パケットを解析すれば盗聴できる
IP電話は、音声をIPパケットに載せてIP網で中継する。そのため、IP電話を盗聴するには、音声パケットをキャプチャ(採取)する装置をネットワーク内に設置すればよい。ただし、専用の中継網は基本的にはNTT東西などの通信事業者の管理下にあり、回線やルータなどの中継装置のセキュリティレベルも高い。そのため、盗聴者が狙う場所は、事実上アクセス回線部分からユーザーの宅内にあるVoIPアダプタまでの間となる。
一方、企業などの内線IP電話では、内部犯が深刻な問題になる。スイッチのモニタリングポートを悪用する、基幹系LANにリピータハブを挿入する、などの方法で容易に盗聴が可能になるからだ(図2)。
一方、インターネット電話やIMの場合、中継網がインターネットであるため、パケットの経路上にセキュリティレベルの低いルータが存在する可能性がある。そのようなルータのルーティング情報を書き換えれば、パケットを盗聴者の設置したコピー装置に導くことが可能になる。また、そのルータにミラーリングの機能があれば、遠隔地からでもコピーが可能である。このように、他のアプリケーションと同様、インターネット電話もどこからでもパケットを盗聴される危険性があると考えられる。
盗聴を防ぐには
通信の秘密を保つために使われる手法といえば、やはり暗号化技術だろう。これはIP電話でも同じことがいえ、音声パケットをキャプチャされたとしても、データが暗号化されていれば通話内容が盗聴される危険性は少なくなる。
たとえばインターネット電話の代表であるSkypeでは、次世代暗号標準のAESが使われている。AESは共通鍵暗号方式であるため、Skypeでは通話ごとに新たな鍵を生成して盗聴されるリスクを下げている。一方のGizmoは、Gizmoクライアント同士なら後述するSRTPでデータを暗号化している。ただし、相手がGizmoクライアント以外なら暗号化はまったく行なわれないので注意が必要だ。
なお、企業向けのVoIP機能内蔵のルータでは、一般的なIPsecが用いられることが多い。この場合、音声パケットだけでなく、すべての通信がIPsecでカプセリングされる。
また、IP電話に適した暗号化プロトコルとして、SRTP(Secure Realtime Transport Protocol)が考案され利用が進んでいる。
AESやIPsecなどの暗号化技術を「ブロック暗号」は呼ばれている。AESならデータを128ビットの「ブロック」に分割し、ブロックごとに暗号化と復号を行なう仕組みである。ところが音声データを扱う場合に、送信側と受信側でともにデータをブロック単位で処理すると時間がかかり遅延が大きくなってしまう。そこで、SRTPでは伝送遅延がブロック暗号化方式より少ない「擬似ストリーム暗号」が採用されている。
まとめ
IP電話はVoIP技術により音声を符号化し、パケットを伝送するものである。したがって、IP電話が持つセキュリティの問題は、インターネットを含むネットワークのセキュリティの問題といってよい。もっとも、ネットワークのセキュリティ技術は日々進化しているので、IP電話のセキュリティも当然向上していくだろう。最後に、音声そのものを盗聴されては元も子もないので、重要な連絡をする際には十分に気を付けたい。
この連載の記事
-
第11回
TECH
今どきのウイルスに対抗する方法を教えてください -
第10回
TECH
ユーザー認証でなにができるのですか? -
第10回
TECH
指紋や顔型でユーザー認証をする理由とは? -
第9回
TECH
電子証明書がなぜ必要か知っていますか? -
第8回
TECH
ファイアウォールはどのように動くのですか? -
第7回
TECH
共通鍵暗号のメリットってなに? -
第5回
TECH
無線LANって本当に安全なの? -
第4回
TECH
SQLインジェクションやXSSって何されるの? -
第3回
TECH
Winnyは使ってはいけないのですか? -
第2回
TECH
不審なメールはなぜ開いてはいけない? - この連載の一覧へ