HOME情報セキュリティ情報セキュリティ対策脆弱性対策TCP/IPに係る既知の脆弱性検証ツール
最終更新日 2017年11月15日
独立行政法人情報処理推進機構
セキュリティセンター
コンピュータをはじめとしたインターネットに接続する電子機器には、TCP/IPソフトウェアが組み込まれています。近年では、情報家電や携帯端末などの組込み機器にも使われるようになり、TCP/IPソフトウェアは広く利用されています。
IPAは、TCP/IP実装製品開発者向けに、TCP/IPを実装したソフトウェアの脆弱性を体系的に検証し、新たに開発されるソフトウェアでの既知の脆弱性“再発”防止のためのツール、「TCP/IPに係る既知の脆弱性検証ツール」を開発し、2008年2月6日より公開しています。
本ツールは、「TCP/IPに係る既知の脆弱性に関する調査報告書 改訂第5版」に記載している30項目の脆弱性のうち、IPv4(Internet Protocol Version 4)環境で19項目、IPv6環境で14項目の脆弱性を体系的に検証できるツールです。本ツールで検証可能な項目は、「2.検証可能な脆弱性」を参照下さい。
図1に示すように、TCP/IPを実装する製品開発者は、本ツールを使用することにより、検証対象機器の脆弱性検証を自動実行し、脆弱性の有無を簡易判定できます。また、脆弱性の判断のための確認ガイドを参照することにより、脆弱性の有無の正確な判断ができます。
図1.検証ツールの利用イメージ
原則として、次の条件を満たすTCP/IPを実装する製品開発者へ検証ツールを貸出します。
費用は無償です。貸出期間は2年間(更新可能)です。
(「TCP/IPに係る既知の脆弱性に関する調査報告書」記載の脆弱性26項目との対比)
1. | ◎ | TCPの初期シーケンス番号予測の問題 |
---|---|---|
2. | TCP接続の強制切断の問題 | |
3. | ◎ | SYNパケットにサーバ資源が占有される問題(SYN Flood Attack) |
4. | ◎ | 特別なSYNパケットによりカーネルがハングアップする問題(LAND Attack) |
5. | ◎ | データを上書きするフラグメントパケットがフィルタリングをすり抜ける問題 (Overlapping Fragment Attack) |
6. | ◎ | 十分に小さい分割パケットがフィルタリングをすり抜ける問題 (Tiny Fragment Attack、Tiny Overlapping Fragment Attack) |
7. | PAWS機能の内部タイマを不正に更新することで、TCP通信が強制的に切断される問題 | |
8. | Optimistic TCP acknowledgementsにより、サービス不能状態に陥る問題 | |
9. | 〇 | Out of Band(OOB)パケットにより、サービス不能状態に陥る問題 |
10. | ウインドウサイズ0の TCP接続過多により、サービス不能状態に陥る問題 | |
11. | TCP接続状態を操作し維持させることにより、サービス不能状態に陥る問題 (Naptha Attack) |
12. | ◎ | パケット再構築時にバッファが溢れる問題 (Ping of death) |
---|---|---|
13. | ◎ | ICMP Path MTU Discovery機能を利用した通信遅延の問題 |
14. | ◎ | ICMPリダイレクトによるサービス応答遅延の問題 |
15. | ◎ | ICMPリダイレクトによる送信元詐称の問題 |
16. | 〇 | ICMP始点抑制メッセージによる通信遅延の問題 |
17. | ◎ | ICMPヘッダでカプセル化されたパケットがファイアウォールを通過する問題 (ICMPトンネリング) |
18. | ◎ | ICMPエラーによりTCP接続が切断される問題 |
19. | ◎ | ICMP Echoリクエストによる帯域枯渇の問題 (Ping flooding, Smurf Attack, Fraggle Attack) |
20. | ICMPタイムスタンプ要求/ネットマスク要求への応答による問題 | |
21. | IPv6実装におけるForwarding Information Baseの更新に関する問題 |
22. | ◎ | フラグメントパケットの再構築時にシステムがクラッシュする問題(Teardrop Attack) |
---|---|---|
23. | 〇 | パケット再構築によりメモリ資源が枯渇される問題(Rose Attack) |
24. | IP経路制御オプションが検査されていない問題 (IP Source Routing攻撃) | |
25. | 〇 | IPヘッダオプションのデータ長が0のパケットの問題 |
26. | IP経路制御機能(ソース・ルーティング機能)により、サービス不能状態に陥る問題 | |
27. | □ | IPv6IPCompパケットの処理によるサービス不能状態に陥る問題 |
28. | 〇 | ARPテーブルが汚染される問題 |
---|---|---|
29. | 〇 | ARPテーブルが不正なエントリで埋め尽くされる問題 |
30. | 通常でないパケットへの応答によってOSの種類が特定できる問題 (TCP/IP Stack Fingerprinting) |
---|
(注) | 〇 | :IPv4(Internet Protocol Version 4)環境で検証が可能な項目 |
□ | :IPv6(Internet Protocol Version 6)環境での検証が可能な項目 | |
◎ | :IPv4、IPv6環境での検証が可能な項目 |
この開発には次の方々にもご協力いただきました。
IPA セキュリティセンター(IPA/ISEC) 菅原/板橋
TEL:03-5978-7527 FAX:03-5978-7552 E-mail:
2017年11月15日 | お問い合わせ先の担当者とFAX番号の変更 |
---|---|
2014年4月9日 | ツールの貸出しを終了しました。 |
2010年11月25日 | V5.0の貸出しを開始しました。 |
2009年6月8日 | 貸出期間を2年間(更新可能)に延長しました |
2009年1月8日 | 検証ツールを機能強化 |
2008年2月6日 | 掲載 |