« 架空請求に、4%が支払い | トップページ | (ISC)2メンバーズコミュニティ、12/25開設 »

2007年12月 8日 (土)

「SIPに係る既知の脆弱性に関する調査報告書」、公開

IPAから、12/5付けで公開されています。

さまざまな通信が、IPベースに移行しつつあります。
今後の情報セキュリティでは、このSIPやVoIPにおけるセキュリティはますます重要になってきますね。

「SIPに係る既知の脆弱性に関する調査報告書」の発行について
 ~コンピュータをはじめ、情報家電などの組込み機器のセキュリティ品質向上のために~

●概要
 SIPは、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの
組み込み機器へも使用が広まっています。
 SIPを実装したソフトウェアは、これまで多くの脆弱性が発見、公表され、機器ごとに対策が実装されてきました。しかし、こうした脆弱性の詳細な情報を
とりまとめた資料がなかったことから、新たに開発されるソフトウェアで既に公表されている脆弱性の対策が実装されておらず、脆弱性が「再発」するケースが見受けられます。
 このような課題に対応するため、IPAでは、SIPに関する既知の脆弱性を取り上げ、SIP実装時の情報セキュリティ対策の向上を目指して調査を実施しました

 本報告書は、一般に公表されているSIPに関する既知の脆弱性情報を収集分析し、詳細な解説書としてまとめました。具体的には、次のような脆弱性の詳細
と、開発者向けの実装ガイド、ソフトウェアや機器を利用する運用者や利用者向けの運用ガイドを記載しています。

(1)「SIP(Session Initiation Protocol)/SDP(Session Description Protocol)に係る脆弱性」
 通信メッセージの漏えい、なりすまし、改ざん、パスワード解析など、SIPのプロトコルそのものに関するもの。
(2)「RTP(Real-time Transport Protocol)/RTCP(RTP Control Protocol)に係る脆弱性」
 音声、画像などマルチメディアデータの盗聴、なりすましなど、RTPのプロトコルそのものに関するもの。
(3)「コーデックに係る脆弱性」
 音声、ビデオなどの符号化方式そのものに関するもの。
(4)「ソフトウェアの実装に係る脆弱性」
 不正な形式のメッセージに配慮が足りない、識別子が予測されやすいなど、ソフトウェアの実装に関するもの。
(5)「管理機能に係る脆弱性」
 機器の設定方法、ソフトウェアの更新方法、説明書の記載に配慮が足りないなど、機器の管理に関するもの。
(6)「ID、構成情報に係る脆弱性」
 機器の識別情報の一覧が取り出されたり、製品内部の構成情報が漏洩するなど、機器の構成情報に関するもの。

|

« 架空請求に、4%が支払い | トップページ | (ISC)2メンバーズコミュニティ、12/25開設 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/9291177

この記事へのトラックバック一覧です: 「SIPに係る既知の脆弱性に関する調査報告書」、公開:

« 架空請求に、4%が支払い | トップページ | (ISC)2メンバーズコミュニティ、12/25開設 »