ビジネスフォンの乗っ取りで高額請求に！不正利用されないための”イロハ”

効率よく顧客対応するのには欠かせない“ビジネスフォン”。

一見すると便利なだけのビジネスフォンには“乗っ取り”というリスクがあることをご存知ですか？正しく対処していないと、不正利用され高額請求につながる可能性があります。

事実、総務省からビジネスフォンなどの乗っ取りに対して注意喚起がされたほど。

そこで、今回はビジネスフォンの乗っ取りに遭わないためのポイントをご紹介します。
乗っ取りにつながる状況と対処、両方についてまとめていますのでぜひ参考にしてください。

冒頭で紹介した通り、ビジネスフォンには常に“乗っ取り”というリスクがあります。
では、ビジネスフォンの乗っ取りに遭うとどのような被害につながるのでしょうか？

ビジネスフォンが第三者に不正利用され高額請求に

2015年6月、総務省からビジネスフォンなどの乗っ取りに対する注意喚起がされました。

ビジネスフォンなどが乗っ取り（不正利用）され、高額な国際電話料金が請求されるというもの。
ビジネスフォンの抱えるソフトウェアの脆弱性、セキュリティ面での不十分さが指摘されています。

つまり、すでに政府が動きだすほどの重大な事態にまで発展している訳です。

ビジネスフォンの乗っ取りで250万円の被害になった事例も

ビジネスフォンの乗っ取りでは1社あたり250万円の被害になった事例もあります。

頻繁に国際電話が使用されたことが、高額な被害（国際電話料金）につながった要因とのこと。
また、中にはビジネスフォンに記録された顧客情報が流出した可能性のある企業も。

「自分は大丈夫…」と思っていると、“信用”さえ失いかねない危険性があるのです。

NTTが被害者に対して一部弁済する事態にまで

2015年7月6日、NTT東日本・西日本は契約者（被害者）に対して一部弁済を発表しました。

リストに記載された契約者は約120社と、弁済額は約7,100万円にもなるのだとか。
実態が把握され、NTTや契約者が対策するまでに発生する被害の弁済に当てるためです。

ただし、基本的には通信事業者・メーカーからの弁済はないので、自社で対策するしかありません。

ビジネスフォンの乗っ取りで狙われるのは主に“IP-PBX”、つまりインターネット回線を使用したもの。では、なぜインターネット回線を使用したビジネスフォンは乗っ取りに遭いやすいのでしょうか？

ビジネスフォンの乗っ取りは“ハッキング（クラッキング）”から

インターネット回線は原則として“開かれた空間（Wide Area Network）”です。

その為、対策を講じていないと“誰でも・どこでも・いつでも”自由に閲覧・操作できることに。
インターネットに関する知識さえあれば、対策されていないシステムの改ざんは簡単なのです。

もちろん、多くのシステムは乗っ取りに遭わないよう様々な対策を講じています。

“ID・パスワード”はもっとも簡単な対策で、ビジネスフォンでも必ず設定する必要が。
さらに別のシステム（監視プログラム）も取り入れるなど、2重,3重の対策が効果的です。

ただし、ビジネスフォンのようなシステムは、1度でも侵入されると一瞬で被害が膨れ上がります。

1日,2日と短期的な乗っ取りでも数百万の国際電話料金の請求につながることも。
悪質な乗っ取りに遭わない対策を、今すぐにでも導入することが欠かせない訳です。

ビジネスフォンの乗っ取りは“ID・パスワードが初期設定のまま”だったから

ビジネスフォンが乗っ取りに遭う1番の原因は“ID・パスワードが初期設定のまま”だったからです。

というのも、ビジネスフォンに設定されている初期のID・パスワードは似た文字列に。
例えば、0000や1111など単調な数列になっていることが多いのです。

「乗っ取りって特別な技術が必要なのでは？」と思うかもしれませんが、意外と単純なものばかり。
ハリウッドのスパイ映画のようなものは稀で、基本的にはパスワードを予想して入力する地味なものです。

反対に、ID・パスワードさえ適切に設定していれば、およその乗っ取りは防げるとも言えます。

ビジネスフォンの乗っ取りは“ソフトウェアの古さ”も関係している

ビジネスフォンの乗っ取りでは“ソフトウェアの古さ”が関係していることもあります。

インターネット業界は1年間で、他の業界が10年かかる進歩を遂げると言われています。
つまり、今年発表された最新技術も、来年には10年前の技術と同じということです。

当然、ハッキングの技術も向上しているので、古いソフトウェアは格好の獲物に。
古いソフトウェアを使い続けるという、それだけで乗っ取りのリスクを背負っているようなものです。

ソフトウェアを最新に保つことで、犯人から獲物として認識されず狙われにくくもできます。

ID・パスワードを設定し、システムを最新の状態に保っているだけでも被害を防ぐことにつながります。
ただし、セキュリティ面をより強化したいのなら、上記のような対策だけでは不十分です。

ビジネスフォンのID・パスワードは定期的に変更する

まず、ビジネスフォンのID・パスワードは“定期的に変更”することを心がけましょう。

理想を言うと、ID・パスワードは毎日のように変更するのがおすすめです。
銀行や証券会社など、機密性の高い業界では頻繁にパスワードが変更されています。

ただし、実際には難しいので、1,2カ月ごとに変更するくらいが良いと言えます。

無償チェックツールで定期的に現状を把握する

次に、オフィス全体を“チェックツール”で定期的に監視することも効果的です。

というのも、インターネット回線はオフィス全体で共有しているものです。
ビジネスフォンだけでなく、パソコンや複合機などもインターネット回線を利用しています。

パソコンがウイルスに感染し、インターネット回線を通してビジネスフォンにということも。
ビジネスフォンだけ対策していても、周りのセキュリティが甘いと効果が薄れます。

無償チェックツールでも十分なので、定期的に現状を把握することが大切です。

国際電話の利用を限定または休止させる

最後に、高額な国際電話料金に対しては、“国際電話の利用を休止する”のでも対策できます。

ビジネスフォンの乗っ取りにおける、もっとも多い被害が国際通話の利用によるもの。
つまり、国際通話のできない状態であれば、乗っ取りに遭っても被害を抑えられるのです。

正直、国際通話を頻繁に必要としているのは一部の企業だけです。
ほとんどの企業は国際電話をまったく利用しない、または稀に利用するだけ。

ビジネスフォンからは利用できないようにし、国際電話は一部の携帯（スマホ）に限定しましょう。

先ほど、ビジネスホンの乗っ取りに狙われるのは主に“IP-PBX”と紹介しました。
ただし、ビジネスホンの乗っ取りでは“クラウドPBX”についても注意した方がいいです。

セキュリティ面で脆弱なサービスも

“クラウドPBX”とは、クラウド上（インターネット上）にビジネスホンのシステムを設置したもの。
オフィス内に設備を設置する必要がないと、少しずつ人気の高まっているビジネスホンです。

クラウドPBXの多くは“海外製”をそのまま利用しているサービスになります。
その為、“誰が・どこで・いつ”制作したかが分かりにくく、セキュリティ面に不十分なことが。

ビジネスホンの乗っ取りの多くは海外からの攻撃なので、クラウドPBXはよりリスクが高まります。

ウェブ上での管理は意外と難しい

クラウドPBXはインターネット上（ウェブ上）にある管理画面から管理できるのが魅力です。
ただし、先述した通り海外製のサービスも多く、すべてが海外の仕様になっていることが。

日本語に対応していないのはもちろん、日本人には管理の難しいことがあります。

海外製の中にはマニュアルが作成されていないものもあり、素人では管理できないことも。
ビジネスホンの管理を業者に依頼するとなると、費用がかかる上にセキュリティ面でも不安です。

システム連携には知識が必要に

およその規格はあるものの、基本的にクラウドPBXは製作者の自由に設計されています。
特に、プログラムの部分は製作者の癖によるところが大きく、専門知識がないと解析できないことも。

ビジネスホンの魅力である他のシステムとの連携も、クラウドPBXだと難しいことがあるのです。

もし、どうしてもクラウドPBXを、海外製のものを使いたいのであれば“業者選び”を慎重にしましょう。
業者によっては専門の技術者が、海外製でも適切な知識と技術で対応してくれるところもあります。