SIPに潜む脅威と対策――IPAが初の本格調査報告書を公開

IPAは、IP電話など幅広い情報機器で利用されているSIPやRTP、RTCPの脆弱性に関する初の本格調査を行い、報告書を公開した。

[ITmedia]

　情報処理推進機構（IPA）は、IP電話などで利用されるSIP（Session Initiation Protocol）やRTP（Real-time Transport Protocol）・RTCP（RTP Control Protocol）の脆弱性について初の本格調査を行い、12月5日に報告書をWeb上で公開した。

　近年はSIPを利用するソフトウェアの脆弱性が注目されつつあるが、脆弱性の内容や対策方法を取りまとめたデータがなく、再発するケースも見受けられるという。

　IPAでは、SIPの既知の脆弱性をテーマに、想定される脅威とセキュリティ対策方法を調査し、報告書として取りまとめた。主な調査項目は以下の通り。

1. 「SIP/SDP(Session Description Protocol)に係る脆弱性」、　通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの
2. 「RTP/RTCPに係る脆弱性」、音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの
3. 「コーデックに係る脆弱性」、音声、ビデオなどの符号化方式そのものに関するもの
4. 「ソフトウェアの実装に係る脆弱性」、不正な形式のメッセージに配慮が足りない、識別子が予測されやすいなど、ソフトウェアの実装に関するもの
5. 「管理機能に係る脆弱性」、機器の設定方法、ソフトウェアの更新方法、説明書の記載に配慮が足りないなど、機器の管理に関するもの
6. 「ID、構成情報に係る脆弱性」、機器の識別情報の一覧が取り出されたり、製品内部の構成情報が漏えいするなど、機器の構成情報に関するもの

　IPAでは、開発者が機器にSIPを実装する際や、SIP搭載機器の運用管理者、機器利用者向けにそれぞれの脆弱性と脅威、対策方法を報告書の中でまとめている。