情報セキュリティ
iLogScannerは無償で利用できます。また、検査結果などの情報は外部に送信しないため、安心してご利用ください。
iLogScannerが検出できるウェブアプリケーション攻撃については、
「機能説明」ページをご参照ください。
iLogScannerは以下のウェブサーバソフトウェアのエラーログフォーマットに対応しております。
Apache HTTP Server(2.0系、2.2系、2.4系)
ModSecurity 2.5系、2.6系、2.7系、2.8系が出力するエラーログ形式
iLogScannerが認証ログから検出できる項目については、
「機能説明」ページをご参照ください。
iLogScanner V4.0で追加した機能は以下の通りです。
iLogScannerオフライン版(GUI)起動後、表示された設定画面の上部のタイトルから確認することができます。
iLogScannerでは、以下の3種類の解析を行うことができます。検出したい項目に応じて機能を使い分けてください。
下記に示したアクセスログおよび環境での平均値を記載いたします。
Intel Pentium4 2.8GHz
1GB
最大ヒープサイズ256MB(-Xmx256m)
118.2 秒
67 秒
116 秒
66 秒
118.4 秒
65 秒
アクセスログ/エラーログの解析では、ウェブサーバのアクセスログに記録されたリクエストのクエリ文字列から、ウェブアプリケーションへの攻撃によく見られる文字列が含まれているか調べています。
それぞれの攻撃でよく見られる文字列は次のような意味のある文字列になります。
認証ログの解析では、SSH、FTPのログに記録された認証情報や認証結果、ファイルへのアクセス回数をカウントし、検出項目の条件に当てはまるものがあるか調べています。
それぞれの検出項目の検出条件は以下の通りです。
基準時間内の同一ユーザ名によるログイン試行回数が基準値に達した場合
基準時間内のログイン試行回数が基準値に達した場合
基準時間内に同一のファイル名に対するファイルアクセス(ダウンロード)が基準値に達した場合
ログに含まれるログイン試行総回数
ログイン時の時間が指定された業務時間外だった場合
ルート昇格の操作が行われた場合
ログイン時の接続元IPアドレスが指定範囲外だった場合
ログイン時のユーザ名がrootだった場合
ログイン~ログアウトの時間差が基準値を超えていた場合
ログイン時のユーザ名がanonymousまたはftpだった場合
ゲストユーザでのログインだった場合
オプション選択画面で解析レベルの詳細を選択時、以下3項目による解析を行っています。これらは、以下の基準値や条件を設定し、その基準値を超えた場合や条件を満たした場合に攻撃の可能性があると判断しています。また、一部ではウェブサーバのアクセスログに記録されたリクエストのクエリ文字列から、ウェブアプリケーションへの攻撃によく見られる文字列が存在した場合に検出する方法をとっています。
攻撃検出用シグネチャによる解析結果に対して、以下の基準にて、再解析を行います。表中の条件を全て満たす場合、攻撃と判断します。
同一IPアドレスから同一URL(CGI、ASP、JSP等を含むウェブアプリケーション全般)に対する攻撃痕跡が一定件数に達している。
同一IPアドレスからの攻撃痕跡が一定件数に達している。
アクセスログに次の表中の条件を全て満たすリクエストが記録されている場合、ログに記録されないタイプのSQLインジェクション攻撃が行われた可能性があると判断します。
アクセスログに記録されたリクエストの応答コード(サーバレスポンス)が5xx番台であること。
かつPOSTメソッドであること。
条件1に合致するリクエストが
リクエストのメソッドがPUTであり、リクエストに対する応答コードが201であること
FrontPage Server Extensionsの設定不備を狙うような、特定ファイルURLに対するリクエストが行われていること
Tomcatの設定不備を狙うような、特定ファイル(URL)に対するリクエストが行われていること
攻撃を受けた際、ウェブサーバのアクセスログに内部エラーが発生したログや攻撃成功時に記録されるログなどの、特徴的なログが記録されている場合、攻撃が成功した可能性が高い痕跡として検出しています。
解析結果レポートは、以下の3種類の形式で出力することができます(出力される内容は同一です)。用途に応じて使い分けてください。
痕跡が検出された場合は、製作者またはセキュリティベンダーに相談することをお勧めします。
「解析することができるエラーログを出力するModSecurityのバージョンは?」を参照してください。
ModSecurityでエラーログに出力する名称が、iLogScannerで検出対象としている脆弱性とは異なる場合、結果レポートの表の「検出対象脆弱性」項目の「上記以外の分類(ModSecurity)」に検出数を表示しています。そちらの項目をご確認ください。
ModSecurityで遮断/検出するためのルールが設定されているかどうか確認してください。
iLogScannerで解析処理を行う場合、以下の項目が必須になっています。
ModSecurityの設定に以下の項目が含まれているかどうかをご確認ください。
アクセスログとエラーログが記録している時期が異なるため、マッチングができなかった可能性があります。アクセスログおよびエラーログのデータ内容をご確認ください。
sshdのログ出力形式がRSYSLOG_TraditionalFileFormatの場合、ログに年情報が含まれません。そのため、解析処理に以下の制限があります。
認証ログ解析では、条件を満たす行数が閾値に達した段階で1回の攻撃と判断し、次の行から再度解析を行っています。閾値未満の行については検出されません。
(例:閾値が10回で、ログイン失敗が27行連続した場合、2回の攻撃があったと判断し、最後の7行は閾値未満のため検出対象外となります)
なお、1回でも閾値に達した場合、攻撃を行われている可能性があるため、必要に応じてセキュリティベンダに相談する等の対策をご検討ください。
出力先のフォルダ名が長い場合、解析結果レポートファイルのパスが途中で切れた状態で表示されることがあります。
画面上の解析結果レポートファイルをドラッグしてコピーし、テキストエディタ等に貼り付けることで、レポートファイルのパスを確認することができます。
解析結果レポートはS-JISで出力されるため、OSの言語設定がUTF-8の場合、more等でレポートを確認すると文字化けして表示されます。文字コードの変換を実施してください。なお、Linux環境の場合、以下のコマンドを実行することで、レポートファイルの文字コードを変換できます。
iconv -f SJIS -t UTF8 [レポートファイル名] > [変換後レポートファイル名]
IPAには検査結果などのデータの送信は一切行っておりません。
「D053」は16進コード等の特殊文字を使用して、IDS回避を目的とした攻撃に対応するシグネチャです。
リクエスト文字列中にある"0x"の文字列を検出したことを表しています。
攻撃が成功した可能性が高いかどうかの検出はSQLインジェクションの攻撃と思われる痕跡からのみとなります。
それ以外の攻撃については検出されません。
下記の対処方法をご確認ください。
詳細設定画面のアクセスログのフォーマットを入力する項目「ログフォーマット:」に正しく書式指定子が入力されているか、または、必須になっている書式指定子が入力されているかご確認ください。ログフォーマットの詳細については、「
操作手順」の「2.4 解析対象ログファイル」に記載しております。ご確認ください。
X-Forwarded-Forの出力形式は対応しておりません。書式指定子の必須項目以外は、取り込むデータは半角スペースで区切られた1個のデータが指定されているものとして扱います。そのため、X-Forwarded-Forの出力形式のように client1, proxy1, proxy2 とカンマとスぺースで分けられたIPアドレスの複数個のデータは、ログフォーマットと異なると判断されます。X-Forwarded-Forの出力データを1つにするなど事前に解析可能なデータへ整形するなどをご検討ください。
エラーメッセージの内容を確認し、下記の対処方法をご確認ください。
解析結果の出力先として指定されたディレクトリへの書き込みが許可されていない可能性があります。ディレクトリのセキュリティ設定をご確認ください。
解析するアクセスログファイルに1行が非常に大きいログがある場合、Java Plug-inでエラーが発生する場合があります。この場合、Javaの起動パラメータ「-Xmx(size)m」を指定してJavaが使用するメモリの最大サイズを大きくしてください(デフォルトでは64MBです)。設定方法の例は「
操作手順」の「2.3.Javaの設定」をご確認ください。
・エラーメッセージに記載されているエラーコードをメモとしてお控えいただき、iLogScannerトップページのお問合わせ先へご連絡ください。
実行途中でファイルまたはディレクトリが消された可能性があります。選択したファイルまたはディレクトリを確認してください。
アクセスログまたは、エラーログのログタイプが異なるか、または必須項目が出力されていない可能性があります。アクセスログについての詳細は、「解析対象のアクセスログ詳細」、エラーログについての詳細は「解析対象のエラーログ詳細」をご確認ください。
ウェブサーバのアクセスログかどうか今一度ご確認をお願いいたします。また、アクセスログのログタイプが異なるか、必須項目が出力されていない可能性もありますので、ログの項目の確認をお願いいたします。アクセスログについての詳細は、「解析対象のアクセスログ詳細」をご確認ください。
実行時に表示された署名確認画面でキャンセルを選択されませんでしたでしょうか。署名確認画面がキャンセルされた場合は、当ツールは実行されません。
※ツール実行時に表示された署名確認画面の署名内容を必ず確認してください。
※一度、ウェブブラウザを閉じ、再度、ウェブブラウザを起動していただく必要があります。
Exception in thread "Thread-3" java.lang.NoClassDefFoundError: javax/xml/bind/JAXBContext
at jp.go.ipa.ilogscanner.bl.ScannerXmlReport.Output(ScannerXmlReport.java:51)
at jp.go.ipa.ilogscanner.bl.LogScannerLogic.makeReport(LogScannerLogic.java:1011)
at jp.go.ipa.ilogscanner.bl.LogScannerThread.run(LogScannerThread.java:330)
at java.base/java.lang.Thread.run(Thread.java:834)
Caused by: java.lang.ClassNotFoundException: javax.xml.bind.JAXBContext
at java.base/jdk.internal.loader.BuiltinClassLoader.loadClass(BuiltinClassLoader.java:581)
at java.base/jdk.internal.loader.ClassLoaders$AppClassLoader.loadClass(ClassLoaders.java:178)
at java.base/java.lang.ClassLoader.loadClass(ClassLoader.java:521)
... 4 more
Javaの仕様変更(Java11 以降)により、レポートの出力形式を"XML形式"または"すべての形式(HTML,XML,TEXT)"を選択して解析を行った際に発生します。
Java11以降をご利用の場合は、レポートの出力形式を"HTML形式"または"TEXT形式"をお選びください。
例外が発生しました。
一部のWindows環境にてGUIが正しく表示されない場合があります。別のWindows環境でiLogscannerの起動をお試しいただくか、CUI版の利用(コマンドラインでの実行)をご検討ください。
2022年11月30日
「実行時のエラーについて」-「2.実行時にエラーメッセージが表示され、解析処理が行われません。」を追記
2022年5月31日
「実行時のエラーについて」-「1.「入力されたログフォーマットが不正です。」が表示されます。」を追記
2021年9月9日
「システムエラーが発生しました」の内容を追記
2021年6月1日
「解析結果について」-「9.「D053」シグネチャ対応コードは何を検出してるのでしょうか?」を追記
2019年12月4日
「実行時のエラーについて 」-「1.実行時にエラーメッセージが表示され、解析処理が行われません」を追記
2019年1月16日
iLogScannerオンライン版の公開終了に伴い関連FAQの削除および見直し
2014年11月14日
「iLogScannerについて 」-「7.利用しているiLogScannerのバージョンを確認する方法を教えてください。」を追加
2014年10月9日
掲載