ニュース
» 2007年12月05日 12時50分 UPDATE

SIPに潜む脅威と対策――IPAが初の本格調査報告書を公開

IPAは、IP電話など幅広い情報機器で利用されているSIPやRTP、RTCPの脆弱性に関する初の本格調査を行い、報告書を公開した。

[ITmedia]

 情報処理推進機構(IPA)は、IP電話などで利用されるSIP(Session Initiation Protocol)やRTP(Real-time Transport Protocol)・RTCP(RTP Control Protocol)の脆弱性について初の本格調査を行い、12月5日に報告書をWeb上で公開した

 近年はSIPを利用するソフトウェアの脆弱性が注目されつつあるが、脆弱性の内容や対策方法を取りまとめたデータがなく、再発するケースも見受けられるという。

 IPAでは、SIPの既知の脆弱性をテーマに、想定される脅威とセキュリティ対策方法を調査し、報告書として取りまとめた。主な調査項目は以下の通り。

  1. 「SIP/SDP(Session Description Protocol)に係る脆弱性」、 通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの
  2. 「RTP/RTCPに係る脆弱性」、音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの
  3. 「コーデックに係る脆弱性」、音声、ビデオなどの符号化方式そのものに関するもの
  4. 「ソフトウェアの実装に係る脆弱性」、不正な形式のメッセージに配慮が足りない、識別子が予測されやすいなど、ソフトウェアの実装に関するもの
  5. 「管理機能に係る脆弱性」、機器の設定方法、ソフトウェアの更新方法、説明書の記載に配慮が足りないなど、機器の管理に関するもの
  6. 「ID、構成情報に係る脆弱性」、機器の識別情報の一覧が取り出されたり、製品内部の構成情報が漏えいするなど、機器の構成情報に関するもの

 IPAでは、開発者が機器にSIPを実装する際や、SIP搭載機器の運用管理者、機器利用者向けにそれぞれの脆弱性と脅威、対策方法を報告書の中でまとめている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ