プレス発表
SIPの脆弱性に関する検証ツールの機能を強化
〜SIP実装製品開発者向けに検証項目拡充版を無償貸出〜
2010年11月30日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「SIP(*1)の脆弱性に関する既知の脆弱性検証ツール」について、検証項目の拡充を行い、「SIPに係る既知の脆弱性検証ツール V2.0」として、製品開発者を対象に貸出しを開始しました。
URL: http://www.ipa.go.jp/security/vuln/vuln_SIP_Check.html
概要
SIPは、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へ使用が広まっています。一方で、SIPを実装した製品については、これまで多くの脆弱性が公表されています。
IPAでは、SIP実装製品開発者が出荷前に脆弱性を作りこまないよう、「SIPに係る既知の脆弱性検証ツール」を開発し、2009年4月から本ツールの貸出しを行っています。
この度、本ツールの機能強化として、「DoS攻撃によるSIPサービスの妨害」に関連する問題を中心に、検証可能な脆弱性を新たに5つ追加しました。更に、脆弱性検証に使用するシナリオ(*2)数を前バージョンの31から265シナリオに増やしました(詳細は別紙を参照下さい)。これにより、本ツールを利用した脆弱性検査において、検査スコープやテスト内容の深さが格段に広がりました。
IPAでは、SIP実装製品開発者が出荷前に脆弱性を作りこまないよう、「SIPに係る既知の脆弱性検証ツール」を開発し、2009年4月から本ツールの貸出しを行っています。
この度、本ツールの機能強化として、「DoS攻撃によるSIPサービスの妨害」に関連する問題を中心に、検証可能な脆弱性を新たに5つ追加しました。更に、脆弱性検証に使用するシナリオ(*2)数を前バージョンの31から265シナリオに増やしました(詳細は別紙を参照下さい)。これにより、本ツールを利用した脆弱性検査において、検査スコープやテスト内容の深さが格段に広がりました。
新たに検証可能になった脆弱性
SIP認証パスワードの解読
SIPの認証処理においてパスワードが解読される問題。
DoS攻撃によるSIPサービスの妨害
DoS攻撃によりSIPサービスが妨害される問題。
RTPメディアの偽装から起こる問題
RTP(*3)メディアデータを第三者に偽装されることにより、サービスが妨害される問題。
RTCPの偽装から起こる問題
RTCP(*4)を偽装することで、特定のRTPメディアストリームが停止させられる等の問題。
Call-IDを予測しやすい問題
SIPの通信においてメッセージ毎に付与されるCall-ID(*5)が予測されやすい実装の問題。
脚注
(*1)Session Initiation Protocol。セッション開始プロトコル。IP電話、テレビ電話などで使用されているプロトコル。
(*2)各検証項目を構成するテスト項目で、検証ツールの動作をパターン化したもの。
(*3)音声や映像をストリーミング再生するための伝送プロトコル。
プレスリリースのダウンロード
(PDFファイル 102KB)本件に関するお問い合わせ先
IPA セキュリティセンター 大森/甲斐根
Tel: 03-5978-7527 Fax: 03-5978-7518
E-mail: 
報道関係からの問い合わせ先
IPA 戦略企画部広報グループ 横山/大海
Tel: 03-5978-7503 Fax: 03-5978-7510
E-mail: 