「かけた覚えのない国際通話にご注意ください 」(NTT東日本のサイト)
最近、IP電話サービスをご利用の方において、「かけた覚えのない国際通話料金が請求された」という事象が発生しており、NTT東日本およびNTT西日本のひかり電話をご利用いただいている一部のお客様からも、同様のお申し出をいただいております。
調査の結果、お客様がIP-PBXソフトウェア等※1を設置しており、そのセキュリティ対策が不十分な場合に、第三者が内線電話端末登録機能を悪用し、インターネット経由で内線電話端末になりすますことによって、あたかもお客様がひかり電話から発信し
ているかのように、国際通話を行うケースが確認されています。
※ IP-PBXとは、Internet Protocol Private Branch eXchange(インターネットプロトコル構内交換機)の略。IPネットワーク内で、IP電話端末の回線交換を行なう装置およびソフトウェアのことです。企業や家庭などのLANにおいて、IP電話による内線電話網を実現する等の目的で使用されます。
※ 赤字と下線は、私が付しました。
【別紙】内線電話端末なりすましによる不正通話イメージ
外出先等からインターネット経由で本社のIP-PBXソフトウェア等へアクセスし、IP電話等から発信できるようお客様が設定をしている場合に、第三者によりインターネットを経由して、IP-PBXソフトウェア等の内線電話端末になりすまされることで、IP電話等契約者が意図しない国際電話に接続される事例。
※ 赤字と下線は、私が付しました。
この別紙は、図解を用いた説明をしていますが、イメージをつかみやすいです。同じようなテーマの問題は以前もありましたが、仕組みが異なっています。
発表資料の内容をまとめると、
「企業や家庭などのLANにおいて、IP電話による内線電話網を実現する等の目的で使用されるソフトウェアを悪用して、インターネット経由で内線電話端末になりすますことによって、あたかも当該企業や個人がひかり電話から発信しているかのように、国際通話を行うケース」
という点が特徴でしょうか。
紹介されている対策は
①必要が無い場合はインターネットからIP-PBXソフトウェア等へのアクセスを許容しない、
②第三者が類推しやすい内線電話端末用のIDやパスワードは設定しない
でした。
