2010年11月30日(火)、独立行政法人 情報処理推進機構(IPA)から、「SIP(Session Initiation Protocol)に係る既知の脆弱性検証ツール」の機能拡張版であるバージョン2.0、また「SIPに係る既知の脆弱性に関する調査報告書」改訂第3版が公開されました。

SIPは、IP電話などに利用される音声・マルチメディアデータ通信の制御プロトコルです。
SIPを実装したソフトウェアの使用は、IP電話やパソコンだけでなく情報家電や携帯端末などの組込み機器にまで広まっています。今後もインターネットに接続する情報家電や携帯端末などの組込み機器の、セキュリティ品質向上に寄与することが期待されています。

本ツールは、SIPを対象とする脅威に対して、SIPを実装する製品の開発者向けに開発されています。
今回の機能拡張では、以下の脆弱性についての検証項目を拡充しました。

• SIP認証パスワードの解読
• DoS攻撃によるSIPのサービス妨害
• RTPメディアの偽装から起こる問題
• RTCPの偽装から起こる問題
• Call-IDを予測しやすい問題

本ツールの開発には、情報セキュリティのトップ企業 ラックと、SIPセキュリティの分野における先駆的取り組みを続けるネクストジェンが共同で携わっています。ラック、ネクストジェンはSIP実装時の情報セキュリティ対策のさらなる向上を願っております。

詳細につきましては、下記をご参照ください。

• 情報処理推進機構(IPA)
  http://www.ipa.go.jp/
• 情報処理推進機構(IPA) 「プレス発表 SIPの脆弱性に関する検証ツールの機能を強化」
  http://www.ipa.go.jp/about/press/20101130.html
• 株式会社ラック
  http://www.lac.co.jp/