IPA、双方向通信の開始手順「SIP」の脆弱性に関する検証ツールを開発

エンタープライズその他

注目記事

2009.4.23（木）18:19

　IPA（情報処理推進機構）は23日、標準的な通信開始手順である「SIP」（Session Initiation Protocol）に関して、「SIPに係る既知の脆弱性検証ツール」を開発したことを発表した。SIP実装製品の開発者向けに、CD- ROMで貸し出す。

　SIPは、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっている。SIPを実装したソフトウェアには、これまで多くの脆弱性が発見・公表され、機器ごとに対策が施されてきたが、こうした脆弱性を体系的に検証するツールが整備されていなかったことから、あらたに開発されるソフトウェアで、すでに公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが発生していた。

　IPAでは、その対策として、ユビテック、ソフトフロント、ネクストジェンの3社と協力のもと、既知の脆弱性“再発”防止のために「SIPに係る既知の脆弱性検証ツール」を開発したという。このツールは、あわせて改訂された「SIPに係る既知の脆弱性に関する調査報告書（改訂第2版）」に記載された22項目の脆弱性のうち、6項目の脆弱性（当該脆弱性項目を検証するために必要な約100シナリオのうち30シナリオ）を体系的に検証できるツールとなる。検証ツールの実行画面では、検証する機器のIPアドレスや調査したい脆弱性などが簡易に設定でき、検証ツールの実行結果レポートには、検証対象との通信の流れに加え、脆弱性を検出した部分が二重線で明示されるので、脆弱性の有無や脆弱性のある場所が簡易に判定できる。また、その脆弱性の詳細に関しては、調査報告書を参照することで、脆弱性の内容と対策方法を理解できる。

　なお調査報告書改訂第2版では、SIP/RTPの暗号化に関してカテゴリがあらたに追加され、TLSの不適切な利用や、SRTPで用いる共通鍵を交換する場合の問題などが記述された。また、近年報告されているSIP/RTP管理用のWebインターフェイスのSQLインジェクション脆弱性やクロスサイト・スクリプティング脆弱性に関しても追記された。

《冨岡晶》