※本資料は改訂版を公開しております。 こちらからご参照ください。
最終更新日 2008年2月6日
独立行政法人 情報処理推進機構
セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、インターネットに接続する電子機器の情報セキュリティ対策を推進するため、インターネットの標準的な通信手順であるTCP/IP( Transmission Control Protocol / Internet Protocol )を実装する製品の開発者向けに、TCP/IPに係る既知の脆弱性検証ツールを2008年2月6日(水)より公開しました。
概要
コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれています。 近年では、情報家電や携帯端末などの組込み機器にも使われるようになり、TCP/IPソフトウェアは広く利用されています。
TCP/IPを実装したソフトウェアは、これまで多くの脆弱性が発見、公表され、機器ごとに対策が施されてきました。しかし、こうした脆弱性を体系的に検証するツールが整備されてこなかったことから、新たに開発されるソフトウェアで、既に公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが見受けられます。
このような課題に対応するため、IPAでは、TCP/IP実装製品の開発者向けに「TCP/IPに係る既知の脆弱性検証ツール」を開発し、2008年2月6日(水)よりCD-ROMでの貸出を開始しました。
本ツールは、2008年1月8日に公開した「TCP/IPに係る既知の脆弱性に関する調査報告書(改訂第3版)」に記載している23項目の脆弱性のうち、18項目の脆弱性を体系的に検証できるツールです。
図1に示すように、TCP/IPを実装する製品開発者は、本ツールを使用することにより、検証対象機器の脆弱性検証を自動実行し、脆弱性の有無を簡易判定できます。また、脆弱性の判断のための確認ガイドを参照することにより、脆弱性の有無の正確な判断ができます。
本ツールは、次のURLの「1.検証ツールの貸出方法」を参照の上、ご使用ください。
http://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html
図1.検証ツールの利用イメージ
(参考)
検証可能な脆弱性
(「TCP/IPに係る既知の脆弱性に関する調査報告書」記載の脆弱性23項目との対比)
<TCP( Transmission Control Protocol )関連>
1. | 〇 | TCPの初期シーケンス番号予測の問題 |
---|---|---|
2. | TCP接続の強制切断の問題 | |
3. | ◎ | SYNパケットにサーバ資源が占有される問題(SYN Flood Attack) |
4. | 〇 | 特別なSYNパケットによりカーネルがハングアップする問題(LAND Attack) |
5. | ◎ | データを上書きするフラグメントパケットがフィルタリングをすり抜ける問題 (Overlapping Fragment Attack) |
6. | 〇 | 十分に小さい分割パケットがフィルタリングをすり抜ける問題 (Tiny Fragment Attack、Tiny Overlapping Fragment Attack) |
7. | PAWS機能の内部タイマを不正に更新することで、TCP通信が強制的に切断される問題 | |
8. | Optimistic TCP acknowledgementsにより、サービス不能状態に陥る問題 | |
9. | 〇 | Out of Band(OOB)パケットにより、サービス不能状態に陥る問題 |
<ICMP( Internet Control Message Protocol )関連>
10. | 〇 | パケット再構築時にバッファが溢れる問題 (Ping of death) |
---|---|---|
11. | 〇 | ICMP Path MTU Discovery機能を利用した通信遅延の問題 |
12. | 〇 | ICMPリダイレクトによるサービス応答遅延の問題 |
13. | 〇 | ICMPリダイレクトによる送信元詐称の問題 |
14. | 〇 | ICMP始点抑制メッセージによる通信遅延の問題 |
15. | 〇 | ICMPヘッダでカプセル化されたパケットがファイアウォールを通過する問題 (ICMPトンネリング) |
16. | 〇 | ICMPエラーによりTCP接続が切断される問題 |
17. | 〇 | ICMP Echoリクエストによる帯域枯渇の問題 (Ping flooding, Smurf Attack, Fraggle Attack) |
<IP( Internet Protocol )関連>
18. | 〇 | フラグメントパケットの再構築時にシステムがクラッシュする問題(Teardrop Attack) |
---|---|---|
19. | 〇 | パケット再構築によりメモリ資源が枯渇される問題(Rose Attack) |
20. | IP経路制御オプションが検査されていない問題 (IP Source Routing攻撃) |
<ARP( Address Resolution Protocol )関連>
21. | 〇 | ARPテーブルが汚染される問題 |
---|---|---|
22. | 〇 | ARPテーブルが不正なエントリで埋め尽くされる問題 |
<その他( TCP/IP全般 )>
23. | 通常でないパケットへの応答によってOSの種類が特定できる問題 (TCP/IP Stack Fingerprinting) |
---|
(注) | 〇 | :IPv4(Internet Protocol Version 4)環境で検証が可能な項目 |
◎ | :IPv4、IPv6環境での検証が可能な項目 |
開発実施者
株式会社ラック
謝辞
この開発には次の方々にもご協力いただきました。
- 株式会社インターネットイニシアティブ(IIJ)
- 有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)
- 日本電気株式会社
- パナソニックコミュニケーションズ株式会社
- 株式会社 日立製作所
- 富士通株式会社
- 松下電器産業株式会社
- ヤマハ株式会社
本件に関するお問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:
報道関係からのお問い合わせ先
独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山/佐々木
Tel: 03-5978-7503 Fax:03-5978-7510 E-mail:
更新履歴
2008年2月6日 | 掲載 |
---|