プロトコルの実装をテストするために利用できるファジングツールを、有料・無料とりまぜて紹介する。
VoIPの脆弱性検証ツールを紹介する3回シリーズの第2回をお届けする。このシリーズで紹介するのは攻撃ツールだが、攻撃を試行することで脆弱性を検証するという使い方ができる。前回は、パケットストリームのスニッフィングと操作を行うツールに焦点を当てた。今回は、「ファジング」と呼ばれる攻撃技術を取り上げる。
ファジングは、不正な形式のパケットを使用するストレステストの一種だ。機能プロトコルテストや堅牢性テストと呼ばれることもある。ファジングは通常、脆弱性の発見を自動化するために使われる。特定のプロトコルをターゲットとするさまざまなパケットを作成することで、バグや脆弱性を発見する仕組みだ。ファジング攻撃は、プロトコルの設計仕様の限界を試すことになる。開発者やベンダーの社内QA(品質保証)部門が、プロトコルの実装をテストするためによく利用している。
ベンダーが作成するプロトコル実装がすべて同じだと考えるのは危険だ。プロトコルソフトウェアは、リリースやバージョンによって異なる可能性がある。書籍「Hacking Exposed VoIP」の第11章に、ファジングが詳細に解説されている。
また、フィンランドのオウル大学の電気工学部では、VoIPセキュリティの問題に取り組んでおり、良い情報源となるWebサイトを運営している。このWebサイトは、具体的なシグナリングプロトコル攻撃を扱っている。もう1つの情報源として、ヘンドリック・ショルツ氏の詳細なプレゼンテーション「SIP Stack Fingerprinting and Stack Difference Attacks」(PDF)がある。これは2006 Black Hatカンファレンスで発表されたものだ。この年次セキュリティカンファレンスでは、VoIPセキュリティに関するトラックが設けられている。
以下にファジングツールのリストを示す。だが、ファジングツールを含め、VoIPコンポーネントへの攻撃を試行して脆弱性を検証するツールは、当然のことながら、不適切に使用するとVoIPの運用に問題を生じさせ、損害を招く可能性が高い。以下のリンク先のほとんどには、ツールの適切な使い方を含む解説が掲載されている。だが、そうした解説に従ったとしても、損害を避けられるとは限らない。
Copyright © ITmedia, Inc. All Rights Reserved.
富士通が展開するDX推進プロジェクト「フジトラ」。12万余りのグループ従業員全体をカバーするのは容易ではないが、その一翼を担うのが「ワークマネジメントツール」だ。本ツールの導入経緯から効用、今後の展開などを紹介する。
名刺は日々のビジネスに欠かせないツールの1つだが、その発注に関する承認と管理は意外と手間のかかる作業であり、規模が大きくなるほど負担は増大する。そこで注目したいのが、柔軟なワークフローを構築できる名刺発注サービスだ。
外出時の電話対応では、取り次ぎや折り返しの手間に加え、周囲の雑音やノイズといった課題もつきものだ。これらを解決する手段として期待されるクラウドソリューションを取り上げ、実際の利用方法や活用効果を、動画を通じて紹介する。
あらゆる領域でデジタルシフトが進む今、ワークフローにおいてもシステム化が加速している。その手段として注目されるのが、ITの専門知識がなくてもシステム構築が可能なノーコードツールだ。そのメリットや選定のポイントを解説する。
Microsoft 365に搭載されている「SharePoint」は活用できているだろうか。製品名は知っていても、その機能やメリットが分かっていないという声もよく聞かれる。そこで実際の活用事例を基に、活用のポイントを紹介する。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
