SIPの脆弱性に関する検証ツールを公開
脆弱性の再発防止のため、SIP実装製品の開発者向けに無償貸出
最終更新日 2009年4月23日
掲載日 2009年4月23日
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための標準的な通信開始手順であるSIP(Session Initiation Protocol)に関して、「SIPに係る既知の脆弱性検証ツール」の開発を行い、2009年4月23日よりSIP実装製品の開発者向けに、CD-ROMでの貸し出しを開始しました。
併せて、「SIPに係る既知の脆弱性に関する調査報告書」の改訂を行い、改訂第2版をIPAのウェブサイトで公開しました。
SIP(*1)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっています。
SIPを実装したソフトウェアには、これまで多くの脆弱性が発見・公表され、機器ごとに対策が施されてきました。しかし、こうした脆弱性を体系的に検証するツールが整備されていなかったことから、新たに開発されるソフトウェアで、既に公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが見受けられます。
このような課題に対応するため、IPAは、SIP実装製品開発者向けに、SIPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の脆弱性“再発”防止のためのツール、「SIPに係る既知の脆弱性検証ツール」を開発し、2009年4月23日よりCD-ROMでの貸出を開始しました。
本ツールは、今回改訂した「SIPに係る既知の脆弱性に関する調査報告書(改訂第2版)」(以下、「本報告書」)に記載している22項目の脆弱性のうち、6項目の脆弱性を体系的に検証できるツールです。
1.SIPに係る既知の脆弱性検証ツール
SIPに係る既知の脆弱性検証ツールは、「SIPに係る既知の脆弱性に関する調査報告書(改訂第2版)」に記載している22項目の脆弱性のうち、6項目(当該脆弱性項目を検証するために必要な約100シナリオ(*2)のうち30シナリオ)を体系的に検証できるツールです。
SIPを実装する製品開発者は、図1に示すような手順で検証ツールを利用することにより、脆弱性の有無を確認することができます。
検証ツールの実行画面では、検証する機器のIPアドレスや調査したい脆弱性などが簡易に設定できます(図2)。検証ツールの実行結果レポートには、検証対象との通信の流れに加え、脆弱性を検出した部分が二重線で明示されるので、脆弱性の有無や脆弱性のある場所が簡易に判定できます(図3)。
また、その脆弱性の詳細に関しては、調査報告書を参照することで、脆弱性の内容と対策方法を理解することができます。
本ツールは、次のURLの「1.検証ツールの貸出方法」、「2.検証可能な脆弱性」を参照の上、ご使用ください。
http://www.ipa.go.jp/security/vuln/vuln_SIP_Check.html
図1.検証ツールの利用イメージ
図2.検証ツールの実行画面例
図3.検証ツールの実行結果レポート例
2.SIPに係る既知の脆弱性に関する調査報告書 改訂第2版
SIPに係る既知の脆弱性に関する調査報告書は、一般に公表されているSIPの既知の脆弱性情報を収集・分析し、解説書としてまとめたものです。具体的には、次の(1)〜(7)に関連する22項目の脆弱性の詳細と、発見の経緯や現在の動向、開発者向けの実装ガイド、ソフトウェアや機器を利用する運用者や利用者向けの運用ガイドを記載しています。
今回の改訂第2版では、SIP/RTP(*3)の暗号化に関してカテゴリ(7)を新たに追加し、TLS(*4)の不適切な利用や、SRTP(*5)で用いる共通鍵を交換する場合の問題などを記述しました。また、近年報告されているSIP/RTP管理用のWebインターフェースのSQLインジェクション脆弱性やクロスサイト・スクリプティング脆弱性に関して追記するなど、第1版以降の状況を反映しました。
(1)SIP/SDP(*6)に係る脆弱性
通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの。
(2)RTP/RTCP(*7)に係る脆弱性
音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの。
(3)コーデックに係る脆弱性
音声、ビデオなどの符号化方式そのものに関するもの。
(4)実装不良に係る脆弱性
不正な形式のメッセージに配慮が足りない、識別子が予測されやすいなど、ソフトウェアの実装に関するもの。
(5)管理機能に係る脆弱性
機器の設定方法、ソフトウェアの更新方法、説明書の記載に配慮が足りないなど、機器の管理に関するもの。
(6)ID、構成情報に係る脆弱性
機器の識別情報の一覧が取り出されたり、製品内部の構成情報が漏洩するなど、機器の構成情報に関するもの。
(7)SIP/RTPの暗号化に係る脆弱性
TLSの不適切な利用、SRTPで用いる共通鍵を交換する場合の問題など、暗号化に関するもの。
本書(全150ページ)は、次のURLよりダウンロードの上、ご参照ください。
http://www.ipa.go.jp/security/vuln/vuln_SIP.html
脚注
(*1)Session Initiation Protocol。セッション開始プロトコル。IP電話、テレビ電話、インスタントメッセージなどで使用されているプロトコル。
(*2)脆弱性検証において検証対象となる機器の役割(加入者端末、SIPサーバ等)、IPv4/IPv6の区別、および調査報告書における脆弱性項目内の小項目の組み合わせにより定義される検証パターン。
(*3)Real-time Transport Protocol。音声や映像をストリーミング再生するための伝送プロトコル。
(*4)Transport Layer Security。TCPまたはUDP上の通信を暗号化するプロトコル。
(*5)Secure Real-time Transport Protocol。音声や動画などのリアルタイム通信で用いられるRTPを暗号化する技術。
(*6)Session Description Protocol。セッション開始の初期化パラメータを記述するプロトコル。
(*7)RTP Control Protocol。RTPを利用する際にデータの送受信制御および送信者と受信者の情報を記述するプロトコル。
プレスリリースのダウンロード
開発実施者
- 株式会社ユビテック
- 株式会社ソフトフロント
- 株式会社ネクストジェン
- 開発概要
謝辞
この開発には次の方々にもご協力いただきました。
- エヌ・ティ・ティ・アドバンステクノロジ株式会社(NTT AT)
- 沖電気工業株式会社
- 沖電気ネットワークインテグレーション株式会社
- 株式会社OKIネットワークス
- 有限責任中間法人JPCERTコーディネーションセンター
- 日本電気株式会社
- 日本電信電話株式会社 情報流通プラットフォーム研究所
- 株式会社 日立製作所
- 株式会社日立コミュニケーションテクノロジー
- 富士通株式会社
- 株式会社富士通研究所
参考情報
本件に関するお問い合わせ先
IPA
セキュリティ センター 山岸/渡辺
Tel:03-5978-7527 Fax:03-5978-7518
E-mail: 
報道関係からのお問い合わせ先
IPA 戦略企画部広報グループ 横山/大海
Tel:03-5978-7503 Fax:03-5978-7510
E-mail: 
更新履歴
| 2009年4月23日 | 掲載 |
|---|