警察庁は1月14日,Voice over Internet Protocol(VoIP)関連製品などに使われるH.323プロトコルの実装にセキュリティ・ホールが見つかったことを警告した。米CERT/CCも米国時間1月13日,同様の警告(アドバイザリ)を公開した。このセキュリティ・ホールを悪用されると,任意のプログラムを実行させられたり,稼働中のサービスを停止させられたりする恐れがある。

 H.323は音声や動画像などの送受信に関するプロトコル。今回のセキュリティ・ホールは,H.323のメッセージ処理部分の実装に関するものである。このため,VoIP関連製品をはじめとする,H.323に対応したソフトウエアや機器が影響を受ける。H.323対応製品を使っている場合には,ベンダーのセキュリティ情報などを参照して,その製品が影響を受けるかどうかを調べる必要がある。影響を受ける場合には,パッチの適用やフィルタリングなどの回避策を実施する。

 警察庁では,Microsoft ISA Server 2000(およびISA Server 2000を含むSmall Business Server 2000/2003)とCisco IOS 11.3T以降のバージョンに,このセキュリティ・ホールが存在することを確認している。ISA Serverについては,マイクロソフトからセキュリティ情報とパッチが公開されている関連記事)。Cisco IOSについては,米Cisco Systemsからアドバイザリが公開されている

 これら以外のH.323対応製品については,警察庁では各ベンダーの情報を確認するよう勧めている。CERT/CCのアドバイザリには「Vendor Information」として,各ベンダーの対応状況に関するリストが記載されている。ただし現時点(1月14日11時)では,多くのベンダーは情報を公開していない(リストには「No statement is currently available from the vendor regarding this vulnerability.」と記載されている)。このリストは随時更新されるので,適宜参照したい。

 CERT/CCでは,回避策の一つとして,ファイアウオールやルーターでTCP/UDPポート1720番を遮断することを挙げている。LANとインターネットの境界でこれらのポートを遮断すれば,外部から攻撃を受けることはない。マイクロソフトも同様の回避策を公開している。ただし,これらのポートを遮断すると,現在利用しているサービスが利用できなくなる恐れがあるので十分注意する必要がある。

◎参考資料
H.323メッセージ処理に関する脆弱性について(警察庁)
CERT Advisory CA-2004-01 Multiple H.323 Message Vulnerabilities(米CERT/CC)
NISCC Vulnerability Advisory 006489/H323(英National Infrastructure Security Co-ordination Centre)
Microsoft Internet Security and Acceleration Server 2000 H.323フィルタの脆弱性により,リモートでコードが実行される (816458) (MS04-001) (マイクロソフト)
Cisco Security Advisory: Vulnerabilities in H.323 Message Processing(米Cisco Systems)

(勝村 幸博=IT Pro)