HOME情報セキュリティ情報セキュリティ対策脆弱性対策SIPに係る既知の脆弱性に関する調査報告書

本文を印刷する

情報セキュリティ

SIPに係る既知の脆弱性に関する調査報告書

※本資料は改訂版を公開しております。 こちらからご参照ください。

最終更新日 2007年12月5日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、コンピュータをはじめとしたインターネットに接続する電子機器の情報セキュリティ対策を推進するため、IP電話などの通信プロトコルである「SIP( SIP : Session Initiation Protocol )」に関する脆弱性について調査を行い、報告書を2007年12月5日(水)より、IPAのウェブサイトで公開しました。

概要

 SIPは、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっています。

 SIPを実装したソフトウェアは、これまで多くの脆弱性が発見、公表され、機器ごとに対策が実装されてきました。しかし、こうした脆弱性の詳細な情報をとりまとめた資料がなかったことから、新たに開発されるソフトウェアで既に公表されている脆弱性の対策が実装されておらず、脆弱性が「再発」するケースが見受けられます。

 このような課題に対応するため、IPAでは、SIPに関する既知の脆弱性を取り上げ、SIP実装時の情報セキュリティ対策の向上を目指して調査を実施しました。

 本報告書は、一般に公表されているSIPに関する既知の脆弱性情報を収集分析し、詳細な解説書としてまとめました。具体的には、次のような脆弱性の詳細と、開発者向けの実装ガイド、ソフトウェアや機器を利用する運用者や利用者向けの運用ガイドを記載しています。

(1)「SIP(Session Initiation Protocol)/SDP(Session Description Protocol)に係る脆弱性」

 通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの。

(2)「RTP(Real-time Transport Protocol)/RTCP(RTP Control Protocol)に係る脆弱性」

 音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの。

(3)「コーデックに係る脆弱性」

 音声、ビデオなどの符号化方式そのものに関するもの。

(4)「ソフトウェアの実装に係る脆弱性」

 不正な形式のメッセージに配慮が足りない、識別子が予測されやすいなど、ソフトウェアの実装に関するもの。

(5)「管理機能に係る脆弱性」

 機器の設定方法、ソフトウェアの更新方法、説明書の記載に配慮が足りないなど、機器の管理に関するもの。

(6)「ID、構成情報に係る脆弱性」

 機器の識別情報の一覧が取り出されたり、製品内部の構成情報が漏洩するなど、機器の構成情報に関するもの。

 本書(全132ページ)は、次のURLよりダウンロードの上、ご参照ください。
http://www.ipa.go.jp/security/vuln/vuln_SIP.html

参考資料

目次

1. はじめに
2. SIP仕様解説
3. SIP関連システムの利用形態
4. 本報告書記載における前提等
5. 脆弱性項目解説
 
<SIP/SDPに係る脆弱性>
項目1. SIPリクエストの偽装から起こる問題
項目2. SIPレスポンスの偽装から起こる問題
項目3. SIP認証パスワードの解読
項目4. SIPメッセージボディの改ざんから起こる問題
項目5. 保護されていないトランスポートプロトコルを選択させられる問題
項目6. DoS攻撃によるSIPのサービス妨害
項目7. その他SIP拡張リクエストの脆弱性
 
<RTP/RTCPに係る脆弱性>
項目8. RTPメディアの盗聴から起こる問題
項目9. RTPメディアの偽装から起こる問題
項目10. RTCPの偽装から起こる問題
 
<コーデックに係る脆弱性>
項目11. コーデックの脆弱性
 
<実装不良に係る脆弱性>
項目12. 不具合を起こしやすいパケットに対応できない問題
項目13. Call-IDを予測しやすい実装の問題
項目14. 認証機能の不十分な実装の問題
項目15. 送信元IPアドレスを確認しない実装の問題
項目16. 不適切なIPアドレスを含むSIPメッセージに関する問題
項目17. デバッガ機能へ接続可能な実装の問題
 
<管理機能に係る脆弱性>
項目18. 管理機能に関する問題
 
<ID、構成情報に係る脆弱性>
項目19. 登録IDと構成情報の収集に関する問題
 
用語集

調査実施者

  • 株式会社ユビテック
  • 株式会社ソフトフロント

謝辞

この調査には次の方々にもご協力いただきました。

  • エヌ・ティ・ティ・アドバンステクノロジ株式会社(NTT AT)
  • 沖電気工業株式会社
  • 日本電気株式会社
  • 日本電信電話株式会社 情報流通プラットフォーム研究所
  • 株式会社 日立製作所
  • 富士通株式会社

本件に関するお問い合わせ先

独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺

TEL:03-5978-7527 FAX:03-5978-7518
E-mail:電話番号:03-5978-7501までお問い合わせください。

報道関係からのお問い合わせ先

独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/佐々木

Tel: 03-5978-7503 Fax:03-5978-7510
E-mail:電話番号:03-5978-7501までお問い合わせください。

更新履歴

2007年12月5日 掲載