4,174
回編集
差分
→注意喚起
=='''注意喚起'''==
===テレワーク関連に対する注意喚起===
テレワーク関連で、SIPポートへのアタックが考えられますので注意喚起しておきます。
*影響を受ける環境/状況:
テレワーク環境(家庭等)でSIP対応の電話機、ソフトフォンなどを使用しておりクラウドサービスや、会社のIP-PBXに接続している場合。
*考えられる攻撃:
これまでインターネット上に広まっていたSIPポート(主に5060/udp)に対する攻撃を一般家庭でも受ける可能性があります。<br>
現象としては『謎の』着信がある、正体の不明の相手からの通話要求があるが電話に出られない、出ても何も聞こえないなどです。
攻撃の影響を受ける理由/場合:
SIP対応の電話機あるいはソフトフォンがローカルのSIPポートとして5060を使用している場合、SIPポートに対するアタックの対象となります。これはAsterisk等のサーバのSIPポートが5060であるかどうかに関係しません。<br>
[電話機 5060] <=====> [Asterisk 5060]<br>
一般的、SIPの電話機/ソフトフォン(SIPクライアント)はAsteriskやIP-PBXに対して、自分の「所在」を登録するためREGISTERを行い、通話を開始するためにはINVITEを行います。この際、SIPクライアントが「目がけて行く」先は、AsteriskやIP-PBXの IPアドレス:ポート番号です。ご承知の通り、このポート番号が5060番の場合、インターネット上から攻撃を受けることがよくあり、皆さんもポート番号をずらす、あるいはファイアウォールで防御する等の対策を取られていると思います。ところが昨今のテレワーク環境においては、このAsteriskやIP-PBXのポート番号ではなく、SIP電話機やソフトフォン側のポート番号で、一部の電話機/ソフトフォンでは『ローカルSIPポート』として5060を使うものがあることが知られています。ここで、問題とするのはこのローカルSIPポートです。
*対策:
不用意な攻撃を受けないようにする方法はいくつかあります。<br>
・電話機/ソフトフォンのポート番号をずらす<br>
電話機あるいはソフトフォンの設定で、ローカルSIPポートを5060以外のところにずらしてください。ここで、〇〇番が良い、などと書くとその情報が伝播して攻撃対象となることが考えられますので、『不都合のない適切な』値に設定してください。<br>
・家庭側でもフィルタ/ファイアウォールを施す<br>
クラウド上のIP-PBXや会社のサーバのIPアドレスが固定、あるいは、ある範囲にある場合ならば、家庭側のルータ等でSIPポート番号に対する『入り』(着信)をそのIPアドレスからのみ許可するようにしてください。<br>
<br>
急な対応により、不用意なSIP電話機やソフトフォンも増えているかと思いますので、皆様、お気をつけください。サーバ側の5060ポートに対しては慎重に行動されているかとは思いますが、家庭等に電話機を持っていった場合、5060が開いているかもしれないということを失念されていることがあります。今回、問題としているのは電話機ソフトフォン側のポート番号ですので、注意をお願いします。
===DNSへのアタックに注意===
DNSへのアタックが多発しています。サーバを運用している方は特にご注意ください。普通のアクセスルータでも、まずいケースがありますのでアクセス回線でも速度がおかしい場合には注意した方がよいかもしれません。<br>
