注意喚起(SIPポートへのアタック)

高橋隆雄

unread,

Apr 15, 2020, 5:35:03 AM4/15/20

to 日本Asteriskユーザ会

テレワーク関連で、SIPポートへのアタックが考えられますので注意喚起しておきます。

影響を受ける環境/状況：

テレワーク環境(家庭等)でSIP対応の電話機、ソフトフォンなどを使用しておりクラウドサービスや、会社のIP-PBXに接続している場合。

考えられる攻撃：

これまでインターネット上に広まっていたSIPポート(主に5060/udp)に対する攻撃を一般家庭でも受ける可能性があります。現象としては『謎の』着信がある、正体の不明の相手からの通話要求があるが電話に出られない、出ても何も聞こえないなどです。

攻撃の影響を受ける理由/場合:

SIP対応の電話機あるいはソフトフォンがローカルのSIPポートとして5060を使用している場合、SIPポートに対するアタックの対象となります。これはAsterisk等のサーバのSIPポートが5060であるかどうかに関係しません。

[電話機 5060] <=====> [Asterisk 5060]

一般的、SIPの電話機/ソフトフォン(SIPクライアント)はAsteriskやIP-PBXに対して、自分の「所在」を登録するためREGISTERを行い、通話を開始するためにはINVITEを行います。この際、SIPクライアントが「目がけて行く」先は、AsteriskやIP-PBXの IPアドレス:ポート番号です。ご承知の通り、このポート番号が5060番の場合、インターネット上から攻撃を受けることがよくあり、皆さんもポート番号をずらす、あるいはファイアウォールで防御する等の対策を取られていると思います。

ところが昨今のテレワーク環境においては、このAsteriskやIP-PBXのポート番号ではなく、SIP電話機やソフトフォン側のポート番号で、一部の電話機/ソフトフォンでは『ローカルSIPポート』として5060を使うものがあることが知られています。ここで、問題とするのはこのローカルSIPポートです。

対策：

不用意な攻撃を受けないようにする方法はいくつかあります。

・電話機/ソフトフォンのポート番号をずらす

　電話機あるいはソフトフォンの設定で、ローカルSIPポートを5060以外のところにずらしてください。ここで、〇〇番が良い、などと書くとその情報が伝播して攻撃対象となることが考えられますので、『不都合のない適切な』値に設定してください。

・家庭側でもフィルタ/ファイアウォールを施す

　クラウド上のIP-PBXや会社のサーバのIPアドレスが固定、あるいは、ある範囲にある場合ならば、家庭側のルータ等でSIPポート番号に対する『入り』(着信)をそのIPアドレスからのみ許可するようにしてください。

急な対応により、不用意なSIP電話機やソフトフォンも増えているかと思いますので、皆様、お気をつけください。サーバ側の5060ポートに対しては慎重に行動されているかとは思いますが、家庭等に電話機を持っていった場合、5060が開いているかもしれないということを失念されていることがあります。今回、問題としているのは電話機ソフトフォン側のポート番号ですので、注意をお願いします。

--

Takao Takahashi

まこと

unread,

May 2, 2020, 2:52:36 PM5/2/20

to 日本Asteriskユーザ会

どうしても、影響がある状況が想定できないのですが、

家庭内LAN内では確かに、5060のままですが、

一般的なルーターですと、NAPTによって、インターネット側に出ると、60001のようなポートに変換されると思うのですが。

でもこの時、60001に攻撃されてしまうと、受けてしまうかな。

あとは、パソコンで直接PPPoEでネット接続していると、直接5060で攻撃される。

勘違いしていたらゴメンナサイ。

高橋隆雄

unread,

May 3, 2020, 6:20:19 PM5/3/20

to 日本Asteriskユーザ会

これちょっと気を付けてください。

わかってる人は『わかってて』開けてると思うのですが

>一般的なルーターですと、NAPTによって、インターネット側に出ると

ここで言っているポートは電話機orソフトが開けて待っているポートで外へ『出ない』です。

SIPの電話機で着信する場合はUDPで口開けて待っている状態なので、NAT配下で着信させ

る場合には静的NATとFWの調整をしているはずなので、わかってて開けている場合には気が

つくのですが、わからずに開けていると危ないです。ソフトによっては自分がregisterした

ドメインからしか着信を受け付けないのですが、そうでないものも多くあります。

余計な着信が大量に来るだけなので実害はないといえるかもしれませんが、実際に報告のあ

がっているケースでは業務に支障が出るほどの着信があるそうです。まあ、総当たりしてく

るので、そうなるわけですけども。

2020年5月3日(日) 3:52 まこと <kura...@gmail.com>:

--
このメールは Google グループのグループ「日本Asteriskユーザ会」に登録しているユーザーに送られています。
このグループから退会し、グループからのメールの配信を停止するには asterisk-ug...@googlegroups.com にメールを送信してください。
このディスカッションをウェブ上で閲覧するには https://groups.google.com/d/msgid/asterisk-ug/1a4a2738-b212-480c-ab95-76961720774b%40googlegroups.com にアクセスしてください。

--

Takao Takahashi