電話サービスシステム、監視装置及び監視方法
【課題】異常なパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定すること。
【解決手段】監視装置100は、IP電話端末10a〜10d、SIPサーバ20、ネットワーク50に接続される。監視装置100は、IP電話端末10a〜10dに送信されるSIPパケットを収集して、このSIPパケットを模倣した模倣パケットを生成する。そして、監視装置100は、試験対象となる各IP電話端末10a〜10dに模倣パケットを送信した後に、試験対象となるIP電話端末10a〜10dに異常が発生したか否かを判定する。
【解決手段】監視装置100は、IP電話端末10a〜10d、SIPサーバ20、ネットワーク50に接続される。監視装置100は、IP電話端末10a〜10dに送信されるSIPパケットを収集して、このSIPパケットを模倣した模倣パケットを生成する。そして、監視装置100は、試験対象となる各IP電話端末10a〜10dに模倣パケットを送信した後に、試験対象となるIP電話端末10a〜10dに異常が発生したか否かを判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電話サービスシステム、監視装置及び監視方法に関する。
【背景技術】
【0002】
近年、IP(Internet Protocol)ネットワークを利用して通話することを可能にするIP電話サービスが普及している。このIP電話サービスでは、送信側のIP電話端末と受信側のIP電話端末とがSIP(Session Initiation Protocol)サーバを介してSIPパケットを送受信した後に、通話を行うこととなる。
【0003】
しかし、SIPパケットの内容がRFC(Request For Comment)に準拠したものではなく、異常な値を有していると、かかるSIPパケットを受信したIP電話端末が異常な挙動を起こしてしまう場合がある。例えば、このIP電話端末の異常な挙動としては、図12に示すように、IP電話端末がフリーズしたり、図13に示すように、IP電話端末が呼び出し音を鳴らしてしまうものがある。ここで、図12に示すように、IP電話端末10aがフリーズすると、ユーザは電話をかけることができなくなってしまう。また、図13のように、異常なSIPパケットによりIP電話端末10bの呼び出し音が鳴ると、騒音問題等が発生する。
【0004】
更に、SIPパケットによってIP電話端末がフリーズしても、フリーズしたIP電話端末はエラーメッセージを送信することはないので、ネットワーク管理者が異常発生に気がつくのが遅れてしまう。この場合には、対応が遅れ、異常なSIPパケットによって他のIP電話端末にも被害が拡大しまう可能性がある。
【0005】
上記の問題に対処するべく、ネットワーク上におとりとなる複数のIP電話端末(ハニーポット)を配置して、IP電話端末への攻撃情報を収集して収集結果を分析することで、攻撃者のIPアドレスを突きとめる技術が存在する。攻撃者のIPアドレスが分かれば、フィルタリング処理などを行うことで、攻撃者からのSIPパケットを排除することが可能になる。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Salehin, S.M.A.; Ventura, N.; , "Blocking Unsolicited Voice Calls Using Decoys for the IMS," Communications, 2007. ICC '07. IEEE International Conference on , vol., no., pp.1961-1966, 24-28 June 2007
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述した従来技術では、攻撃者のIPアドレスを検知し、このIPアドレスのSIPパケットを排除するフィルタリング処理を行っている。しかし、攻撃者がIPアドレスを偽り、適宜IPアドレスを変更する場合等には、攻撃者からの攻撃を防ぐことができないという問題がある。
【0008】
これに対して、異常なSIPパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定できれば、かかるSIPパケットの影響を受けないようにIP電話端末のファームウェアを的確にアップデータすることが可能である。しかし、IP電話端末には様々な機種が存在し、上記異常な値を有するSIPパケットも多種多様である。このため、どのようなSIPパケットがどのIP電話端末に影響を与えるのかを把握することは容易ではない。
【0009】
開示の技術は、上記に鑑みてなされたものであって、異常なパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定することができる電話サービスシステム、監視装置、監視方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するために、開示の技術は、ネットワークを介して、通話を確立するためのパケットを送受信する複数の端末と、各端末に送信されるパケットを監視する監視装置とを含む電話サービスシステムであって、前記監視装置は、前記端末に送信されるパケットを取得し、該パケットの宛先を前記サービスシステムに含まれる試験対象の各端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部とを備えたことを特徴とする。
【0011】
また、開示の技術は、ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部とを備えたことを特徴とする。
【0012】
また、開示の技術は、コンピュータが、ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御工程と、前記送信制御工程により試験対象となる各端末にパケットが送信された後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視工程とを含んだことを特徴とする。
【発明の効果】
【0013】
開示の技術によれば、異常なパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定することができるという効果を奏する。
【図面の簡単な説明】
【0014】
【図1】図1は、実施例にかかる電話サービスシステムの構成を示す図である。
【図2】図2は、本実施例にかかる監視装置の構成を示す機能ブロック図である。
【図3】図3は、SIPパケットデータのデータ構造の一例を示す図である。
【図4】図4は、宛先管理データのデータ構造の一例を示す図である。
【図5】図5は、IP電話端末分類データのデータ構造の一例を示す図である。
【図6】図6は、パケット送受信先管理テーブルのデータ構造の一例を示す図である。
【図7】図7は、電話機種管理テーブルのデータ構造の一例を示す図である。
【図8】図8は、OPTIONSを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。
【図9】図9は、REGISTERを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。
【図10】図10は、呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順を示すフローチャートである。
【図11】図11は、開示の技術に係る異常監視プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
【図12】図12は、IP電話端末がフリーズした場合を示す図である。
【図13】図13は、IP電話端末が呼び出し音を鳴らす場合を示す図である。
【発明を実施するための形態】
【0015】
以下に、本願の開示する電話サービスシステム、監視装置及び監視方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例】
【0016】
まず、実施例にかかる電話サービスシステムの構成について説明する。図1は、実施例1にかかる電話サービスシステムの構成を示す図である。図1に示すように、この電話サービスシステムは、IP電話端末10a〜10c、SIPサーバ20、監視装置100を有する。監視装置100は、IP電話端末10a〜10d、SIPサーバ20、IPネットワーク50に接続する。
【0017】
IP電話端末10a〜10dは、SIPパケットを他のIP電話端末との間で送受信することで通話を確立する装置である。このSIPパケットには、他のIP電話端末に呼び出し音を出力させるINVITE等が含まれる。
【0018】
SIPパケットの送受信は、SIPサーバを介して行われる。なお、ここでいうIP電話端末は、VoIP(Voice over Internet Protocol)アダプタを含むものとする。すなわち、IP電話端末は、IP電話を行うためにSIPプロトコルの通信を実際に行う端末を示すものとする。SIPサーバ20は、SIPを利用して各IP電話端末の呼制御を行う装置である。
【0019】
監視装置100は、IP電話端末に送信されるSIPパケットを収集し、収集したSIPパケットを模倣する。そして、監視装置100は、模倣したSIPパケットを各IP電話端末10a〜10dに送信し、模倣したSIPパケットによるIP電話端末の影響を監視する。
【0020】
このように、監視装置100が、模倣したSIPパケットと各IP電話端末の影響との関係を監視することで、異常な値を有するSIPパケットとIP電話端末の機種との関係を特定することができる。したがって、例えば、異常なSIPパケットの影響を受けないようにIP電話端末のファームウェアを的確にアップデータすることが可能であり、被害が拡大することを未然に防止することもできる。
【0021】
次に、図1に示した監視装置100の構成について説明する。図2は、本実施例にかかる監視装置100の構成を示す機能ブロック図である。図2に示すように、この監視装置100は、入力部110、表示部120、通信部130、記憶部140、制御部150を有する。
【0022】
このうち、入力部110は、キーボードやマウスなどの入力装置に対応する。例えば、監視装置100の管理者は、入力部110を操作して、各種のデータを監視装置100に入力する。表示部120は、ディスプレイやモニタなどの出力装置に対応する。表示部120は、制御部150の分析結果などを表示する。通信部130は、ネットワーク50に接続された装置、各IP電話端末10a〜10d、SIPサーバ20との間でデータ通信を行う装置である。後述する制御部150は、この通信部130を介して他の端末と通信を行う。
【0023】
記憶部140は、各種のデータを記憶する記憶装置である。図2に示すように、この記憶装置140は、SIPパケットデータ140a、異常パケットシーケンスデータ140b、宛先管理データ140c、IP電話端末分類データ140d、パケット送受信先管理テーブル140e、電話機種管理テーブル140fを記憶する。
【0024】
このうち、SIPパケットデータ140aは、IP電話端末に送信されるSIPパケットのSIPペイロードに格納されているデータである。図3は、SIPパケットデータ140aのデータ構造の一例を示す図である。このSIPパケットデータ140aに異常な値が含まれている場合には、IP電話端末が誤作動を起こす恐れがある。
【0025】
異常パケットシーケンスデータ140bは、IP電話端末10の挙動を分析するための処理手順を記憶する。この処理手順には、異常なSIPパケットによりフリーズしたIP電話端末を判定するための処理手順と、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定するための処理手順を含む。各処理手順に関する具体的な説明は後述する。
【0026】
宛先管理データ140cは、各IP電話端末10a〜10dの宛先情報を記憶するデータである。図4は、宛先管理データ140cのデータ構造の一例を示す図である。図4に示すように、この宛先管理データ140cは、利用者識別情報、IP電話識別情報、IPアドレスを含む。利用者識別情報は、利用者を一意に識別する情報であり、IP電話識別情報は、IP電話端末を一意に識別する情報である。
【0027】
IP電話端末分類データ140dは、SIPサーバ20を介さず、直接的に正常なINVITE(SIPメッセージ)を送信した場合に呼び出し音が鳴るIP電話端末と、直接的に正常なINVITEを送信した場合に呼び出し音が鳴らないIP電話端末とを管理するデータである。図5は、IP電話端末分類データ140dのデータ構造の一例を示す図である。図5に示すように、このIP電話端末分類データ140dは、利用者識別情報、IP電話識別情報、直接間接情報を含む。直接間接情報は、IP電話端末が直接的にINVITEを受けた場合に、呼び出し音を鳴らすか否かを判別する情報である。図5に示す例では、IP電話端末10a〜10cが、直接的なINVITEに対して正常に呼び出し音を鳴らし、IP電話端末10dが、直接的なINVITEに対して正常に呼び出し音を鳴らさない旨を示している。
【0028】
パケット送受信先管理テーブル140eは、SIPパケットの送受信先や、送信先のIP電話端末の利用者などを管理するテーブルである。図6は、パケット送受信先管理テーブル140eのデータ構造の一例を示す図である。図6に示すように、このパケット送受信先管理テーブル140eは、送信元IPアドレス、送信先IPアドレス、利用者識別情報、機種識別情報を含む。このうち、送信元IPアドレスは、SIPパケットの送信元となる端末のIPアドレスを示す。送信先IPアドレスは、SIPパケットの送信先となるIP電話端末のIPアドレスを示す。
【0029】
電話機種管理テーブル140fは、各IP電話端末の機種の種別を管理するテーブルである。図7は、電話機種管理テーブル140fのデータ構造の一例を示す図である。図7に示すように、この電話機種管理テーブル140fは、利用者識別情報、IP電話識別情報、機種識別情報を有する。このうち、機種識別情報は、IP電話端末の機種を一意に識別する情報である。図7に示す例では、IP電話端末10aおよびIP電話端末10dの機種識別情報が機種Aであり、IP電話端末10bおよびIP電話端末10cの機種識別情報が機種Bである。
【0030】
図2の説明に戻る。制御部150は、各IP電話端末に送信されるSIPパケットを収集し、収集したSIPパケットを模倣して各IP電話端末10a〜10dに送信した後に、このSIPパケットによる各IP電話端末の影響を監視する処理部である。図2に示すように、この制御部150は、パケット収集部150a、呼び出し音確認部150b、パケット模倣部150c、分析部150d、被害把握部150eを有する。
【0031】
このうち、パケット収集部150aは、各IP電話端末に送信されるSIPパケットを収集し、収集したSIPパケットを基にして、SIPパケットデータ140aおよびパケット送受信先管理テーブル140eにデータを登録する処理部である。各IP電話端末に送信されるSIPパケットは、SIPサーバ20を介して送信される。このため、例えば、パケット収集部150aは、SIPサーバ20からSIPパケットを収集する。
【0032】
パケット収集部150aは、SIPパケットを収集した場合に、SIPパケットのSIPペイロードに含まれるデータを抽出し、抽出したデータをSIPパケットデータ140aに記憶する。
【0033】
また、パケット収集部150aは、SIPパケットを収集した場合に、SIPパケットのヘッダ部分に含まれる送信元のIPアドレス、送信先のIPアドレスをパケット送受信先管理テーブル140eに登録する。また、例えば、パケット収集部150aは、送信先のIPアドレスと、宛先管理データ140cと、電話機種管理テーブル140fとを比較し、送信先のIPアドレスに対応する利用者識別情報および機種識別情報を特定する。パケット収集部150aは、特定した利用者識別情報および機種識別情報を送信先のIPアドレスと対応づけてパケット送受信先管理テーブル140eに登録する。
【0034】
呼び出し音確認部150bは、正常なINVITEをSIPサーバ20を介さず直接IP電話端末に送信し、Ringingの応答状況に応じて、IP電話端末分類データ140dを生成する処理部である。具体的に、呼び出し音確認部150bは、正常なINVITEをSIPサーバ20を介さず直接IP電話端末に送信し、Ringingの応答があったIP電話端末を、直接的なINVITEに応答するIP電話端末と判定し、該当するIP電話端末の直接間接情報を「直接」に設定する。
【0035】
これに対して、呼び出し音確認部150bは、正常なINVITEをSIPサーバ20を介さず直接IP電話端末に送信し、Ringingの応答がなかったIP電話端末を、直接的なINVITEに応答しないIP電話端末と判定し、該当するIP電話端末の直接間接情報を「間接」に設定する。なお、呼び出し音確認部150bは、宛先管理データ140cを参照して、送信先のIPアドレスを得る。
【0036】
パケット模倣部150cは、SIPパケットを模倣した模倣パケットを生成する処理部である。このパケット模倣部150cは、SIPパケットデータ140aをSIPパケットのSIPペイロードに格納し、このSIPパケットの宛先を宛先管理データ140cの各IPアドレスを設定することで、模倣パケットを生成する。パケット模倣部150cは、各IP電話端末に対して模倣パケットを生成するので、模倣パケットの数はIP電話端末の数と同じになる。パケット模倣部150cは、生成した模倣パケットを分析部150dに出力する。
【0037】
分析部150dは、模倣パケットを各IP電話端末に送信し、異常パケットシーケンスデータ140bにならって各IP電話端末の挙動を分析することで、異常なSIPパケットと、このSIPパケットに悪影響を受けるIP電話端末の機種との組み合わせを判定する処理部である。
【0038】
上記のように、異常パケットシーケンスデータ140bには、異常なSIPパケットによりフリーズするIP電話端末を判定する処理手順と、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順とを含む。このため、まず、異常なSIPパケットによりフリーズするIP電話端末を判定する処理手順に基づいた分析部150dの処理を説明した後に、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順に基づいた分析部150dの処理について説明する。
【0039】
異常なSIPパケットによりフリーズするIP電話端末を判定する処理手順に基づいた分析部150dの処理を説明する。この処理手順では、仮に、模倣パケットによりIP電話端末がフリーズした場合に、フリーズしたIP電話端末からのSIPパケットに対応する応答がかえってこないことを利用する。
【0040】
まず、分析部150dは、模倣パケットを各IP電話端末10a〜10dに送信する。分析部150dは、IP電話端末10a〜10dに模倣パケットを送信した後に、IP電話端末10a〜10dに対してOPTIONSのSIPパケットを送信し、応答があるか否かを確認することで、生存を確認する。IP電話端末は、生存している状態でOPTIONSを受信すると、200Kという応答を返すものとする。
【0041】
分析部150dは、OPTIONSのSIPパケットを送信し、応答のないIP電話端末が存在する場合には、かかるIP電話端末のIP電話識別情報と、電話機種管理テーブル140fとを比較して、模倣パケットの影響を受けるIP電話端末の機種を判定する。
【0042】
そして、分析部150dは、OPTIONSに対して応答のないIP電話端末が存在する場合には、応答のないIP電話端末の機種と、かかるIP電話端末に送信した模倣パケットの送信元アドレス(攻撃者の送信元のIPアドレス)とを被害把握部150eに出力する。なお、模倣パケットに対応するSIPパケットの送信元IPアドレスは、模倣パケットと対応づけられているものとする。
【0043】
ところで、分析部150dは、IP電話端末が定期的に送信するREGISTERパケットを利用して、フリーズしたIP電話端末を判定することもできる。すなわち、REGISTERパケットは定期的に、一定の間隔で送信される。このため、分析部150dは、模倣パケットを送信した後に、所定の間隔を超えてREGISTERパケットが観測されない場合には、IP電話端末がフリーズしていると判定する。このREGISTERパケットの宛先はSIPサーバ20となるため、分析部150dは、SIPサーバ20にアクセスし、IP電話端末毎にREGISTERパケットを送信しているか否かを判定する。なお、分析部150dは、各電話端末毎にREGISTERパケットをSIPサーバ20から転送してもらい、IP電話端末毎にREGISTERパケットを送信しているか否かを判定してもよい。
【0044】
この場合、分析部150dは、REGISTERパケットの送信が途絶えたIP電話端末が存在する場合には、送信が途絶えたIP電話端末の機種と、かかるIP電話端末に送信した模倣パケットの送信元アドレス(攻撃者のIPアドレス)とを被害把握部150eに出力する。
【0045】
続いて、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順に基づいた分析部150dの処理について説明する。この処理手順では、IP電話端末が呼び出し音を鳴らした場合に、IP電話端末がRringingを送信することを利用する。
【0046】
まず、分析部150dは、模倣パケットをIP電話端末10a〜10dに送信する。分析部150dは、IP電話端末10a〜10dに模倣パケットを送信した後に、IP電話端末からRringingを受信するか否かを確認することで、模倣パケットにより呼び出し音を鳴らされたIP電話端末を判定する。
【0047】
分析部150dは、Ringingを受信した場合に、Ringingの送信元IPアドレスからIP電話端末を特定し、特定したIP電話端末のIP電話識別情報と、電話機種管理テーブル140fとを比較して、模倣パケットの影響を与えるIP電話端末の機種を判定する。
【0048】
なお、分析部150dは、模倣パケットを送信する場合に、直接間接情報が「間接」となるIP電話端末に対しては、SIPサーバ20を介して、模倣パケットを送信する。またこの場合、分析部150dは、SIPサーバ20にアクセスし、間接的に模倣パケットを送信したIP電話端末からRingingを受信するか否かを判定する。
【0049】
また、分析部150dは、Ringingを送信したIP電話端末が存在する場合には、Ringingを送信したIP電話端末の機種と、かかるIP電話端末に送信した模倣パケットの送信元アドレス(攻撃者のIPアドレス)とを被害把握部150eに出力する。
【0050】
被害把握部150eは、異常なSIPパケットにより被害を受けたIP電話端末の利用者およびこれから被害を受ける可能性があるIP電話端末の利用者を判定する処理部である。
【0051】
まず、被害把握部150eが異常なSIPパケットにより被害を受けたIP電話端末の利用者を判定する処理について説明する。被害把握部150eは、分析部150dからIP電話端末の機種と、攻撃者の送信元のIPアドレスとを取得した場合には、この機種とIPアドレスと同様の組となる機種とIPアドレスとの組に対応する利用者識別情報をパケット送受信先管理テーブル140eから検出する。この利用者識別情報が、既に被害を受けてしまった利用者の利用者識別情報となる。
【0052】
続いて、被害把握部150eがこれから被害を受ける可能性があるIP電話端末の利用者を判定する処理について説明する。被害把握部150eは、電話機種管理テーブル140fを基にして、被害を受けた利用者の利用者識別情報以外で、被害を受けた機種と同一の機種を保持する利用者の利用者識別情報を特定することで、今後被害を受ける可能性のある利用者識別情報を判定する。例えば、図7において、被害を受けた機種が機種「機種A」であり、被害を受けた利用者の利用者識別情報が「利用者a」のみの場合には、機種「機種A」を保持する利用者識別情報「利用者d」が、被害を受ける可能性のある利用者識別情報となる。被害把握部150eは、判定結果を表示部120に出力する。
【0053】
なお、被害把握部150eは、判定結果を出力する場合に、被害を受けた利用者の利用者識別情報、今後被害を受ける可能性のある利用者の利用者識別情報の他にも、被害を受けたIP電話端末のIP電話識別情報や、IPアドレスをあわせて表示させても良い。
【0054】
このように、被害把握部150eからの判定結果を参照することで、ネットワーク管理者は、攻撃者のSIPパケットによって脆弱性のあるIP電話端末を把握することができ、特に「IP電話端末のフリーズ」と「呼び出し音が鳴る」という現象が発生するIP電話端末の機種を把握することができる。これによって、IP電話端末の脆弱部分の修正に役立つ情報を端末開発者に提供できたり、脆弱性のある端末の利用者に通知し、フィルタリングを行う等の対策を行うことに役立つ。
【0055】
次に、本実施例にかかる監視装置100の処理手順について説明する。図8は、OPTIONSを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。図9は、REGISTERを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。図10は、呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順を示すフローチャートである。図8〜図10の順に説明する。
【0056】
図8に示すように、監視装置100は、SIPパケットを収集し(ステップS101)、SIPパケットを模倣する(ステップS102)。監視装置100は、模倣したSIPパケットを各IP電話端末に送信し(ステップS103)、OPTIONSを各IP電話端末に送信する(ステップS104)。
【0057】
監視装置100は、200Kを受信した場合には(ステップS105,Yes)、かかる200Kを送信したIP電話端末に異常はないと判定する(ステップS106)。一方、監視装置100は、200Kを受信しない場合には(ステップS105,No)、かかる200Kを送信していないIP電話端末に異常ありと判定する(ステップS107)。この場合の異常は、IP電話端末がフリーズするというものである。
【0058】
図9に示すように、監視装置100は、SIPパケットを収集し(ステップS201)、SIPパケットを模倣する(ステップS202)。監視装置100は、模倣したSIPパケットを各IP電話端末に送信する(ステップS203)。
【0059】
監視装置100は、模倣したパケットを送信してから所定の時間が経過する前にREGISTERを受信したか否かを判定する(ステップS204)。監視装置100は、REGISTERを受信した場合には(ステップS204,Yes)、かかるREGISTERを送信したIP電話端末に異常はないと判定する(ステップS205)。一方、監視装置100は、REGISTERを受信しない場合には(ステップS204,No)、かかるREGISTERを送信していないIP電話端末に異常ありと判定する(ステップS206)。この場合の異常は、IP電話端末がフリーズするというものである。
【0060】
図10に示すように、監視装置100は、SIPパケットを収集し(ステップS301)、SIPパケットを模倣する(ステップS302)。監視装置100は、模倣したSIPパケットを各IP端末装置に送信する(ステップS303)。ステップS303において、監視装置100は、IP電話端末分類データ140dを参照し、直接間接情報が「直接」となっているIP電話端末に対しては、模倣したSIPパケットを直接送信する。これに対して、監視装置100は、直接間接情報が「間接」となっているIP電話端末に対しては、SIPサーバ20を介して模倣したSIPパケットを送信する。
【0061】
監視装置100は、Ringingを受信していない場合には(ステップS304,No)、Ringingを送信していないIP電話端末に異常はないと判定する(ステップS305)。一方、Ringingを受信した場合には(ステップS304,Yes)、Ringinを送信したIP電話端末に異常ありと判定する(ステップS306)。この場合の異常は、IP電話端末の呼び出し音が鳴ってしまうというものである。
【0062】
次に、本実施例にかかる監視装置100の効果について説明する。上述した監視装置100は、IP電話端末に送信されるSIPパケットを収集して、このSIPパケットを模倣した模倣パケットを生成する。そして、監視装置100は、試験対象となる各IP電話端末に模倣パケットを送信した後に、試験対象となるIP電話端末に異常が発生したか否かを判定する。このため、監視装置100によれば、異常なSIPパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定できる。
【0063】
また、監視装置100は、パケット送受信先管理テーブル140eを利用して、既に異常なSIPパケットが送信されてしまい、異常の発生しているIP電話端末を特定する。このため、IP電話端末がフリーズしてしまったとしても、かかるIP電話端末を早期に発見することができる。
【0064】
また、監視装置100は、電話機種管理テーブル140fに基づいて、被害を受けた利用者の利用者識別情報以外で、被害を受けた機種と同一の機種を保持する利用者の利用者識別情報を特定することで、今後被害を受ける可能性のある利用者識別情報を判定する。このため、被害を受ける前に、各種の対策を行うことができ、被害を未然に防止することができる。
【0065】
ところで、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順(図8、図9、図10)、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0066】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0067】
なお、図8、図9、図10で示した処理手順は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのIPネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disk Read Only Memory)、MO(Magneto-Optical disk)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【0068】
図11は、開示の技術に係る異常監視プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図11に例示するように、コンピュータ200は、例えば、メモリ201と、CPU(Central Processing Unit)202と、ハードディスクドライブインタフェース203と、ディスクドライブインタフェース204と、シリアルポートインタフェース205と、ビデオアダプタ206と、ネットワークインタフェース207とを有し、これらの各部はバス208によって接続される。
【0069】
メモリ201は、図11に例示するように、ROM(Read Only Memory)201a及びRAM(Random Access Memory)201bを含む。ROM201aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース203は、図11に例示するように、ハードディスクドライブ203aに接続される。ディスクドライブインタフェース204は、図11に例示するように、ディスクドライブ204aに接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ204aに挿入される。シリアルポートインタフェース205は、図11に例示するように、例えばマウス205a、キーボード205bに接続される。ビデオアダプタ206は、図11に例示するように、例えばディスプレイ206aに接続される。
【0070】
ここで、図11に例示するように、ハードディスクドライブ203aは、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、開示の技術に係る異常監視プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ203aに記憶される。具体的には、上記実施例で説明した制御部150と同様の情報処理を実行する各手順が記述されたプログラムモジュールが、ハードディスクドライブ203aに記憶される。また、情報監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクドライブ203aに記憶される。そして、CPU202が、ハードディスクドライブ203aに記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM201bに読み出し、各手順を実行する。
【0071】
なお、異常監視プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ203aに記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU202によって読み出されてもよい。あるいは、トラフィック分析プログラムに係るプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェースを介してCPU202によって読み出されてもよい。
【符号の説明】
【0072】
100 監視装置
110 入力部
120 表示部
130 通信部
140 記憶部
150 制御部
【技術分野】
【0001】
本発明は、電話サービスシステム、監視装置及び監視方法に関する。
【背景技術】
【0002】
近年、IP(Internet Protocol)ネットワークを利用して通話することを可能にするIP電話サービスが普及している。このIP電話サービスでは、送信側のIP電話端末と受信側のIP電話端末とがSIP(Session Initiation Protocol)サーバを介してSIPパケットを送受信した後に、通話を行うこととなる。
【0003】
しかし、SIPパケットの内容がRFC(Request For Comment)に準拠したものではなく、異常な値を有していると、かかるSIPパケットを受信したIP電話端末が異常な挙動を起こしてしまう場合がある。例えば、このIP電話端末の異常な挙動としては、図12に示すように、IP電話端末がフリーズしたり、図13に示すように、IP電話端末が呼び出し音を鳴らしてしまうものがある。ここで、図12に示すように、IP電話端末10aがフリーズすると、ユーザは電話をかけることができなくなってしまう。また、図13のように、異常なSIPパケットによりIP電話端末10bの呼び出し音が鳴ると、騒音問題等が発生する。
【0004】
更に、SIPパケットによってIP電話端末がフリーズしても、フリーズしたIP電話端末はエラーメッセージを送信することはないので、ネットワーク管理者が異常発生に気がつくのが遅れてしまう。この場合には、対応が遅れ、異常なSIPパケットによって他のIP電話端末にも被害が拡大しまう可能性がある。
【0005】
上記の問題に対処するべく、ネットワーク上におとりとなる複数のIP電話端末(ハニーポット)を配置して、IP電話端末への攻撃情報を収集して収集結果を分析することで、攻撃者のIPアドレスを突きとめる技術が存在する。攻撃者のIPアドレスが分かれば、フィルタリング処理などを行うことで、攻撃者からのSIPパケットを排除することが可能になる。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】Salehin, S.M.A.; Ventura, N.; , "Blocking Unsolicited Voice Calls Using Decoys for the IMS," Communications, 2007. ICC '07. IEEE International Conference on , vol., no., pp.1961-1966, 24-28 June 2007
【発明の概要】
【発明が解決しようとする課題】
【0007】
上述した従来技術では、攻撃者のIPアドレスを検知し、このIPアドレスのSIPパケットを排除するフィルタリング処理を行っている。しかし、攻撃者がIPアドレスを偽り、適宜IPアドレスを変更する場合等には、攻撃者からの攻撃を防ぐことができないという問題がある。
【0008】
これに対して、異常なSIPパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定できれば、かかるSIPパケットの影響を受けないようにIP電話端末のファームウェアを的確にアップデータすることが可能である。しかし、IP電話端末には様々な機種が存在し、上記異常な値を有するSIPパケットも多種多様である。このため、どのようなSIPパケットがどのIP電話端末に影響を与えるのかを把握することは容易ではない。
【0009】
開示の技術は、上記に鑑みてなされたものであって、異常なパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定することができる電話サービスシステム、監視装置、監視方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
上述した課題を解決し、目的を達成するために、開示の技術は、ネットワークを介して、通話を確立するためのパケットを送受信する複数の端末と、各端末に送信されるパケットを監視する監視装置とを含む電話サービスシステムであって、前記監視装置は、前記端末に送信されるパケットを取得し、該パケットの宛先を前記サービスシステムに含まれる試験対象の各端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部とを備えたことを特徴とする。
【0011】
また、開示の技術は、ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部とを備えたことを特徴とする。
【0012】
また、開示の技術は、コンピュータが、ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御工程と、前記送信制御工程により試験対象となる各端末にパケットが送信された後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視工程とを含んだことを特徴とする。
【発明の効果】
【0013】
開示の技術によれば、異常なパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定することができるという効果を奏する。
【図面の簡単な説明】
【0014】
【図1】図1は、実施例にかかる電話サービスシステムの構成を示す図である。
【図2】図2は、本実施例にかかる監視装置の構成を示す機能ブロック図である。
【図3】図3は、SIPパケットデータのデータ構造の一例を示す図である。
【図4】図4は、宛先管理データのデータ構造の一例を示す図である。
【図5】図5は、IP電話端末分類データのデータ構造の一例を示す図である。
【図6】図6は、パケット送受信先管理テーブルのデータ構造の一例を示す図である。
【図7】図7は、電話機種管理テーブルのデータ構造の一例を示す図である。
【図8】図8は、OPTIONSを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。
【図9】図9は、REGISTERを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。
【図10】図10は、呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順を示すフローチャートである。
【図11】図11は、開示の技術に係る異常監視プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。
【図12】図12は、IP電話端末がフリーズした場合を示す図である。
【図13】図13は、IP電話端末が呼び出し音を鳴らす場合を示す図である。
【発明を実施するための形態】
【0015】
以下に、本願の開示する電話サービスシステム、監視装置及び監視方法の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例】
【0016】
まず、実施例にかかる電話サービスシステムの構成について説明する。図1は、実施例1にかかる電話サービスシステムの構成を示す図である。図1に示すように、この電話サービスシステムは、IP電話端末10a〜10c、SIPサーバ20、監視装置100を有する。監視装置100は、IP電話端末10a〜10d、SIPサーバ20、IPネットワーク50に接続する。
【0017】
IP電話端末10a〜10dは、SIPパケットを他のIP電話端末との間で送受信することで通話を確立する装置である。このSIPパケットには、他のIP電話端末に呼び出し音を出力させるINVITE等が含まれる。
【0018】
SIPパケットの送受信は、SIPサーバを介して行われる。なお、ここでいうIP電話端末は、VoIP(Voice over Internet Protocol)アダプタを含むものとする。すなわち、IP電話端末は、IP電話を行うためにSIPプロトコルの通信を実際に行う端末を示すものとする。SIPサーバ20は、SIPを利用して各IP電話端末の呼制御を行う装置である。
【0019】
監視装置100は、IP電話端末に送信されるSIPパケットを収集し、収集したSIPパケットを模倣する。そして、監視装置100は、模倣したSIPパケットを各IP電話端末10a〜10dに送信し、模倣したSIPパケットによるIP電話端末の影響を監視する。
【0020】
このように、監視装置100が、模倣したSIPパケットと各IP電話端末の影響との関係を監視することで、異常な値を有するSIPパケットとIP電話端末の機種との関係を特定することができる。したがって、例えば、異常なSIPパケットの影響を受けないようにIP電話端末のファームウェアを的確にアップデータすることが可能であり、被害が拡大することを未然に防止することもできる。
【0021】
次に、図1に示した監視装置100の構成について説明する。図2は、本実施例にかかる監視装置100の構成を示す機能ブロック図である。図2に示すように、この監視装置100は、入力部110、表示部120、通信部130、記憶部140、制御部150を有する。
【0022】
このうち、入力部110は、キーボードやマウスなどの入力装置に対応する。例えば、監視装置100の管理者は、入力部110を操作して、各種のデータを監視装置100に入力する。表示部120は、ディスプレイやモニタなどの出力装置に対応する。表示部120は、制御部150の分析結果などを表示する。通信部130は、ネットワーク50に接続された装置、各IP電話端末10a〜10d、SIPサーバ20との間でデータ通信を行う装置である。後述する制御部150は、この通信部130を介して他の端末と通信を行う。
【0023】
記憶部140は、各種のデータを記憶する記憶装置である。図2に示すように、この記憶装置140は、SIPパケットデータ140a、異常パケットシーケンスデータ140b、宛先管理データ140c、IP電話端末分類データ140d、パケット送受信先管理テーブル140e、電話機種管理テーブル140fを記憶する。
【0024】
このうち、SIPパケットデータ140aは、IP電話端末に送信されるSIPパケットのSIPペイロードに格納されているデータである。図3は、SIPパケットデータ140aのデータ構造の一例を示す図である。このSIPパケットデータ140aに異常な値が含まれている場合には、IP電話端末が誤作動を起こす恐れがある。
【0025】
異常パケットシーケンスデータ140bは、IP電話端末10の挙動を分析するための処理手順を記憶する。この処理手順には、異常なSIPパケットによりフリーズしたIP電話端末を判定するための処理手順と、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定するための処理手順を含む。各処理手順に関する具体的な説明は後述する。
【0026】
宛先管理データ140cは、各IP電話端末10a〜10dの宛先情報を記憶するデータである。図4は、宛先管理データ140cのデータ構造の一例を示す図である。図4に示すように、この宛先管理データ140cは、利用者識別情報、IP電話識別情報、IPアドレスを含む。利用者識別情報は、利用者を一意に識別する情報であり、IP電話識別情報は、IP電話端末を一意に識別する情報である。
【0027】
IP電話端末分類データ140dは、SIPサーバ20を介さず、直接的に正常なINVITE(SIPメッセージ)を送信した場合に呼び出し音が鳴るIP電話端末と、直接的に正常なINVITEを送信した場合に呼び出し音が鳴らないIP電話端末とを管理するデータである。図5は、IP電話端末分類データ140dのデータ構造の一例を示す図である。図5に示すように、このIP電話端末分類データ140dは、利用者識別情報、IP電話識別情報、直接間接情報を含む。直接間接情報は、IP電話端末が直接的にINVITEを受けた場合に、呼び出し音を鳴らすか否かを判別する情報である。図5に示す例では、IP電話端末10a〜10cが、直接的なINVITEに対して正常に呼び出し音を鳴らし、IP電話端末10dが、直接的なINVITEに対して正常に呼び出し音を鳴らさない旨を示している。
【0028】
パケット送受信先管理テーブル140eは、SIPパケットの送受信先や、送信先のIP電話端末の利用者などを管理するテーブルである。図6は、パケット送受信先管理テーブル140eのデータ構造の一例を示す図である。図6に示すように、このパケット送受信先管理テーブル140eは、送信元IPアドレス、送信先IPアドレス、利用者識別情報、機種識別情報を含む。このうち、送信元IPアドレスは、SIPパケットの送信元となる端末のIPアドレスを示す。送信先IPアドレスは、SIPパケットの送信先となるIP電話端末のIPアドレスを示す。
【0029】
電話機種管理テーブル140fは、各IP電話端末の機種の種別を管理するテーブルである。図7は、電話機種管理テーブル140fのデータ構造の一例を示す図である。図7に示すように、この電話機種管理テーブル140fは、利用者識別情報、IP電話識別情報、機種識別情報を有する。このうち、機種識別情報は、IP電話端末の機種を一意に識別する情報である。図7に示す例では、IP電話端末10aおよびIP電話端末10dの機種識別情報が機種Aであり、IP電話端末10bおよびIP電話端末10cの機種識別情報が機種Bである。
【0030】
図2の説明に戻る。制御部150は、各IP電話端末に送信されるSIPパケットを収集し、収集したSIPパケットを模倣して各IP電話端末10a〜10dに送信した後に、このSIPパケットによる各IP電話端末の影響を監視する処理部である。図2に示すように、この制御部150は、パケット収集部150a、呼び出し音確認部150b、パケット模倣部150c、分析部150d、被害把握部150eを有する。
【0031】
このうち、パケット収集部150aは、各IP電話端末に送信されるSIPパケットを収集し、収集したSIPパケットを基にして、SIPパケットデータ140aおよびパケット送受信先管理テーブル140eにデータを登録する処理部である。各IP電話端末に送信されるSIPパケットは、SIPサーバ20を介して送信される。このため、例えば、パケット収集部150aは、SIPサーバ20からSIPパケットを収集する。
【0032】
パケット収集部150aは、SIPパケットを収集した場合に、SIPパケットのSIPペイロードに含まれるデータを抽出し、抽出したデータをSIPパケットデータ140aに記憶する。
【0033】
また、パケット収集部150aは、SIPパケットを収集した場合に、SIPパケットのヘッダ部分に含まれる送信元のIPアドレス、送信先のIPアドレスをパケット送受信先管理テーブル140eに登録する。また、例えば、パケット収集部150aは、送信先のIPアドレスと、宛先管理データ140cと、電話機種管理テーブル140fとを比較し、送信先のIPアドレスに対応する利用者識別情報および機種識別情報を特定する。パケット収集部150aは、特定した利用者識別情報および機種識別情報を送信先のIPアドレスと対応づけてパケット送受信先管理テーブル140eに登録する。
【0034】
呼び出し音確認部150bは、正常なINVITEをSIPサーバ20を介さず直接IP電話端末に送信し、Ringingの応答状況に応じて、IP電話端末分類データ140dを生成する処理部である。具体的に、呼び出し音確認部150bは、正常なINVITEをSIPサーバ20を介さず直接IP電話端末に送信し、Ringingの応答があったIP電話端末を、直接的なINVITEに応答するIP電話端末と判定し、該当するIP電話端末の直接間接情報を「直接」に設定する。
【0035】
これに対して、呼び出し音確認部150bは、正常なINVITEをSIPサーバ20を介さず直接IP電話端末に送信し、Ringingの応答がなかったIP電話端末を、直接的なINVITEに応答しないIP電話端末と判定し、該当するIP電話端末の直接間接情報を「間接」に設定する。なお、呼び出し音確認部150bは、宛先管理データ140cを参照して、送信先のIPアドレスを得る。
【0036】
パケット模倣部150cは、SIPパケットを模倣した模倣パケットを生成する処理部である。このパケット模倣部150cは、SIPパケットデータ140aをSIPパケットのSIPペイロードに格納し、このSIPパケットの宛先を宛先管理データ140cの各IPアドレスを設定することで、模倣パケットを生成する。パケット模倣部150cは、各IP電話端末に対して模倣パケットを生成するので、模倣パケットの数はIP電話端末の数と同じになる。パケット模倣部150cは、生成した模倣パケットを分析部150dに出力する。
【0037】
分析部150dは、模倣パケットを各IP電話端末に送信し、異常パケットシーケンスデータ140bにならって各IP電話端末の挙動を分析することで、異常なSIPパケットと、このSIPパケットに悪影響を受けるIP電話端末の機種との組み合わせを判定する処理部である。
【0038】
上記のように、異常パケットシーケンスデータ140bには、異常なSIPパケットによりフリーズするIP電話端末を判定する処理手順と、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順とを含む。このため、まず、異常なSIPパケットによりフリーズするIP電話端末を判定する処理手順に基づいた分析部150dの処理を説明した後に、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順に基づいた分析部150dの処理について説明する。
【0039】
異常なSIPパケットによりフリーズするIP電話端末を判定する処理手順に基づいた分析部150dの処理を説明する。この処理手順では、仮に、模倣パケットによりIP電話端末がフリーズした場合に、フリーズしたIP電話端末からのSIPパケットに対応する応答がかえってこないことを利用する。
【0040】
まず、分析部150dは、模倣パケットを各IP電話端末10a〜10dに送信する。分析部150dは、IP電話端末10a〜10dに模倣パケットを送信した後に、IP電話端末10a〜10dに対してOPTIONSのSIPパケットを送信し、応答があるか否かを確認することで、生存を確認する。IP電話端末は、生存している状態でOPTIONSを受信すると、200Kという応答を返すものとする。
【0041】
分析部150dは、OPTIONSのSIPパケットを送信し、応答のないIP電話端末が存在する場合には、かかるIP電話端末のIP電話識別情報と、電話機種管理テーブル140fとを比較して、模倣パケットの影響を受けるIP電話端末の機種を判定する。
【0042】
そして、分析部150dは、OPTIONSに対して応答のないIP電話端末が存在する場合には、応答のないIP電話端末の機種と、かかるIP電話端末に送信した模倣パケットの送信元アドレス(攻撃者の送信元のIPアドレス)とを被害把握部150eに出力する。なお、模倣パケットに対応するSIPパケットの送信元IPアドレスは、模倣パケットと対応づけられているものとする。
【0043】
ところで、分析部150dは、IP電話端末が定期的に送信するREGISTERパケットを利用して、フリーズしたIP電話端末を判定することもできる。すなわち、REGISTERパケットは定期的に、一定の間隔で送信される。このため、分析部150dは、模倣パケットを送信した後に、所定の間隔を超えてREGISTERパケットが観測されない場合には、IP電話端末がフリーズしていると判定する。このREGISTERパケットの宛先はSIPサーバ20となるため、分析部150dは、SIPサーバ20にアクセスし、IP電話端末毎にREGISTERパケットを送信しているか否かを判定する。なお、分析部150dは、各電話端末毎にREGISTERパケットをSIPサーバ20から転送してもらい、IP電話端末毎にREGISTERパケットを送信しているか否かを判定してもよい。
【0044】
この場合、分析部150dは、REGISTERパケットの送信が途絶えたIP電話端末が存在する場合には、送信が途絶えたIP電話端末の機種と、かかるIP電話端末に送信した模倣パケットの送信元アドレス(攻撃者のIPアドレス)とを被害把握部150eに出力する。
【0045】
続いて、異常なSIPパケットにより呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順に基づいた分析部150dの処理について説明する。この処理手順では、IP電話端末が呼び出し音を鳴らした場合に、IP電話端末がRringingを送信することを利用する。
【0046】
まず、分析部150dは、模倣パケットをIP電話端末10a〜10dに送信する。分析部150dは、IP電話端末10a〜10dに模倣パケットを送信した後に、IP電話端末からRringingを受信するか否かを確認することで、模倣パケットにより呼び出し音を鳴らされたIP電話端末を判定する。
【0047】
分析部150dは、Ringingを受信した場合に、Ringingの送信元IPアドレスからIP電話端末を特定し、特定したIP電話端末のIP電話識別情報と、電話機種管理テーブル140fとを比較して、模倣パケットの影響を与えるIP電話端末の機種を判定する。
【0048】
なお、分析部150dは、模倣パケットを送信する場合に、直接間接情報が「間接」となるIP電話端末に対しては、SIPサーバ20を介して、模倣パケットを送信する。またこの場合、分析部150dは、SIPサーバ20にアクセスし、間接的に模倣パケットを送信したIP電話端末からRingingを受信するか否かを判定する。
【0049】
また、分析部150dは、Ringingを送信したIP電話端末が存在する場合には、Ringingを送信したIP電話端末の機種と、かかるIP電話端末に送信した模倣パケットの送信元アドレス(攻撃者のIPアドレス)とを被害把握部150eに出力する。
【0050】
被害把握部150eは、異常なSIPパケットにより被害を受けたIP電話端末の利用者およびこれから被害を受ける可能性があるIP電話端末の利用者を判定する処理部である。
【0051】
まず、被害把握部150eが異常なSIPパケットにより被害を受けたIP電話端末の利用者を判定する処理について説明する。被害把握部150eは、分析部150dからIP電話端末の機種と、攻撃者の送信元のIPアドレスとを取得した場合には、この機種とIPアドレスと同様の組となる機種とIPアドレスとの組に対応する利用者識別情報をパケット送受信先管理テーブル140eから検出する。この利用者識別情報が、既に被害を受けてしまった利用者の利用者識別情報となる。
【0052】
続いて、被害把握部150eがこれから被害を受ける可能性があるIP電話端末の利用者を判定する処理について説明する。被害把握部150eは、電話機種管理テーブル140fを基にして、被害を受けた利用者の利用者識別情報以外で、被害を受けた機種と同一の機種を保持する利用者の利用者識別情報を特定することで、今後被害を受ける可能性のある利用者識別情報を判定する。例えば、図7において、被害を受けた機種が機種「機種A」であり、被害を受けた利用者の利用者識別情報が「利用者a」のみの場合には、機種「機種A」を保持する利用者識別情報「利用者d」が、被害を受ける可能性のある利用者識別情報となる。被害把握部150eは、判定結果を表示部120に出力する。
【0053】
なお、被害把握部150eは、判定結果を出力する場合に、被害を受けた利用者の利用者識別情報、今後被害を受ける可能性のある利用者の利用者識別情報の他にも、被害を受けたIP電話端末のIP電話識別情報や、IPアドレスをあわせて表示させても良い。
【0054】
このように、被害把握部150eからの判定結果を参照することで、ネットワーク管理者は、攻撃者のSIPパケットによって脆弱性のあるIP電話端末を把握することができ、特に「IP電話端末のフリーズ」と「呼び出し音が鳴る」という現象が発生するIP電話端末の機種を把握することができる。これによって、IP電話端末の脆弱部分の修正に役立つ情報を端末開発者に提供できたり、脆弱性のある端末の利用者に通知し、フィルタリングを行う等の対策を行うことに役立つ。
【0055】
次に、本実施例にかかる監視装置100の処理手順について説明する。図8は、OPTIONSを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。図9は、REGISTERを利用してフリーズするIP電話端末を判定する処理手順を示すフローチャートである。図10は、呼び出し音を鳴らしてしまうIP電話端末を判定する処理手順を示すフローチャートである。図8〜図10の順に説明する。
【0056】
図8に示すように、監視装置100は、SIPパケットを収集し(ステップS101)、SIPパケットを模倣する(ステップS102)。監視装置100は、模倣したSIPパケットを各IP電話端末に送信し(ステップS103)、OPTIONSを各IP電話端末に送信する(ステップS104)。
【0057】
監視装置100は、200Kを受信した場合には(ステップS105,Yes)、かかる200Kを送信したIP電話端末に異常はないと判定する(ステップS106)。一方、監視装置100は、200Kを受信しない場合には(ステップS105,No)、かかる200Kを送信していないIP電話端末に異常ありと判定する(ステップS107)。この場合の異常は、IP電話端末がフリーズするというものである。
【0058】
図9に示すように、監視装置100は、SIPパケットを収集し(ステップS201)、SIPパケットを模倣する(ステップS202)。監視装置100は、模倣したSIPパケットを各IP電話端末に送信する(ステップS203)。
【0059】
監視装置100は、模倣したパケットを送信してから所定の時間が経過する前にREGISTERを受信したか否かを判定する(ステップS204)。監視装置100は、REGISTERを受信した場合には(ステップS204,Yes)、かかるREGISTERを送信したIP電話端末に異常はないと判定する(ステップS205)。一方、監視装置100は、REGISTERを受信しない場合には(ステップS204,No)、かかるREGISTERを送信していないIP電話端末に異常ありと判定する(ステップS206)。この場合の異常は、IP電話端末がフリーズするというものである。
【0060】
図10に示すように、監視装置100は、SIPパケットを収集し(ステップS301)、SIPパケットを模倣する(ステップS302)。監視装置100は、模倣したSIPパケットを各IP端末装置に送信する(ステップS303)。ステップS303において、監視装置100は、IP電話端末分類データ140dを参照し、直接間接情報が「直接」となっているIP電話端末に対しては、模倣したSIPパケットを直接送信する。これに対して、監視装置100は、直接間接情報が「間接」となっているIP電話端末に対しては、SIPサーバ20を介して模倣したSIPパケットを送信する。
【0061】
監視装置100は、Ringingを受信していない場合には(ステップS304,No)、Ringingを送信していないIP電話端末に異常はないと判定する(ステップS305)。一方、Ringingを受信した場合には(ステップS304,Yes)、Ringinを送信したIP電話端末に異常ありと判定する(ステップS306)。この場合の異常は、IP電話端末の呼び出し音が鳴ってしまうというものである。
【0062】
次に、本実施例にかかる監視装置100の効果について説明する。上述した監視装置100は、IP電話端末に送信されるSIPパケットを収集して、このSIPパケットを模倣した模倣パケットを生成する。そして、監視装置100は、試験対象となる各IP電話端末に模倣パケットを送信した後に、試験対象となるIP電話端末に異常が発生したか否かを判定する。このため、監視装置100によれば、異常なSIPパケットによる攻撃が、どのIP電話端末に影響を与えるのかを判定できる。
【0063】
また、監視装置100は、パケット送受信先管理テーブル140eを利用して、既に異常なSIPパケットが送信されてしまい、異常の発生しているIP電話端末を特定する。このため、IP電話端末がフリーズしてしまったとしても、かかるIP電話端末を早期に発見することができる。
【0064】
また、監視装置100は、電話機種管理テーブル140fに基づいて、被害を受けた利用者の利用者識別情報以外で、被害を受けた機種と同一の機種を保持する利用者の利用者識別情報を特定することで、今後被害を受ける可能性のある利用者識別情報を判定する。このため、被害を受ける前に、各種の対策を行うことができ、被害を未然に防止することができる。
【0065】
ところで、上記実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順(図8、図9、図10)、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
【0066】
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
【0067】
なお、図8、図9、図10で示した処理手順は、予め用意されたプログラムをパーソナルコンピュータやワークステーションなどのコンピュータで実行することによって実現することができる。このプログラムは、インターネットなどのIPネットワークを介して配布することができる。また、このプログラムは、ハードディスク、フレキシブルディスク、CD−ROM(Compact Disk Read Only Memory)、MO(Magneto-Optical disk)、DVD(Digital Versatile Disk)などのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
【0068】
図11は、開示の技術に係る異常監視プログラムによる情報処理がコンピュータを用いて具体的に実現されることを示す図である。図11に例示するように、コンピュータ200は、例えば、メモリ201と、CPU(Central Processing Unit)202と、ハードディスクドライブインタフェース203と、ディスクドライブインタフェース204と、シリアルポートインタフェース205と、ビデオアダプタ206と、ネットワークインタフェース207とを有し、これらの各部はバス208によって接続される。
【0069】
メモリ201は、図11に例示するように、ROM(Read Only Memory)201a及びRAM(Random Access Memory)201bを含む。ROM201aは、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース203は、図11に例示するように、ハードディスクドライブ203aに接続される。ディスクドライブインタフェース204は、図11に例示するように、ディスクドライブ204aに接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ204aに挿入される。シリアルポートインタフェース205は、図11に例示するように、例えばマウス205a、キーボード205bに接続される。ビデオアダプタ206は、図11に例示するように、例えばディスプレイ206aに接続される。
【0070】
ここで、図11に例示するように、ハードディスクドライブ203aは、例えば、OS(Operating System)、アプリケーションプログラム、プログラムモジュール、プログラムデータを記憶する。すなわち、開示の技術に係る異常監視プログラムは、コンピュータによって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ203aに記憶される。具体的には、上記実施例で説明した制御部150と同様の情報処理を実行する各手順が記述されたプログラムモジュールが、ハードディスクドライブ203aに記憶される。また、情報監視プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えばハードディスクドライブ203aに記憶される。そして、CPU202が、ハードディスクドライブ203aに記憶されたプログラムモジュールやプログラムデータを必要に応じてRAM201bに読み出し、各手順を実行する。
【0071】
なお、異常監視プログラムに係るプログラムモジュールやプログラムデータは、ハードディスクドライブ203aに記憶される場合に限られず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ等を介してCPU202によって読み出されてもよい。あるいは、トラフィック分析プログラムに係るプログラムモジュールやプログラムデータは、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶され、ネットワークインタフェースを介してCPU202によって読み出されてもよい。
【符号の説明】
【0072】
100 監視装置
110 入力部
120 表示部
130 通信部
140 記憶部
150 制御部
【特許請求の範囲】
【請求項1】
ネットワークを介して、通話を確立するためのパケットを送受信する複数の端末と、各端末に送信されるパケットを監視する監視装置とを含む電話サービスシステムであって、
前記監視装置は、
前記端末に送信されるパケットを取得し、該パケットの宛先を前記サービスシステムに含まれる試験対象の各端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、
前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部と
を備えたことを特徴とする電話サービスシステム。
【請求項2】
端末と該端末に既に送信されたパケットとを対応づけた情報を示す送信済パケット情報を記憶する記憶部と、前記異常監視部によって異常が発生したと判定された場合に、前記送信制御部によって送信されたパケットと前記送信済パケット情報とを基にして、前記異常監視部が判定した端末以外で異常の発生している端末を判定する異常端末判定部とを更に備えたことを特徴とする請求項1に記載の電話サービスシステム。
【請求項3】
前記記憶部は、複数の端末と該端末の機種とを対応づけた種別情報を更に記憶し、前記異常監視部によって異常と判定された端末と前記種別情報とを比較して、異常と判定された端末の種別を判定する異常種別判定部とを更に備えたことを特徴とする請求項1または2に記載の電話サービスシステム。
【請求項4】
ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、
前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部と
を備えたことを特徴とする監視装置。
【請求項5】
端末と該端末に既に送信されたパケットとを対応づけた情報を示す送信済パケット情報を記憶する記憶部と、前記異常監視部によって異常が発生したと判定された場合に、前記送信制御部によって送信されたパケットと前記送信済パケット情報とを基にして、前記異常監視部が判定した端末以外で異常の発生している端末を判定する異常端末判定部とを更に備えたことを特徴とする請求項4に記載の監視装置。
【請求項6】
前記記憶部は、複数の端末と該端末の機種とを対応づけた種別情報を更に記憶し、前記異常監視部によって異常と判定された端末と前記種別情報とを比較して、異常と判定された端末の種別を判定する異常種別判定部とを更に備えたことを特徴とする請求項4または5に記載の監視装置。
【請求項7】
コンピュータが、
ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御工程と、
前記送信制御工程により試験対象となる各端末にパケットが送信された後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視工程と
を含んだことを特徴とする監視方法。
【請求項8】
端末と該端末に既に送信されたパケットとを対応づけた情報を示す送信済パケット情報を記憶装置に記憶する記憶工程と、前記異常監視工程によって異常が発生したと判定された場合に、前記送信制御工程によって送信されたパケットと前記送信済パケット情報とを基にして、前記異常監視工程によって判定された端末以外で異常の発生している端末を判定する異常端末判定工程とを更に含んだことを特徴とする請求項7に記載の監視方法。
【請求項9】
前記記憶工程は、複数の端末と該端末の機種とを対応づけた種別情報を更に記憶装置に記憶し、前記異常監視工程によって異常と判定された端末と前記種別情報とを比較して、異常と判定された端末の種別を判定する異常種別判定工程とを更に含んだことを特徴とする請求項7または8に記載の監視方法。
【請求項1】
ネットワークを介して、通話を確立するためのパケットを送受信する複数の端末と、各端末に送信されるパケットを監視する監視装置とを含む電話サービスシステムであって、
前記監視装置は、
前記端末に送信されるパケットを取得し、該パケットの宛先を前記サービスシステムに含まれる試験対象の各端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、
前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部と
を備えたことを特徴とする電話サービスシステム。
【請求項2】
端末と該端末に既に送信されたパケットとを対応づけた情報を示す送信済パケット情報を記憶する記憶部と、前記異常監視部によって異常が発生したと判定された場合に、前記送信制御部によって送信されたパケットと前記送信済パケット情報とを基にして、前記異常監視部が判定した端末以外で異常の発生している端末を判定する異常端末判定部とを更に備えたことを特徴とする請求項1に記載の電話サービスシステム。
【請求項3】
前記記憶部は、複数の端末と該端末の機種とを対応づけた種別情報を更に記憶し、前記異常監視部によって異常と判定された端末と前記種別情報とを比較して、異常と判定された端末の種別を判定する異常種別判定部とを更に備えたことを特徴とする請求項1または2に記載の電話サービスシステム。
【請求項4】
ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御部と、
前記送信制御部が試験対象となる各端末にパケットを送信した後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視部と
を備えたことを特徴とする監視装置。
【請求項5】
端末と該端末に既に送信されたパケットとを対応づけた情報を示す送信済パケット情報を記憶する記憶部と、前記異常監視部によって異常が発生したと判定された場合に、前記送信制御部によって送信されたパケットと前記送信済パケット情報とを基にして、前記異常監視部が判定した端末以外で異常の発生している端末を判定する異常端末判定部とを更に備えたことを特徴とする請求項4に記載の監視装置。
【請求項6】
前記記憶部は、複数の端末と該端末の機種とを対応づけた種別情報を更に記憶し、前記異常監視部によって異常と判定された端末と前記種別情報とを比較して、異常と判定された端末の種別を判定する異常種別判定部とを更に備えたことを特徴とする請求項4または5に記載の監視装置。
【請求項7】
コンピュータが、
ネットワークを介して、通話を確立するためのパケットを送受信する端末に送信されるパケットを取得し、該パケットの宛先を試験対象の複数の端末の宛先に変更し、変更したパケットを各端末にそれぞれ送信する送信制御工程と、
前記送信制御工程により試験対象となる各端末にパケットが送信された後に、前記試験対象となる各端末に異常が発生したか否かを判定する異常監視工程と
を含んだことを特徴とする監視方法。
【請求項8】
端末と該端末に既に送信されたパケットとを対応づけた情報を示す送信済パケット情報を記憶装置に記憶する記憶工程と、前記異常監視工程によって異常が発生したと判定された場合に、前記送信制御工程によって送信されたパケットと前記送信済パケット情報とを基にして、前記異常監視工程によって判定された端末以外で異常の発生している端末を判定する異常端末判定工程とを更に含んだことを特徴とする請求項7に記載の監視方法。
【請求項9】
前記記憶工程は、複数の端末と該端末の機種とを対応づけた種別情報を更に記憶装置に記憶し、前記異常監視工程によって異常と判定された端末と前記種別情報とを比較して、異常と判定された端末の種別を判定する異常種別判定工程とを更に含んだことを特徴とする請求項7または8に記載の監視方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2011−259157(P2011−259157A)
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2010−131170(P2010−131170)
【出願日】平成22年6月8日(2010.6.8)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成22年6月8日(2010.6.8)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]