HOME情報セキュリティ情報セキュリティ対策脆弱性対策ウェブサイトの脆弱性の検出ツール

本文を印刷する

情報セキュリティ

ウェブサイトの脆弱性の検出ツール

※本資料は新バージョンを公開しております。こちらからご参照ください。

最終更新日 2008年4月23日

独立行政法人 情報処理推進機構
セキュリティセンター

 独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、ウェブサイトの脆弱性対策を促進するため、ウェブサーバのアクセスログの中からウェブサイトへの攻撃を解析し、ウェブサイトのSQLインジェクションの脆弱性を検出するツールを2008年4月18日(金)より公開しました。
(URL: http://www.ipa.go.jp/security/vuln/iLogScanner/ )

概要

 近年、ウェブサイトを狙ったSQLインジェクション攻撃(*1)が急増しており、ウェブサイトの情報の改ざんや、非公開情報が公開されるなど深刻な被害が発生しています。
 このため、ウェブサイト運営者は、自組織が管理しているウェブサイトがどれほどの攻撃を受けているのか、またウェブサイトが受けた攻撃によって被害が発生していないか、常に状況を把握し対策を講ずることが必要です。

 しかし、ウェブサイトを狙った攻撃を把握するには、専門的なスキルが必要であるため、自組織内で専門のセキュリティ技術者を育成するか、有償のセキュリティ監視サービスを受ける必要があるなど、一般のウェブサイト運営者にとって容易ではありません。

 そこで、IPAでは、ウェブサーバのアクセスログの中から、ウェブサイトの攻撃によく用いられる文字列を検出し、ウェブサイトが日頃どれだけの攻撃を受けているか、また、ウェブサイトの脆弱性により攻撃が成功した可能性があるかを検出する簡易ツール「iLogScanner」を開発しました。
  現在、検出できるものはSQLインジェクションのみですが、今後、クロスサイト・スクリプティングやOSコマンド・インジェクションなど、順次拡大していく予定です。

 なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。
 iLogScannerは簡易ツールであり、ウェブサイトに脆弱性があってもSQLインジェクション攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。

■脆弱性検出ツールiLogScannerの概要

 iLogScannerは、ツール利用者がウェブブラウザを利用してIPAのウェブサイト(iLogScanner提供サイト)からダウンロードし、利用者のウェブブラウザ上で実行するJavaアプレット形式のプログラムです(図1)。

  利用者が用意したウェブサーバのアクセスログファイルの中から、SQLインジェクション攻撃によく用いられる文字列を検出し(図2)、ウェブサイトへ攻撃のあったと思われる痕跡や、攻撃が成功した可能性のある痕跡の有無を解析結果レポートとして出力します(図3)。

 なお、現在、利用者の脆弱性検出状況をIPAが収集することは行っていませんが、今後、脆弱性対策に活用するために、検出状況を収集するなどの機能拡張を予定しています。

利用イメージ

図1.脆弱性検出ツールの利用イメージ

 

ツールの画面例

図2.脆弱性検出ツールの使用例

 

ツールの解析結果例

図3.脆弱性検出ツールの解析結果の例

 

 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。

 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介され、それぞれの顧客システムのセキュリティ向上の契機となることを期待します。

『脚注』

(*1)データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にデータベースへのSQL(Structured Query Language)文を組立てています。ここで、SQL文の組立て方法に問題(脆弱性)がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。この脆弱性を悪用した攻撃をSQLインジェクション攻撃と呼んでいます。「安全なウェブサイトの作り方 改訂第3版」P.5の1.1を参照。

脆弱性の検証ツールの使用方法

 次のURLからご使用下さい。

  • http://www.ipa.go.jp/security/vuln/iLogScanner/
  •  

    (参考)

    開発実施者

    本件に関するお問い合わせ先

    独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺

    TEL:03-5978-7527 FAX:03-5978-7518
    E-mail:電話番号:03-5978-7527までお問い合わせください。

    報道関係からのお問い合わせ先

    独立行政法人 情報処理推進機構 戦略企画部 広報グループ 横山

    Tel: 03-5978-7503 Fax:03-5978-7510
    E-mail:電話番号:03-5978-7503までお問い合わせください。

    更新履歴

    2008年4月23日 注意事項として「ウェブサイトに脆弱性があってもSQLインジェクション攻撃のアクセスログが無ければ脆弱性を検出しない。」旨、追記しました。
    2008年4月18日 掲載