HOME >> ツール&データベースカタログ >> 1-10. SIPに係る既知の脆弱性検証ツール
- 1-1.
企業や組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク - 1-2.
脆弱性体験学習ツール
「AppGoat」−突いてみますか?脆弱性!− - 1-3.
脆弱性対策情報データベース「JVN iPedia」 - 1-4.
MyJVN 脆弱性対策情報収集ツール - 1-5.
MyJVN バージョンチェッカ - 1-6.
MyJVN セキュリティ設定チェッカ - 1-7.
サイバーセキュリティ注意喚起サービス「icat」 - 1-8.
TCP/IP に係る既知の脆弱性検証ツール - 1-9.
ウェブサイトの脆弱性検出ツール「iLogScanner」 - 1-10.
SIP に係る既知の脆弱性検証ツール - 1-11.
セキュア・プログラミング講座 - 1-12.
知っていますか?脆弱性
−アニメで見るウェブサイトの脅威と仕組み− - 1-13.
安全なウェブサイト運営入門 −7 つの事件を体験し、ウェブサイトを守り抜け!− - 1-14.
5分でできる!情報セキュリティポイント学習 事例で学ぶ中小企業のためのセキュリティ対策 - 1-15.
情報セキュリティ対策支援サイト「iSupport」 - 1-16.
セキュリティ要件確認支援ツール - 1-17.
情報セキュリティ・ポータルサイト「ここからセキュリティ!」
SIPに係る既知の脆弱性検証ツール
SIPの既知の脆弱性を体系的に検証できるツール
2009年3月から公開中SIP(Session Initiation Protocol)は、マルチメディアデータをリアルタイムに双方向通信するための通信開始プロトコルで、コンピュータや組込み機器で利用が広まっています。
SIPを実装したソフトウェアには、従来も多くの脆弱性が発見、公表され、対策が施されてきました。しかし、脆弱性を体系的に検証するツールがなかったため、新たに開発されるソフトウェアで脆弱性が「再発」するケースが見受けられます。
そこでIPAでは、SIPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の脆弱性「再発」防止のためのツール「SIPに係る既知の脆弱性検証ツール」を開発し、2009年5月よりCD-ROMでの貸出を開始しました。本ツールでは、「SIPに係る既知の脆弱性に関する調査報告書(改訂第3版)」※に記載された22項目のうち11項目(当該脆弱性項目を検証するために必要な265シナリオ)を検証できます。
※SIPに係る既知の脆弱性に関する調査報告書
http://www.ipa.go.jp/security/vuln/vuln_SIP.html
検証可能な脆弱性
本ツールでは、SIPを実装したソフトウェアの次のような脆弱性を検証できます。(2010年11月30日現在)
| SIP(Session Initiation Protocol)/ SDP(Session Description Protocol)に係る脆弱性 | ||
|---|---|---|
| 1 | ○ | SIPリクエストの偽装から起こる問題 |
| 2 | − | SIPレスポンスの偽装から起こる問題 |
| 3 | ○ | SIP認証パスワードの解読 |
| 4 | − | SIPメッセージボディの改ざんから起こる問題 |
| 5 | − | 保護されていないトランスポートプロトコルを選択させられる問題 |
| 6 | ○ | DoS攻撃によるSIPのサービス妨害 |
| 7 | − | その他SIP拡張リクエストの脆弱性 |
| RTP(Real-time Transport Protocol)/ RTCP(RTP Control Protocol)に係る脆弱性 | ||
| 8 | − | RTPメディアの盗聴から起こる問題 |
| 9 | ○ | RTPメディアの偽装から起こる問題 |
| 10 | ○ | RTCPの偽装から起こる問題 |
| コーデックに係る脆弱性 | ||
| 11 | − | コーデックの脆弱性 |
| 実装不良に係る脆弱性 | ||
| 12 | ○ | 不具合を起こしやすいパケットに対応できない問題 |
| 13 | ○ | Call-IDを予測しやすい実装の問題 |
| 14 | ○ | 認証機能の不十分な実装の問題 |
| 15 | ○ | 送信元IPアドレスを確認しない実装の問題 |
| 16 | ○ | 不適切なIPアドレスを含むSIPメッセージに関する問題 |
| 17 | − | デバッガ機能へ接続可能な実装の問題 |
| 管理機能に係る脆弱性 | ||
| 18 | − | 管理機能に関する問題 |
| ID、構成情報に係る脆弱性 | ||
| 19 | ○ | 登録IDと構成情報の収集に関する問題 |
| SIP/RTPの暗号化に係る脆弱性 | ||
| 20 | − | SIPにおけるTLSの不適切な利用から起こる問題 |
| 21 | − | SRTPの暗号に用いる共通鍵が盗聴される問題 |
| 22 | − | 暗号化されたSRTPが共通鍵なしで解読される問題 |
| 調査報告書記載外 | ||
| − | ○ | 保有機能確認 |
○:実装 −:未実装 (2010年11月30日時点) (注)○:検証が可能な項目
豊富なレポート機能
SIPに係る既知の脆弱性検証ツールは、実際に脆弱性への攻撃パケットを送信する「脆弱性検証ツール」です。
検証する機器のIPアドレスなどを設定し、検査対象の脆弱性の種類を選択してパラメータを設定することで、簡単に検証が行えます。
本ツールはレポート機能が充実しており、検査対象の脆弱性の有無に加え、検証対象との通信の流れ(メッセージフロー)と通信の中身(メッセージボディ)が表示されます。問題のある箇所を分かりやすく表示するため、修正すべき箇所を特定しやすくなっています。
なお、実際の脆弱性の有無の判定は、検証者が検証対象機器の状態を、確認していただく必要があります。
検証ツールの貸出方法
●貸出対象
原則として、次の条件を満たすSIPを実装する製品開発者へ検証ツールを貸出します。
- SIPを実装する日本国内の製品開発ベンダーで、法人格を持つ事業体であること。
- 不正使用禁止の「利用許諾条件合意書」に合意していただくこと。
- 場合によって、会社経歴書などの提出を求めることがあります。
●費用および期間
費用は無償です。貸出期間は2年間(更新可能)です。
●申込手順
「SIPに係る既知の脆弱性検証ツール」のウェブサイトをご覧下さい。
http://www.ipa.go.jp/security/vuln/vuln_SIP_Check.html