メルマガ購読
IPA(情報処理推進機構)は23日、標準的な通信開始手順である「SIP」(Session Initiation Protocol)に関して、「SIPに係る既知の脆弱性検証ツール」を開発したことを発表した。SIP実装製品の開発者向けに、CD- ROMで貸し出す。
SIPは、マルチメディアデータを端末間でリアルタイムに双方向通信するための通信開始プロトコルとして、コンピュータをはじめ、情報家電や携帯端末などの組込み機器へも使用が広まっている。SIPを実装したソフトウェアには、これまで多くの脆弱性が発見・公表され、機器ごとに対策が施されてきたが、こうした脆弱性を体系的に検証するツールが整備されていなかったことから、あらたに開発されるソフトウェアで、すでに公表されている脆弱性の対策が実装されず、脆弱性が「再発」するケースが発生していた。
IPAでは、その対策として、ユビテック、ソフトフロント、ネクストジェンの3社と協力のもと、既知の脆弱性“再発”防止のために「SIPに係る既知の脆弱性検証ツール」を開発したという。このツールは、あわせて改訂された「SIPに係る既知の脆弱性に関する調査報告書(改訂第2版)」に記載された22項目の脆弱性のうち、6項目の脆弱性(当該脆弱性項目を検証するために必要な約100シナリオのうち30シナリオ)を体系的に検証できるツールとなる。検証ツールの実行画面では、検証する機器のIPアドレスや調査したい脆弱性などが簡易に設定でき、検証ツールの実行結果レポートには、検証対象との通信の流れに加え、脆弱性を検出した部分が二重線で明示されるので、脆弱性の有無や脆弱性のある場所が簡易に判定できる。また、その脆弱性の詳細に関しては、調査報告書を参照することで、脆弱性の内容と対策方法を理解できる。
なお調査報告書 改訂第2版では、SIP/RTPの暗号化に関してカテゴリがあらたに追加され、TLSの不適切な利用や、SRTPで用いる共通鍵を交換する場合の問題などが記述された。また、近年報告されているSIP/RTP管理用のWebインターフェイスのSQLインジェクション脆弱性やクロスサイト・スクリプティング脆弱性に関しても追記された。
IPA、双方向通信の開始手順「SIP」の脆弱性に関する検証ツールを開発
2009年4月23日(木) 18時19分
検証ツールの利用イメージ
検証ツールの実行画面例
検証ツールの実行結果レポート例
《冨岡晶》
注目ニュース
ブロードバンドセキュリティは23日、企業のインターネットシステムにおける継続的なセキュリティ確保に向けた「脆弱性診断保守サービス」をあらたに開始した。
シマンテックは10日、W32.Downadupワームの新種である「W32.Downadup.E」を発見したことを発表した。
BBSecは9日、脆弱性を毎日自動診断する「CrackerGuard(クラッカーガード)」を利用した無料スキャニングサービスを開始した。
NTT-MEは16日、従来より提供していた企業向けセキュリティサービス6種のブランド名を「ちぇっくME」に統一した。
IPAは11日、アドビ社の「Adobe Reader」および「Acrobat」に、PDFファイルを閲覧することでコード(命令)が実行される脆弱性(APSA09-01)が存在するとして注意喚起を行った...
日本IBMは11日、複数のWebアプリケーションの脆弱性について検査を実行・管理する新製品「IBM Rational AppScan Enterprise Edition V5.5」、Webサイトに...
チェック・ポイント・ソフトウェア・テクノロジーズは10日、セキュリティ・ゲートウェイの最新バージョンとなる「Check Point R70」を発表した。近日出荷が開始される予定。
京セラコミュニケーションシステムは26日、インターネットに公開されているWebサイトに対し、主要な脆弱性を検査する診断サービス「Web健康診断」の提供を開始した。
独立行政法人 情報処理推進機構(IPA)は23日、ソニー製ネットワークカメラSNCシリーズにおけるセキュリティ上の弱点(脆弱性)に関する注意喚起を公表した。
日本ユニシスは23日、情報セキュリティ事件・事故を未然に防ぐことを目的とした「情報セキュリティ実装・運用評価サービス」の提供を開始した。
リムアーツは11日、同社のWindows用メールソフト「Becky! Internet Mail」について脆弱性があることを発表した。
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は3日、1月のコンピュータウイルス・不正アクセスの届出状況について発表した。
フォーティネットは6日、データベースセキュリティ製品「FortiDB」ファミリーに、エントリーレベル新モデル「FortiDB-400B」およびハイエンドレベル新モデル「FortiDB-2000B」を...
Panda Securityは同社のメールクリーニングマネージドサービスであるTrustLayer Mail(日本未発売)で、2008年に4億3000万通のemailメッセージを分析、収集した結果を...
日本ヒューレット・パッカードは28日、Webシングルサインオン製品の最新版「HP IceWall SSO 8.0 R3」を発表した。2月上旬から出荷を開始する。
IPA(情報処理推進機構)およびJPCERT/CC(JPCERTコーディネーションセンター)は26日、2008年第4四半期(10月〜12月)の脆弱性関連情報の届出状況を発表した。
フォーティネットジャパンは19日、2008年12月度(2008年11月21日〜12月20日)のウイルス対処状況レポートを発表した。
ブロードバンドセキュリティは19日、インターネットに接続しているネットワーク機器およびそのシステム、各種サーバ、Webアプリケーションの脆弱性を毎日リモートで診断するサービス「Cracker Gua...
アイアクトは15日、Webサイト管理者を対象とした脆弱性に関する情報提供サイト「脆弱性診断.jp」を開設した。
IPA(独立行政法人 情報処理推進機構)は14日、「DNSキャッシュポイズニング対策」の資料を公開した。
マイクロソフトは14日、2009年1月のセキュリティ情報を公開した。深刻度が「緊急」のセキュリティ更新プログラムが1件となっている。
F-Secure(エフセキュア)はフィンランド現地時間7日、「Downadup」と呼ばれる新しいワームについての警告を発表した。
フォーティネットジャパンは6日、企業がネットワークを守るのを助けるためとして「2009年のセキュリティと脅威の動向予測」と題するレポートを公表した。それによれば、2009年も経済にとって多くの事件が...
IPA(独立行政法人情報処理推進機構、理事長:西垣浩司)は19日、DNSサーバの脆弱性に関して改めて注意を喚起するとともに、DNSサーバのパッチ適用や設定変更の実施を呼びかけた。
チェック・ポイント・ソフトウェア・テクノロジーズは19日、ブラウザ・セキュリティ製品「ZoneAlarm ForceField」においては、先日発見されたInternet Explorer 7の脆弱...
JPCERTコーディネーションセンターは17日、定期レポートを発表し、そのなかでMicrosoft Internet ExplorerのXML解析処理に脆弱性があることを指摘した。
CSK-ITマネジメントは11日、電子データや紙文書の登録・保管・活用に関わる各業務を機密性の高い環境でコンポーネント単位に提供する企業データ保管サービス「ほふみ」を開始した。
マイクロソフトは10日、12月のセキュリティ更新プログラムを公開した。詳細情報も同時に公開されており、セキュリティ情報 ID 番号(MSyy-xxx 形式)付きで確認可能となっている。
Internet Weekは、インターネットにかかわる人々が集まり、さまざまな課題や目の前の問題を議論し、理解と交流を深めるための非商用イベントである。今年のテーマは、「検索で明日は見つからない」。
特集
- ├NTT Com、企業向けコミュニケーションサービスで「UCaaSプラン」提供開始
- ├NEC、ユニファイド・コミュニケーション製品「UNIVERGE Business ConneCT」の国内販売を開始
- └アバイア、企業向けコラボソリューションの新製品群「Avaya Video Collaboration Solutions」世界同時発表
![[FREESPOT] 茨城県のRUSTICANA つくばなど7か所にアクセスポイントを追加](/imgs/pickup2/181526.jpg)
