VoIPの脆弱性検証に使えるファジングツール10選機能プロトコルテストに利用

プロトコルの実装をテストするために利用できるファジングツールを、有料・無料とりまぜて紹介する。

2007年07月27日 05時00分 公開
[Gary Audin,TechTarget]

 VoIPの脆弱性検証ツールを紹介する3回シリーズの第2回をお届けする。このシリーズで紹介するのは攻撃ツールだが、攻撃を試行することで脆弱性を検証するという使い方ができる。前回は、パケットストリームのスニッフィングと操作を行うツールに焦点を当てた。今回は、「ファジング」と呼ばれる攻撃技術を取り上げる。

 ファジングは、不正な形式のパケットを使用するストレステストの一種だ。機能プロトコルテストや堅牢性テストと呼ばれることもある。ファジングは通常、脆弱性の発見を自動化するために使われる。特定のプロトコルをターゲットとするさまざまなパケットを作成することで、バグや脆弱性を発見する仕組みだ。ファジング攻撃は、プロトコルの設計仕様の限界を試すことになる。開発者やベンダーの社内QA(品質保証)部門が、プロトコルの実装をテストするためによく利用している。

 ベンダーが作成するプロトコル実装がすべて同じだと考えるのは危険だ。プロトコルソフトウェアは、リリースやバージョンによって異なる可能性がある。書籍「Hacking Exposed VoIP」の第11章に、ファジングが詳細に解説されている。

 また、フィンランドのオウル大学の電気工学部では、VoIPセキュリティの問題に取り組んでおり、良い情報源となるWebサイトを運営している。このWebサイトは、具体的なシグナリングプロトコル攻撃を扱っている。もう1つの情報源として、ヘンドリック・ショルツ氏の詳細なプレゼンテーション「SIP Stack Fingerprinting and Stack Difference Attacks」(PDF)がある。これは2006 Black Hatカンファレンスで発表されたものだ。この年次セキュリティカンファレンスでは、VoIPセキュリティに関するトラックが設けられている。

 以下にファジングツールのリストを示す。だが、ファジングツールを含め、VoIPコンポーネントへの攻撃を試行して脆弱性を検証するツールは、当然のことながら、不適切に使用するとVoIPの運用に問題を生じさせ、損害を招く可能性が高い。以下のリンク先のほとんどには、ツールの適切な使い方を含む解説が掲載されている。だが、そうした解説に従ったとしても、損害を避けられるとは限らない。

ITmedia マーケティング新着記事

news136.jpg

「Vポイント」「Ponta」と連携したCTV向けターゲティング広告配信と購買分析 マイクロアドが提供開始
マイクロアドは、VポイントおよびびPontaと連携したCTV向けのターゲティング広告配信を開...

news105.jpg

Netflixの広告付きプランが会員数34%増 成長ドライバーになるための次のステップは?
Netflixはストリーミング戦略を進化させる一方、2022年に広告付きプランを立ち上げた広告...

news094.png

夏休み予算は平均5万8561円 前年比微減の理由は?――インテージ調査
春闘での賃上げや定額減税実施にもかかわらず、2024年の夏休みは円安や物価高の影響で消...