コンポーネント

FBI:ハッキングされたVoIPシステムで自動ダイヤルする犯罪

犯罪者は、アスタリスク(Asterisk)のインターネット電話システムのバグを利用して、1時間に数千件の詐欺電話を​​取り出すことができると米国連邦捜査局(FBI)が警告した。どのバージョンのAsteriskがこのバグに脆弱であったかは言わなかったが、ユーザーには最新バージョンのソフトウェアにアップグレードするようアドバイスされた。 Asteriskは、LinuxコンピュータをVoIP(Voice over Internet Protocol)電話交換機にするオープンソース製品です。

いわゆるVishing攻撃では、通常、詐欺師はVoIPシステムを使用して偽のコールセンターを設定し、フィッシング詐欺メールを使用して被害者を騙してセンターに電話をかけます。一度そこに来たら、彼らは個人情報を提供するよう促されます。しかし、FBIの詐欺では、被害者に直接ダイヤルするために、正式なアスタリスクシステムを引き継いでいるようだ。

[追加情報:メディアストリーミングとバックアップのためのベストNASボックス] "933> FBIはインターネット犯罪苦情センター(ICC)の諮問機関で、 「この脆弱性はサイバー犯罪者によってシステムを自動ダイヤルとして使用し、1時間以内に何千人もの顧客に電話をかけて呼び出すことができます。」Digicによって開発されたソフトウェアは、ソフトウェアに多数の重大な欠陥が発見されています。 3月、Mu Securityの研究者は、攻撃者がアステリスクシステムを制御する可能性のあるバグを報告しました。

Digiumは、FBIがその諮問で参照していた脆弱性を特定していませんでした。しかし同社のAsteriskオープンソースコミュニティディレクター、ジョン・トッド氏は、おそらくこの3月のバグだと考えている。この脆弱性は、「基本的に、あなたは1人の個人の口座を引き継ぐことができました」と彼は言いました。 「最悪の場合、1時間で何千もの電話をかけることができる」とトッド氏は話す。しかし、FBIが述べた攻撃は非常に難しいだろう、とトッド氏は話す。

ほとんどのアスタリスクシステムはファイアウォールで保護されているVisherによってアクセス可能な場合でも、管理者は一般に1つのアカウントで同時に行うことのできる電話の数を制限すると説明しています。 「ほとんどの場合、1時間で何千もの呼び出しを作成することはできないだろう」。この欠陥は旧バージョンのアスタリスクには影響するが、最新のバージョン1.6には影響しないと同氏は述べている[

]