IPA、SIPの脆弱性検証ツールを無償公開

利用イメージ

検証ツールの実行画面例

検証ツールの実行結果レポート例

　独立行政法人情報処理推進機構（IPA）は4月23日、SIP脆弱性に関する検証ツールを公開すると発表した。同日より、SIP実装製品の開発者向けにCD-ROMでの無償貸し出しを開始するほか、「SIPに係る既知の脆弱性に関する調査報告書（以下、SIP報告書）」の改訂第2版をWebサイトで公開する。

　SIPは、マルチメディアデータを端末間でリアルタイムに双方向通信するためのプロトコル。情報家電や携帯端末などの組み込み機器にも利用が広がっている一方、SIPを実装したソフトにはこれまで多くの脆弱性が発見され、機器ごとに対策が施されてきた。しかし、脆弱性を体系的に検証するツールが整備されていなかったことから、すでに公表されている脆弱性の対策が実装されず、脆弱性が再発するケースがあったという。

　今回公開したツールは、SIP報告書の改訂第2版に記載された脆弱性22項目のうち、6項目を体系的に検証できる。具体的には「SIPリクエストの偽装から起こる問題」「不具合を起こしやすいパケットに対応できない問題」「認証機能の不十分な実装の問題」「送信元IPアドレスを確認しない実装の問題」「不適切なIPアドレスを含むSIPメッセージに関する問題」「登録IDと構成情報の収集に関する問題」の6項目に対応。

　ツールの実行画面では、検証する機器のIPアドレスや調査したい脆弱性などが設定可能。実行結果レポートには検証対象との通信の流れのほか、脆弱性を検出した部分が二重線で明示されるため、脆弱な個所の判定が容易に行える。さらにSIP報告書を参照することで、詳細な内容と対策方法が理解できるという。

　なお、SIP報告書改訂第2版では、新たに「SIP/RTPの暗号化に係る脆弱性」に関する項目を追加。TLS（Transport Layer Security）の不適切な利用や、SRTP（Secure Real-time Transport Protocol）で用いる共通鍵を交換する場合の問題などが盛り込まれた。また、SIP/RTP管理用WebインターフェイスのSQLインジェクション脆弱性や、クロスサイトスクリプティング脆弱性に関して追記するなど、第1版以降の状況を反映した。

　ツールの利用条件は、SIPを実装する日本国内のベンダーで法人格を持つ事業体。費用は無償で、貸出期間は1年間（更新可能）。所定のアドレスにメールすることで申し込みが行える。