HOME情報セキュリティ情報セキュリティ対策脆弱性対策SIPに係る既知の脆弱性検証ツール

本文を印刷する

情報セキュリティ

SIPに係る既知の脆弱性検証ツール

4/9をもちまして、本ツールの新規の貸出しを終了しました。
本件についてのご質問、お問合せは、本ページ下部の問合せ先までお願いします。

 SIP(*1)は、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっています。

 SIPを実装したソフトウェアには、これまで多くの脆弱性が発見・公表され、機器ごとに対策が施されてきました。しかし、こうした脆弱性を体系的に検証するツールが整備されていなかったことから、新たに開発されるソフトウェアで、既に公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが見受けられます。

 このような課題に対応するため、SIP実装製品開発者向けに、SIPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の脆弱性“再発”防止のためのツール、「SIPに係る既知の脆弱性検証ツール」を開発しました。

 本ツールは、「SIPに係る既知の脆弱性に関する調査報告書(改訂第3版)」に記載している22項目の脆弱性のうち、11項目(当該脆弱性項目を検証するために必要な265シナリオ(*2))を体系的に検証できるツールです。

 図1に示すように、SIPを実装する製品開発者は、本ツールを使用することにより脆弱性の有無を確認することができます。また、その脆弱性の詳細に関しては、調査報告書を参照することで、脆弱性の内容と対策方法を理解することができます。

図1.検証ツールの利用イメージ
図1.検証ツールの利用イメージ

1.検証ツールの貸出方法

1.1 貸出対象

 原則として、次の条件を満たすSIPを実装する製品開発者へ検証ツールを貸出します。

  • (1)SIPを実装する日本国内の製品開発ベンダーで、法人格を持つ事業体であること。
  • (2)不正使用禁止の「利用許諾条件合意書」に合意していただくこと。(※1)
  • (3)会社経歴書などの提出を求めた際、それに応じられること。

1.2 費用および期間

 費用は無償です。貸出期間は2年間(更新可能)です。

1.3 申込手順

 【本ツールの貸出しは終了しました。】

2.検証可能な脆弱性

(「SIPに係る既知の脆弱性に関する調査報告書」記載の脆弱性22項目との対比)

<SIP/SDP(*3)に係る脆弱性>

項目1. SIPリクエストの偽装から起こる問題
項目2.   SIPレスポンスの偽装から起こる問題
項目3. SIP認証パスワードの解読
項目4.   SIPメッセージボディの改ざんから起こる問題
項目5.   保護されていないトランスポートプロトコルを選択させられる問題
項目6. DoS攻撃によるSIPのサービス妨害
項目7.   その他SIP拡張リクエストの脆弱性

<RTP(*4)/RTCP(*5)に係る脆弱性>

項目8.   RTPメディアの盗聴から起こる問題
項目9. RTPメディアの偽装から起こる問題
項目10. RTCPの偽装から起こる問題

<コーデックに係る脆弱性>

項目11.   コーデックの脆弱性

<実装不良に係る脆弱性>

項目12. 不具合を起こしやすいパケットに対応できない問題
項目13. Call-IDを予測しやすい実装の問題
項目14. 認証機能の不十分な実装の問題
項目15. 送信元IPアドレスを確認しない実装の問題
項目16. 不適切なIPアドレスを含むSIPメッセージに関する問題
項目17.   デバッガ機能へ接続可能な実装の問題

<管理機能に係る脆弱性>

項目18.   管理機能に関する問題

<ID、構成情報に係る脆弱性>

項目19. 登録IDと構成情報の収集に関する問題

<SIP/RTPの暗号化に係る脆弱性>

項目20.   SIPにおけるTLS(*6)の不適切な利用から起こる問題
項目21.   SRTP(*7)の暗号に用いる共通鍵が盗聴される問題
項目22.   暗号化されたSRTPが共通鍵なしで解読される問題

<調査報告記載外>

- 保有機能確認
(注) :検証が可能な項目

脚注

(*1)Session Initiation Protocol。セッション開始プロトコル。IP電話、テレビ電話、インスタントメッセージなどで使用されているプロトコル。

(*2)脆弱性検証において検証対象となる機器の役割(加入者端末、SIPサーバ等)、IPv4/IPv6の区別、および調査報告書における脆弱性項目内の小項目の組み合わせにより定義される検証パターン。

(*3)Session Description Protocol。セッション開始の初期化パラメータを記述するプロトコル。

(*4)Real-time Transport Protocol。音声や映像をストリーミング再生するための伝送プロトコル。

(*5)RTP Control Protocol。RTPを利用する際にデータの送受信制御および送信者と受信者の情報を記述するプロトコル。

(*6)Transport Layer Security。TCPまたはUDP上の通信を暗号化するプロトコル。

(*7)Secure Real-time Transport Protocol。音声や動画などのリアルタイム通信で用いられるRTPを暗号化する技術。

開発実施者

謝辞

この開発には次の方々にもご協力いただきました。

  • エヌ・ティ・ティ・アドバンステクノロジ株式会社(NTT AT)
  • 沖電気工業株式会社
  • 沖電気ネットワークインテグレーション株式会社
  • 株式会社OKIネットワークス
  • 一般社団法人JPCERTコーディネーションセンター
  • 日本電気株式会社
  • 日本電信電話株式会社 情報流通プラットフォーム研究所
  • 株式会社 日立製作所
  • 株式会社日立コミュニケーションテクノロジー
  • 富士通株式会社
  • 株式会社富士通研究所
  • 株式会社ネクストジェン
  • 株式会社ユビテック
  • 株式会社ソフトフロント

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター(IPA/ISEC) 金野/谷口
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:電話番号:03-5978-7527までお問い合わせください。

更新履歴

2014年4月9日 ツールの貸出しを終了しました。
2010年11月30日 V2.0の貸出しを開始しました。
2009年6月8日 貸出期間を2年間(更新可能)に延長しました
2009年4月23日 掲載