はない。

(SPAM は無言電話となる)


また、後から追加された RFC なので、SIP サーバーが対応していない場合もあり得る。

この場合は、VoIP 機器側では比較すべき数値が渡されないため、正当な INVITE も、 SPAM と判断せざるを得なくなる。

(一切着信しなくなる)



前者はイライラするだけだが、後者は電話として致命的だ。

そのため、機器の初期設定としては、この機能を使用しない状態になっている。


SPAM に困って「使用する」に設定した場合は、自分で電話をかけて、着信できることを確かめたほうが良いだろう。

正常に着信すれば、SIP サーバーもこの機能に対応しており、他の副作用は生じない。




というわけで、設定変更一つで問題は解決した。

これで、着信待ちだけなら無料の電話回線が一つ用意できた。


以前書いたけど、僕に用事がある人は僕の携帯やメールに連絡をよこすため、多分使わない。

「会社電話番号」を知りたがるお役所のために用意しているだけだ。

その役所も電話をかけてくることは、まずない。


使わないからこそ、無料になるのはありがたい。



同じテーマの日記(最近の一覧)

コンピュータ

歯車

関連ページ

IP電話【日記 17/12/12】

別年同日の日記

02年 ムカツク店員

03年 日記エンジンバージョンアップ

13年 Robot Turtles

15年 honor6 plus 使い勝手レビュー

18年 メインマシンに Win 再インストール


申し訳ありませんが、現在意見投稿をできない状態にしています


戻る
トップページへ

-- share --

1000

-- follow --




- Reverse Link -