當SPAM入侵VoIP時

比垃圾郵件更擾人的語音垃圾即將成形

這兩年來，有許多防止SPAM技術的發展，有效地減少SPAM對消費者及業者的影響，但SPAM的技術日趨多化元，如同病毒遇到抗體會進化，防堵技術的腳步遠不及SPAM演化的速度，最近更有人發表未來SPAM會結合VoIP，將把SPAM的技術推向另一高峰，也有人主張現在必須研擬制定防止VoIP SPAM擴散的方式，防止垃圾郵件的歷史重演。SPAM結合VoIP的特點，提高防堵技術的困難

根據IDC等研究單位調查指出，2005年到2008年VoIP將快速成長，將來更有可能代替傳統電話的角色，臺灣推展VoIP也不遺於力，今年臺北世貿中心的各種電腦相關展覽，都能看到VoIP廠商努力鼓吹VoIP的優點，雖然現階段臺灣使用者還不多，但各家大廠都希望能在VoIP佔一席之地，在一遍企圖拉抬VoIP的聲勢下，國外開始有文章討論VoIP與SPAM結合的相關議題，中華數位產品研發QC工程師高銘鍾表示，傳統電話移植到IP網路後，依然保有電話語音的優點外，更結合網際網路便宜、整合、方便等特性，強化傳統電話功能的不足，也因為整合為IP網路的成員，原本應用於電子郵件的SPAM技術，可以直接移值到VoIP，而且技術門檻不高，但是防止垃圾郵件的方法，卻無法完全抑止VoIP SPAM的發生。

實際上，現在手機常能接到情色、搧情的簡訊或語音答錄電話，現階段各電信業者防止類似電話的做法，必須消費者主動回應告知電信業者，再統一交付電信警察處理，申請傳統電話的方式，至少申請者必須填寫相關資料，電信警察可以從資料中發掘蛛絲馬跡，回查上游業者並取締，然而當電話結合IP網路，傳統的方法並無法制止。VoIP SPAM比垃圾郵件影響更廣

從發話端來看，雖然網路的位置要註冊，但是SPAM的一些技巧，像是假冒合法IP/使用者，或是到第三方國家的某單位註冊IP位置，但是這單位並非合法的網際網路註冊組織，不接收任合合法註冊組織的認證（代表無法管制使用網際網路的任何行為），更可能發話端是個電腦網路高手，根本不需要註冊任何IP位址，就能從網際網路的任一角落大量散發VoIP SPAM。從收話端來看，使用者常必接起電話才能判斷是否為垃圾訊息，不像電子信箱的垃圾郵件，可以自己先過濾信件主旨再接收，而且VoIP的電話號碼是獨一無二的網路IP位址，為了提高VoIP的附加價值，也希望能透過IP網路提供號碼可攜性的服務（例如ENUM），信舟電訊產品經理詹正合表示，消費者採用VoIP的原因，除了價格低廉外，更看中VoIP提供的附加價值，雖然號碼可攜性服務能提供VoIP更方便的使用方式，但是只要SPAM入侵VoIP領域，網路電話獨一無二的IP位址，反而造成很大的困擾，消費者無時無刻會收到垃圾訊息，而且無從判斷訊息來源。

對提供VoIP的設備商更是一大隱憂，VoIP大多可以提供聲音答錄功能（VoIP Mail Box），當SPAM的技術將垃圾語音大量傳送到VoIP Mail Box，設備商也無法判斷語音的來源時，必須提供更大量的VoIP Mail Box空間才能存放語音訊息，而且語音檔案容量頗大（相較於電子郵件容量），傳輸過程會消耗大量的頻寬，可能視為DoS攻擊模式，導致VoIP電話不通或忙線，如果增加的頻寬需求，反而要花費更高額的投資，打壓VoIP節省成本的原意。現階段技術較難防止VoIP SPAM

現階段VoIP多採用SIP通訊協定，雖然傳統H.323歷史悠久、規則嚴謹，但是啟動通話必須經過閘道器（Gatekeeper）註冊轉送、開啟通道、內容傳送等14步驟，實做困難、延展性不足，會議傳輸必須藉由MC/MCU等設備，SIP則提供高度彈性的設計，大幅減少傳輸過程的步驟（約3步驟即可），只要雙方自訂可以透通的管道，就可以互相溝通。高銘鍾認為雖然SIP提供開放、自由性的架構，但是無法制定明確地依序規章，無法像H.323提供安全的傳輸過程，SIP的安全性本來就有問題，加上SPAM常使用的假IP認證、或使用木馬程式盜用合法使用者的帳號大量發送垃圾訊息，SPAM技術的技巧可以直接移植到VoIP使用，只是將訊息從傳統電子郵件的內容，轉移成語音資料，但是防止垃圾郵件的技術（例如黑白名單、關鍵字、DNS反查、啟發式學習、貝氏演算等）無法應用在VoIP的語音內容管理，電子郵件是平面圖文，較容易辨識，語音內容的辨識很難，而且幾乎無法判斷是否為垃圾語音，目前防制技術能解決的大概只有反查來源位址，藉由反查來源註冊單位，辨別是否為合法授權組織，只是實做很困難，電子郵件反查技術是先將信件存放到閘道器，再反查每一封信件的來源，但VoIP是即時溝通，當對方掛斷電話，溝通就結果，必須是即時性反查，當通話結束才取得反查結果都太遲，閘道器必須有承載大量語音資料的能力，而且要有大量的頻寬才能雙向查詢，反查來源的可行性也不高。

若從VoIP設備端著手，可行性會高一點，詹正合表示，目前VoIP的IP-PBX多可以自制規則，網管人員可以手動建立使用者授權使用，只是現在VoIP SPAM尚未成形前，這種方法已經足夠，但是未來當VoIP SPAM大量散佈，將大幅增加網管人員的負擔，詹正合認為，雖然現階段國外開始有討論VoIP SPAM的問題，但尚未成氣候，也許未來會有第三方組織建立VoIP SPAM過濾技術，才能有效解決VoIP SPAM問題。以目前臺灣現況，大家只看到VoIP節省費用的優點，在公司內部架設VoIP Gateway，可是沒有任何安全防止措施，缺乏IP-PBX或其他安全驗證方式（例如VPN），目前VoIP較可能的問題是盜用帳號，但是若要廠商再採購其他相關安全解決方案，則難上加難，節省成本與安全性一直無法取得平衡點，假設廠商願意導入IP-PBX或安全驗證方案，還有可能遇到與其他資安產品（例如防火牆）無法透通等問題，現在臺灣大多以推廣VoIP為主，其他的問題較少考量。

雖然國外推擴VoIP較久，但目前全球導入VoIP的廠商必竟還算是少數，雖然目前國外有很多文章討論VoIP SPAM的問題、以及將帶來的災害，但是還沒有明確的解決方法，國內有些廠商也注意到這議題，只是沒實際遭遇並不清楚未來會如何發展，當IP網路、傳統PSTN、及SPAM糾結在一起，SPAM的進化將造成防治工作更加困難。文⊙蘇碩鈞