« 良心に反しても指示に従う | トップページ | 「大江戸セキュリティ戯画(ギガ)」公開 »

2009年4月24日 (金)

SIPの脆弱性に関する検証ツール、公開

IPAセキュリティセンターのHPで「SIPの脆弱性に関する検証ツール」と「SIPに係る既知の脆弱性に関する調査報告書 改訂第2版」が公開されています。

※ SIP(Session Initiation Protocol):セッション開始プロトコル。IP電話、テレビ電話、インスタントメッセージなどで使用されているプロトコル。

「SIPの脆弱性に関する検証ツールを公開」
SIPに係る既知の脆弱性検証ツール V1.0

「SIPに係る既知の脆弱性に関する調査報告書 改訂第2版」

・目次
1. はじめに
2. SIP仕様解説
3. SIP関連システムの利用形態
4. 本報告書記載における前提等
5. 脆弱性項目解説

<SIP/SDPに係る脆弱性>
項目1. SIPリクエストの偽装から起こる問題
項目2. SIPレスポンスの偽装から起こる問題
項目3. SIP認証パスワードの解読
項目4. SIPメッセージボディの改ざんから起こる問題
項目5. 保護されていないトランスポートプロトコルを選択させられる問題
項目6. DoS攻撃によるSIPのサービス妨害
項目7. その他SIP拡張リクエストの脆弱性

<RTP/RTCPに係る脆弱性>
項目8. RTPメディアの盗聴から起こる問題
項目9. RTPメディアの偽装から起こる問題
項目10. RTCPの偽装から起こる問題

<コーデックに係る脆弱性>
項目11. コーデックの脆弱性

<実装不良に係る脆弱性>
項目12. 不具合を起こしやすいパケットに対応できない問題
項目13. Call-IDを予測しやすい実装の問題
項目14. 認証機能の不十分な実装の問題
項目15. 送信元IPアドレスを確認しない実装の問題
項目16. 不適切なIPアドレスを含むSIPメッセージに関する問題
項目17. デバッガ機能へ接続可能な実装の問題

<管理機能に係る脆弱性>
項目18. 管理機能に関する問題

<ID、構成情報に係る脆弱性>
項目19. 登録IDと構成情報の収集に関する問題

<SIP/RTPの暗号化に係る脆弱性>
項目20. SIPにおけるTLSの不適切な利用から起こる問題
項目21. SRTPの暗号に用いる共通鍵が盗聴される問題
項目22. 暗号化されたSRTPが共通鍵なしで解読される問題

※ 報告書は、こちら

今回のツールで検証可能なのは、上記の1、12、14、15、16、19の各項目のようです。
使ってみたいのですが、私に当面その機会がなさそうなので・・・
使ってみた方は感想・意見などをいただければ、とてもうれしいです。

|

« 良心に反しても指示に従う | トップページ | 「大江戸セキュリティ戯画(ギガ)」公開 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/29257314

この記事へのトラックバック一覧です: SIPの脆弱性に関する検証ツール、公開:

« 良心に反しても指示に従う | トップページ | 「大江戸セキュリティ戯画(ギガ)」公開 »