不具合存在するも「被害との因果関係は検証不能」 - IP電話高額請求問題
レカム製のIP電話システムにおいて、第三者による海外への大量発信により通信料の高額請求が発生した問題で、レカムは調査結果を公表した。機器におけるセキュリティ上の不具合を認めたものの、不正発信被害との因果関係については言及を避けた。
同社が販売していたIP電話機「IPビジネスホン・AI900」において、ネットワーク経由で第三者が利用者になりすまして海外へ多数の発信を行い、高額な通信料が発生したもの。
SIPサーバ(IP-PBX)が不正アクセスを受け、IP電話が不正利用されてしまう被害は以前より報告されているが、2015年3月ごろから再び被害が目立っていたことから、ネットエージェントが実際に被害にあった2社について調査を実施し、結果を6月に公表していた。
ネットエージェントでは、調査対象となった2社がいずれもレカム製のIP電話システムを導入しており、セキュリティにおける複数の問題点を指摘。これに対しレカムは、指摘内容はネットエージェント独自の見解であり、不正アクセスの原因ではないと反論していた。
一方で、レカムは同社顧客において被害が74件、あわせて5000万円にのぼっていることを公表。また3月上旬から4月初旬にかけて発生した不正通信による被害の大半が、レカムのIP電話システムで発生していたとの説明を通信キャリアから受けたことを明らかにしている。
ただし、6月の時点では、製品上の瑕疵は確認されていないとし、不正アクセスに関しては原因不明であり、「法的な責任はないと判断している」との見解を示した上で、引き続き調査を実施するとしていた。
同社は今回の調査について、同社子会社が機器を製造したが、すでに電話機製造から撤退しており、製造事業を他社に事業譲渡していると説明。そのため外部に協力を求めたという。
今回の調査を通じて、同社は同機器にセキュリティ上の不具合があったことを認めた。しかし、同社ではこれまでに発信規制など別途対策を3月下旬以降すでに実施しており、「あらたな不正アクセスが行われていない」ことを理由に、「現時点で実際の被害との因果関係を検証できない」として、不具合が不正アクセスへ与えた影響について言及を避けた。
また今回判明した不具合に関しては、「IP電話機全般の不正アクセスを引き起こす懸念がある」などとして具体的な内容の公表を避けている。詳細については、情報通信ネットワーク産業協会の加盟企業へ情報を提供するという。
同機器の利用者には、ファームウェアのアップデートによる不具合の解消、インターネットからの切り離し、代替電話機の無償貸与などの措置を講じる。また同社では、社長や役員、関係者を対象に、報酬減額の処分を実施するとしている。
(Security NEXT - 2015/09/28 )
ツイート
関連リンク
PR
関連記事
巧妙化続くサポート詐欺、窓口相談は前年度の約1.6倍
VoIP電話「Cisco IP Phone」に複数の脆弱性 - アップデートが公開
NTT東西、特定国番号の着信拒否できず - 海外迷惑電話で相談窓口
まほろば工房のIP-PBX製品にRCE脆弱性 - アップデートの実施を
Cisco製IP電話に脆弱性、PoCが公開済み - パッチは来年公開予定
SIPサーバの探索行為が再び増加 - IP電話乗っ取りに注意を
「675」から始まる着信履歴に注意 - 折返電話で高額料金のおそれ
電気通信事業者向けサイバー攻撃対処のガイドラインを改訂
NTT東、スマホのBYOD向けにクラウドサービス
「マイナンバー総合フリーダイヤル」を開設 - 総務省