月曜の朝、電話会社の請求書を見せられて血の気が引く。「先週末だけで国際電話250万円の請求が来ている」。PBX乗っ取りによる国際電話不正利用は、土日祝日や深夜から早朝の無人時間に集中しやすく、総務省や通信キャリア各社も継続的に注意喚起を出してきました。被害を防ぐには、PBXを外から触らせない設計が出発点になります。

「クラウドPBXに切り替えたら、もうセキュリティ対策は事業者側でやってくれている」──そう思いたいところですが、実際の被害は、利用者側のPBXやIP電話対応ルーターにある設定不備・脆弱性を入口に、いまも発生しています。総務省は第三者によるIP電話等の不正利用に関する注意喚起を継続的に発出しており、被害は単一のキャリアや製品に限らず横断的に確認されてきました。

PBX乗っ取りの多くは、特別に高度な攻撃というより、公開範囲、認証、発信制御の隙を突かれます。稼働後に慌てて塞ぐのではなく、最初から外に見せない構成を前提にします。

PBX乗っ取り・国際電話不正利用は、いまも続いている

PBX乗っ取りの典型的な手口は、インターネットに開放されたSIPポート(IP電話の呼制御用、UDP 5060番)に対するブルートフォース攻撃(認証情報の総当たり)です。乗っ取りに成功した攻撃者は、深夜や週末などの無人時間帯に自動で大量の国際発信を行います。気付くのは月曜朝の請求書、ということが珍しくありません。

PBX乗っ取りと不正利用の動向
・IP電話販売事業者の被害公表:74件・被害総額5,000万円規模、1社で250万円(機械的に1万回以上の国際発信)
・総務省「第三者によるIP電話等の不正利用」注意喚起を継続発出
・ブルートフォース攻撃の国内被害総額177億円、VPN経由の攻撃は前年比300%増(2024年)
・被害は土日祝日・深夜から早朝の無人時間帯に集中 出典:総務省「第三者によるIP電話等の不正利用に関する注意喚起」、TCA(電気通信事業者協会)、業界各社の被害公表、各種セキュリティ調査

視点 1:PBXをインターネットに直接公開しない

対策の起点は、PBXをインターネットから直接見える状態に置かないことです。SIPポートが開いた状態でグローバルIPに置かれていると、世界中のスキャンに引っかかり、認証突破の試行を絶えず受けることになります。

VPN(IPsec、SSL-VPN等)で利用者拠点とPBXの間を閉域接続にしておくと、外部からのSIPトラフィックそのものをPBXに届かない構造にできます。SBC(Session Border Controller)やVoIPゲートウェイにVPN機能を持たせ、その手前にファイアウォールを置く構成は、中小企業でも採用しやすい現実解として広がっています。経路設計の段階で攻撃面を小さくしておくことが、運用フェーズの安全性の前提になります。

PBXに至る経路の2つの構成 インターネット直接公開(攻撃を受けやすい) 攻撃者 SIPポートをスキャン 公開SIPポート(UDP 5060) 認証総当たり PBX SIPポート公開がブルートフォース攻撃の入口になる VPN前置き構成(攻撃面を縮小) 攻撃者 VPN+ファイアウォール PBX(直接見えない) PBXはVPN認証なしには到達できず、SIPスキャンに引っかからない
図1:PBXをインターネットに直接公開するか、VPN+ファイアウォール越しに閉じておくかで、攻撃面の広さが変わる。

視点 2:認証ルールと国際発信は「初期値で塞ぐ」

PBX設定で見落とされやすいのが、「使わない機能は初期状態で塞いでおく」という考え方です。多くの中小企業では、国際電話を業務でほとんど使いません。それにもかかわらず、PBXのデフォルトで国際発信が許可されていると、認証突破の瞬間から高額発信が始まります。

提案を受ける際に確認しておきたいのは、次のような項目です。

  • 国際発信は初期値で無効か、使う国番号だけホワイトリスト方式で許可されるか
  • 内線パスワードの強度ポリシー(桁数、文字種、定期更新)があるか
  • 推測されやすい簡易パスワード(1234、内線番号と同じ等)を弾く機能
  • 同一IPからの認証失敗を一定回数で遮断する自動防御

視点 3:無人時間帯の発信を「監視」と「制限」で見る

被害が集中する土日祝日・深夜の対策は、監視と制限の両方を組み合わせるのが定石です。時間帯別の発信制限で営業時間外の国際発信を遮断し、短時間に大量の発信や見慣れない国番号への発信が起きた場合は異常検知で管理者へアラート通知する設計が現実的です。ログは管理者がWeb画面でいつでも確認できる体制にしておくと、気付くのが翌週月曜日、という事態を避けられます。

製造業の海外取引のない国内事業所、医療機関、士業、自治体のように、業務上の国際発信がほぼ発生しない事業者では、国際発信を初期値で一律停止しておく選択肢も合理的です。

PBXは公開しない前提から設計する

PBX乗っ取りと国際電話不正利用は、利用者側の設定や経路設計に隙があると入り込めるタイプの脅威です。まずPBXをインターネットに直接見せないこと。その上で、国際発信を初期値で塞ぎ、無人時間帯の監視と発信制限を組み合わせると、事故の起点を減らせます。

フォースネット株式会社の『セキュアPBX』は、自社開発の『vBOX Office』ゲートウェイを介してVPN暗号化接続でクラウドPBXまで到達する構成を採用し、PBXがインターネットに直接見えない設計にしています。全キャリア対応、世界で広く採用されているPBX基盤、国内データセンターを組み合わせたサービスです。

参考資料

PBXセキュリティの点検

現行PBXの公開範囲、認証設定、国際発信制御、監視ログを確認し、段階的な対策案を整理できます。

お問い合わせフォームへ

クラウドPBXのセキュリティを相談する

PBX公開範囲、VPN接続、認証ルール、国際発信制御、監視運用まで含めて整理できます。

要件を相談する