ビジネスフォンの乗っ取りで高額請求に！不正利用されないための”イロハ”

効率よく顧客対応するのには欠かせない“ビジネスフォン”。

一見すると便利なだけのビジネスフォンには“乗っ取り”というリスクがあることをご存知ですか？正しく対処していないと、不正利用され高額請求につながる可能性があります。

事実、総務省からビジネスフォンなどの乗っ取りに対して注意喚起がされたほど（参考：NTT東日本の案内）。

そこで、今回はビジネスフォンの乗っ取りに遭わないためのポイントをご紹介します。
乗っ取りにつながる状況と対処、両方についてまとめていますのでぜひ参考にしてください。導入や設定の見直しを検討中の方は、まずはビジネスフォンの総合案内もあわせてご覧ください。

冒頭で紹介した通り、ビジネスフォンには常に“乗っ取り”というリスクがあります。
では、ビジネスフォンの乗っ取りに遭うとどのような被害につながるのでしょうか？

ビジネスフォンが第三者に不正利用され高額請求に

2015年6月、総務省からビジネスフォンなどの乗っ取りに対する注意喚起がされました（参考：NTT東日本の注意喚起）。

ビジネスフォンなどが乗っ取り（不正利用）され、高額な国際電話料金が請求されるというもの。
ビジネスフォンの抱えるソフトウェアの脆弱性、セキュリティ面での不十分さが指摘されています。

つまり、すでに政府が動きだすほどの重大な事態にまで発展している訳です。

ビジネスフォンの乗っ取りで高額請求となる事例も

頻繁に国際電話が使用されると、高額な被害（国際電話料金）につながることがあります。
また、中にはビジネスフォンに記録された顧客情報が流出した可能性のある企業も。

「自分は大丈夫…」と思っていると、“信用”さえ失いかねない危険性があるのです。

NTTが被害者に対して条件付きの個別対応を発表

2015年7月6日、NTT東日本・西日本は、国際不正通話の発生を認知して発信規制を申し出たものの工事完了まで時間を要したケースについて、当該期間の通話料金相当額を支払う個別対応を発表しました（報道発表資料）。
ただし、基本的には通信事業者・メーカーからの弁済はないので、自社で対策するしかありません。

ビジネスフォンの乗っ取りで狙われるのは主に“IP-PBX”、つまりインターネット回線を使用したもの。では、なぜインターネット回線を使用したビジネスフォンは乗っ取りに遭いやすいのでしょうか？

ビジネスフォンの乗っ取りは“ハッキング（クラッキング）”から

インターネット回線は原則として“開かれた空間（Wide Area Network）”です。

その為、対策を講じていないと“誰でも・どこでも・いつでも”自由に閲覧・操作できることに。
インターネットに関する知識さえあれば、対策されていないシステムの改ざんは簡単なのです。

もちろん、多くのシステムは乗っ取りに遭わないよう様々な対策を講じています。

“ID・パスワード”はもっとも簡単な対策で、ビジネスフォンでも必ず設定する必要が。
さらに別のシステム（監視プログラム）も取り入れるなど、2重,3重の対策が効果的です。

ただし、ビジネスフォンのようなシステムは、1度でも侵入されると一瞬で被害が膨れ上がります。

1日,2日と短期的な乗っ取りでも数百万の国際電話料金の請求につながることも。
悪質な乗っ取りに遭わない対策を、今すぐにでも導入することが欠かせない訳です。

ビジネスフォンの乗っ取りは“ID・パスワードが初期設定のまま”だったから

ビジネスフォンが乗っ取りに遭う1番の原因は“ID・パスワードが初期設定のまま”だったからです。

というのも、ビジネスフォンに設定されている初期のID・パスワードは似た文字列に。
例えば、0000や1111など単調な数列になっていることが多いのです。

「乗っ取りって特別な技術が必要なのでは？」と思うかもしれませんが、意外と単純なものばかり。
ハリウッドのスパイ映画のようなものは稀で、基本的にはパスワードを予想して入力する地味なものです。

反対に、ID・パスワードさえ適切に設定していれば、およその乗っ取りは防げるとも言えます。

ビジネスフォンの乗っ取りは“ソフトウェアの古さ”も関係している

ビジネスフォンの乗っ取りでは“ソフトウェアの古さ”が関係していることもあります。

インターネット業界は1年間で、他の業界が10年かかる進歩を遂げると言われています。
つまり、今年発表された最新技術も、来年には10年前の技術と同じということです。

当然、ハッキングの技術も向上しているので、古いソフトウェアは格好の獲物に。
古いソフトウェアを使い続けるという、それだけで乗っ取りのリスクを背負っているようなものです。

ソフトウェアを最新に保つことで、犯人から獲物として認識されず狙われにくくもできます。

ID・パスワードを設定し、システムを最新の状態に保っているだけでも被害を防ぐことにつながります。
ただし、セキュリティ面をより強化したいのなら、上記のような対策だけでは不十分です。

ビジネスフォンのID・パスワードは実務的な頻度で適切に変更する

まず、ビジネスフォンのID・パスワードは“使い回しを避け、長く推測困難なものに設定”し、漏えいや不正の兆候がある場合や権限変更時に速やかに更新しましょう。むやみに頻繁な変更を強制するのではなく、多要素認証の併用や保管方法の見直しが有効です（参考：政府ハンドブック）。

無償チェックツールで定期的に現状を把握する

次に、オフィス全体を“チェックツール”で定期的に監視することも効果的です。

というのも、インターネット回線はオフィス全体で共有しているものです。
ビジネスフォンだけでなく、パソコンや複合機などもインターネット回線を利用しています。

パソコンがウイルスに感染し、インターネット回線を通してビジネスフォンにということも。
ビジネスフォンだけ対策していても、周りのセキュリティが甘いと効果が薄れます。

無償チェックツールでも十分なので、定期的に現状を把握することが大切です。

国際電話の利用を限定または休止させる

最後に、高額な国際電話料金に対しては、“国際電話の利用を休止する”のでも対策できます。

ビジネスフォンの乗っ取りにおける、もっとも多い被害が国際通話の利用によるもの。
つまり、国際通話のできない状態であれば、乗っ取りに遭っても被害を抑えられるのです。

正直、国際通話を頻繁に必要としているのは一部の企業だけです。
ほとんどの企業は国際電話をまったく利用しない、または稀に利用するだけ。

ビジネスフォンからは利用できないようにし、国際電話は一部の携帯（スマホ）に限定しましょう。なお、国際電話の利用意向確認や休止の案内が各社で整備されています（例：NTT東日本の案内）。設定や見直しの相談はこちらからも可能です。

先ほど、ビジネスホンの乗っ取りに狙われるのは主に“IP-PBX”と紹介しました。
ただし、ビジネスホンの乗っ取りでは“クラウドPBX”についても注意した方がいいです。

セキュリティ面での実装は事業者ごとに差がある

“クラウドPBX”とは、クラウド上（インターネット上）にビジネスホンのシステムを設置したもの。
オフィス内に設備を設置する必要がないと、少しずつ人気の高まっているビジネスホンです。

クラウドPBXは海外製を含む多様なサービスがあり、提供事業者ごとにセキュリティ対策の水準や運用が異なります。選定時は、暗号化・認証・ログ監視などの実装やサポート体制を確認しましょう（参考：IPA「クラウドサービス安全利用の手引き」）。

ウェブ上での管理は運用設計とサポート確認が鍵

クラウドPBXはインターネット上（ウェブ上）にある管理画面から管理できるのが魅力です。
ただし、サービスにより仕様や用語が異なるため、初期設定や運用は慣れが必要です。

日本語サポートやマニュアルの充実度、障害時の対応窓口など、運用サポートの実態を事前に確認すると安心です。

システム連携には知識が必要に

およその規格はあるものの、基本的にクラウドPBXは提供者の設計に依存します。
特に、プログラムの部分は製作者の癖によるところが大きく、専門知識がないと解析できないことも。

ビジネスホンの魅力である他のシステムとの連携も、クラウドPBXだと難しいことがあるのです。

もし、どうしてもクラウドPBXを導入するなら“業者選び”を慎重に。専門の技術者が適切な知識と技術で対応してくれるところもあります。