情報処理推進機構：情報セキュリティ：SQLインジェクション検出ツール「iLogScanner」を機能強化

HOME >> 情報セキュリティ >> 脆弱性対策 >> SQLインジェクション検出ツール「iLogScanner」を機能強化

情報セキュリティ

SQLインジェクション検出ツール「iLogScanner」を機能強化

※本資料は新バージョンを公開しております。こちらからご参照ください。

～対策促進を目的に検出可能な攻撃パターン強化などを実施～

最終更新日 2008年11月11日

独立行政法人情報処理推進機構
セキュリティセンター

　独立行政法人情報処理推進機構（略称：IPA、理事長：西垣浩司）は、ウェブサイトのSQLインジェクション検出ツール「iLogScanner」（アイ・ログ・スキャナ）を、検出可能な攻撃パターンの強化、検出対象のアクセスログフォーマットの追加、動作プラットフォームの拡大など、バージョンアップしました。
(URL: http://www.ipa.go.jp/security/vuln/iLogScanner/ )

　近年、ウェブサイトを狙ったSQLインジェクション^(*1)攻撃が急増し、ウェブサイトの情報の改ざんや、非公開情報が公開されるなど深刻な被害が発生していることから、IPAは、SQLインジェクションの検出を簡易に行うツール「iLogScanner」を開発、2008年4月18日に公開しました。

　「iLogScanner」は、ウェブサイトのウェブサーバのアクセスログを解析して脆弱性を狙った攻撃の検出を簡易に行うツールです。

　また、5月15日には、同攻撃の継続状況を受け、「iLogScanner」を利用したウェブサイトのアクセスログ調査および脆弱性検査を推奨する旨の注意喚起を公表しました。

　しかし、その後もSQLインジェクション攻撃による深刻な被害が発生していることから、その対策を促進することを目的に、「iLogScanner」で検出可能な攻撃パターンの強化、検出対象のアクセスログフォーマットの拡大、動作プラットフォームの拡大など、「iLogScanner」のバージョンアップを実施しました。

1.検出可能な攻撃パターンの強化

「SQLインジェクション」攻撃として検出可能な攻撃パターンを、従来の1.5倍に強化。
脆弱性を狙った攻撃として検出可能なパターンに、「OSコマンド・インジェクション^(*2)」、「ディレクトリ・トラバーサル^(*3)」、「クロスサイト・スクリプティング^(*4)」、「その他（IDS回避を目的とした攻撃）^(*5)」の4種類を追加。

2.検出対象のアクセスログフォーマットの拡大

検出対象のアクセスログとして、Apache HTTP Server(1.3系、2.0系、2.2系)のCommon Log Format、Microsoft インターネットインフォメーションサービス(IIS) 6.0/5.0に加えて、IIS 7.0/5.1のW3C拡張ログファイル形式を追加。

3.動作プラットフォームの拡大

「iLogScanner」の動作OSとして、Microsoft Windows XP/2000に加えて、Microsoft Windows Vista^(*6)、Linux系OS(CentOS 5)を追加。
「iLogScanner」の動作ウェブブラウザとして、Internet Explorer 7/6に加えて、FireFox2を追加。

　なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。

　iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。

　IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。

　また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介され、それぞれの顧客システムのセキュリティ向上の契機となることを期待します。

脆弱性検出ツールiLogScannerの概要

　iLogScannerは、ツール利用者がウェブブラウザを利用してIPAのウェブサイト（iLogScanner提供サイト）からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムです（図1）。

　利用者が用意したウェブサーバのアクセスログファイルの中から、ウェブサイトの脆弱性を狙った攻撃によく用いられる文字列を検出し（図2）、ウェブサイトへ攻撃のあったと思われる痕跡や、攻撃が成功した可能性のある痕跡の有無を解析結果レポートとして出力します（図3）。

　なお、現在、利用者の脆弱性検出状況をIPAが収集することは行っていませんが、今後、脆弱性対策に活用するために、検出状況を収集するなどの機能拡張を予定しています。

利用イメージ

図1．「iLogScanner」の利用イメージ

ツールの画面例

図2．「iLogScanner」の使用例

ツールの解析結果例

図3．「iLogScanner」の解析結果例

『脚注』

(*1)SQLインジェクションとは、データベースと連携したウェブアプリケーションに問合せ命令文の組み立て方法に問題があるとき、ウェブアプリケーションへ宛てた要求に悪意を持って細工されたSQL文を埋め込まれて（Injection）しまうと、データベースを不正に操作されてしまう問題です。これにより、データベースが不正に操作され、ウェブサイトは重要情報などが盗まれたり、情報が書き換えられたりといった被害を受けてしまう場合があります。
詳細は「知っていますか？脆弱性 (ぜいじゃくせい) 」を参照下さい。
http://www.ipa.go.jp/security/vuln/vuln_contents/sql.html

(*2)OSコマンド・インジェクションとは、ウェブサーバ上の任意のOSコマンドが実行されてしまう問題です。これにより、ウェブサーバを不正に操作され、重要情報などが盗まれたり、攻撃の踏み台に悪用される場合があります。
詳細は「知っていますか？脆弱性 (ぜいじゃくせい) 」を参照下さい。
http://www.ipa.go.jp/security/vuln/vuln_contents/oscmd.html

(*3)ディレクトリ・トラバーサルとは、相対パス記法を利用して、管理者が意図していないウェブサーバ上のファイルやディレクトリにアクセスされたり、アプリケーションを実行される問題です。これらにより、本来公開を意図しないファイルが読み出され、重要情報が盗まれたり、不正にアプリケーションを実行されファイルが破壊されるなどの危険があります。
詳細は「知っていますか？脆弱性 (ぜいじゃくせい) 」を参照下さい。
http://www.ipa.go.jp/security/vuln/vuln_contents/dt.html

(*4)クロスサイト・スクリプティングとは、ウェブサイトの訪問者の入力をそのまま画面に表示する掲示板などが、悪意あるスクリプト（命令）を訪問者のブラウザに送ってしまう問題です。これにより、アンケート、掲示板、サイト内検索など、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、適切なセキュリティ対策がされていない場合、悪意を持ったスクリプト（命令）を埋め込まれてしまい、ウェブページを表示した訪問者のプラウザ環境でスクリプトが実行されてしまう可能性があります。その結果として、cookieなどの情報の漏洩や意図しないページの参照が行われてしまいます。
詳細は「知っていますか？脆弱性 (ぜいじゃくせい) 」を参照下さい。
http://www.ipa.go.jp/security/vuln/vuln_contents/xss.html

(*5)その他（IDS回避を目的とした攻撃）とは、１６進コード、親パス等の特殊文字を使用して偽装した攻撃用文字列で攻撃が行われることによりアプリケーションの妥当性チェック機構を迂回し、SQLインジェクション、クロスサイトスクリプティング等の攻撃を行うことを狙ったものです。 IDS（Intrusion Detection System、侵入検知システム）

(*6)Windows VistaでiLogScannerを動作させる場合、ウェブブラウザとしてFireFox2を使用する必要があります。Windows Vistaで、iLogScannerとInternet Explorer 7の組み合わせは動作しません。