ニュース
SIPに潜む脅威と対策――IPAが初の本格調査報告書を公開
IPAは、IP電話など幅広い情報機器で利用されているSIPやRTP、RTCPの脆弱性に関する初の本格調査を行い、報告書を公開した。
情報処理推進機構(IPA)は、IP電話などで利用されるSIP(Session Initiation Protocol)やRTP(Real-time Transport Protocol)・RTCP(RTP Control Protocol)の脆弱性について初の本格調査を行い、12月5日に報告書をWeb上で公開した。
近年はSIPを利用するソフトウェアの脆弱性が注目されつつあるが、脆弱性の内容や対策方法を取りまとめたデータがなく、再発するケースも見受けられるという。
IPAでは、SIPの既知の脆弱性をテーマに、想定される脅威とセキュリティ対策方法を調査し、報告書として取りまとめた。主な調査項目は以下の通り。
- 「SIP/SDP(Session Description Protocol)に係る脆弱性」、 通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの
- 「RTP/RTCPに係る脆弱性」、音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの
- 「コーデックに係る脆弱性」、音声、ビデオなどの符号化方式そのものに関するもの
- 「ソフトウェアの実装に係る脆弱性」、不正な形式のメッセージに配慮が足りない、識別子が予測されやすいなど、ソフトウェアの実装に関するもの
- 「管理機能に係る脆弱性」、機器の設定方法、ソフトウェアの更新方法、説明書の記載に配慮が足りないなど、機器の管理に関するもの
- 「ID、構成情報に係る脆弱性」、機器の識別情報の一覧が取り出されたり、製品内部の構成情報が漏えいするなど、機器の構成情報に関するもの
IPAでは、開発者が機器にSIPを実装する際や、SIP搭載機器の運用管理者、機器利用者向けにそれぞれの脆弱性と脅威、対策方法を報告書の中でまとめている。
関連記事
- VoIP、仮想化……McAfeeが予想する2008年の脅威トップ10
2008年はVoIPや仮想化、Web 2.0といった新技術の普及に伴ってそれに便乗した攻撃が増える見通しだ。 - CiscoのIOSとUnified Communications Managerに脆弱性
Ciscoが4件のアドバイザリーを公開。IOSとCisco Unified Communications Managerには、SIPなどの音声プロトコルに関連した脆弱性が存在する。 - DoS、盗聴、スパムにボット……PCと変わらぬVoIPの脅威
6月14日に行われたInterop Tokyo 2007のカンファレンス「VoIPセキュリティ」では、IP電話を取り巻くさまざまな脅威とそれらに対する対策が紹介された。 - ゼロデイ攻撃が急増、VoIPも標的に――SANSが脆弱性リストの2006年版公開
2006年は未パッチの脆弱性を突いたゼロデイ攻撃が急増し、VoIPシステムでもリモートからコードを実行できる脆弱性が多数発覚した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.