ウェブサイトの攻撃兆候検出ツール iLogScanner 機能説明

機能説明

• 操作手順(PDF:2.7 MB)

LogScannerで検出可能なウェブアプリケーション攻撃や、認証ログ(SSH、FTP)から検出できる項目について解説します。
各検出項目の詳細についても合わせて解説します。

アクセスログ、エラーログから検出可能な項目

次の脆弱性を狙ったウェブアプリケーション攻撃の痕跡を検出します（2014年10月現在）。

1. SQLインジェクション
   • SQLインジェクションとは、データベースと連携したウェブアプリケーションに問合せ命令文の組み立て方法に問題があるとき、ウェブアプリケーションへ宛てた要求に悪意を持って細工されたSQL文を埋め込まれて（Injection）しまうと、データベースを不正に操作されてしまう問題です。これにより、データベースが不正に操作され、ウェブサイトは重要情報などが盗まれたり、情報が書き換えられたりといった被害を受けてしまう場合があります。
2. OSコマンド・インジェクション
   • OSコマンド・インジェクションとは、ウェブサーバ上の任意のOSコマンドが実行されてしまう問題です。これにより、ウェブサーバを不正に操作され、重要情報などが盗まれたり、攻撃の踏み台に悪用される場合があります。
3. ディレクトリ・トラバーサル
   • ディレクトリ・トラバーサルとは、相対パス記法を利用して、管理者が意図していないウェブサーバ上のファイルやディレクトリにアクセスされたり、アプリケーションを実行される問題です。これらにより、本来公開を意図しないファイルが読み出され、重要情報が盗まれたり、不正にアプリケーションを実行されファイルが破壊されるなどの危険があります。
4. クロスサイト・スクリプティング
   • クロスサイト・スクリプティングとは、ウェブサイトの訪問者の入力をそのまま画面に表示する掲示板などが、悪意あるスクリプト（命令）を訪問者のブラウザに送ってしまう問題です。これにより、アンケート、掲示板、サイト内検索など、ユーザからの入力内容をウェブページに表示するウェブアプリケーションで、適切なセキュリティ対策がされていない場合、悪意を持ったスクリプト（命令）を埋め込まれてしまい、ウェブページを表示した訪問者のプラウザ環境でスクリプトが実行されてしまう可能性があります。その結果として、cookieなどの情報の漏洩や意図しないページの参照が行われてしまいます。
5. その他（IDS回避を目的とした攻撃）
   • その他（IDS回避を目的とした攻撃）とは、16進コード、親パス等の特殊文字を使用して偽装した攻撃用文字列で攻撃が行われることによりアプリケーションの妥当性チェック機構を迂回し、SQLインジェクション、クロスサイトスクリプティング等の攻撃を行うことを狙ったものです。また、ワームなどが悪用するウェブサーバの脆弱性を突いた攻撃でも、このような特殊文字が使われます。それぞれの攻撃に応じた対策が必要になります。
     注）IDS : 侵入検知システム（Intrusion Detection System）

また、解析レベルを「詳細」で解析を行うと次のウェブアプリケーションへの攻撃の可能性を検出します（2014年10月現在）。

1. 同一IPアドレスから同一URLに対する攻撃の可能性
   • 同一のIPアドレスからの攻撃痕跡が一定件数に達していることを検出します。基準値を超えているため、攻撃を受けている可能性があります。
2. アクセスログに記録されないSQLインジェクションの可能性
   • ウェブサーバが「SQLインジェクション」の攻撃の影響を受けている可能性を示すものです。同一IPアドレスから行われたリクエストに対するウェブサーバからのエラー応答が、基準値に達していることを検出します。
3. ウェブサーバの設定不備を狙った攻撃の可能性
   • ウェブサーバの設定不備を狙った攻撃を受けている可能性があります。
     対象となる設定不備は以下の通りです。
   • ・PUTメソッドの設定不備
   • ・FrontPage Server Extensionsの設定不備
   • ・Apache Tomcatの設定不備

• 脆弱性の概要については、「知っていますか？脆弱性（ぜいじゃくせい）」を参照ください。
• 脆弱性の対策については、「安全なウェブサイトの作り方」を参照ください。

認証ログ(SSH、FTP)から検出可能な項目

SSH、FTPのログから、次の攻撃の痕跡を検出します（2014年10月現在）。

1. 大量のログイン失敗
   • 一定時間内に、同一のユーザIDで大量のログイン失敗があったことを検出します。パスワードを総当りで入力するなどの手段で不正アクセスを試みられている可能性があります。
2. 短時間の集中ログイン
   • 一定時間内に大量のログイン要求があったことを検出します。同一のパスワードでユーザIDを総当りで入力するなどの手段で不正アクセスを試みられている可能性や、サーバリソースに負荷をかける目的で大量アクセスが行われている可能性があります。
3. 同一ファイルへの大量アクセス
   • 一定時間内に同一のファイルに対する大量のアクセスがあったことを検出します。サーバリソースに負荷をかける目的で大量アクセスが行われている可能性があります。

また、ユーザのログイン状況について、次の項目を検出します（2014年10月現在）。

1. 認証試行回数
   • 総認証試行回数、成功数、失敗数を集計します。試行回数が通常時と比べて極端に多い場合、攻撃を受けている可能性があります。
2. 業務時間外アクセス
   • 業務時間外のサーバへのアクセスを検出します。通常アクセスが行われない時間帯にアクセスがあった場合、サーバが不正に利用されようとしている可能性があります。
3. ルート昇格
   • ルートに昇格しようとしたユーザとその成否を検出します。許可されていないユーザがルート昇格を試みている場合、サーバを不正に利用しようとしている可能性があります。
4. 指定IP外からのアクセス
   • 指定した範囲外のIPアドレスからのアクセスを検出します。通常利用されないIPアドレスからのアクセスがあった場合、サーバに不正アクセスが試みられている可能性があります。
5. 特権アカウントでのログイン検知
   • 特権アカウント（ルート）でログインしたユーザを検出します。特権アカウントで直接ログインすることはセキュリティ上好ましくないため、特権アカウントでのログインを無効にすることをご検討ください。
6. 長時間ログインの検知
   • 長時間ログイン状態のユーザを検出します。極端に長時間ログイン状態のユーザが存在する場合、不正アクセスの踏み台などに使用されている可能性があります。
7. 匿名アカウントでのログイン検知
   • 匿名アカウントでのログインを検出します。匿名アカウントの利用はセキュリティ上好ましくないため、匿名アカウントを無効にすることをご検討ください。
8. ゲストアカウントでのログイン検知
   • ゲストアカウントでのログインを検出します。ゲストアカウントが適正に管理されており、ゲストアカウントでのログインが正当なものかどうかをご確認ください。

なお、認証ログの種類によって検出可能な項目が異なります。ログの種類と検出可能な項目の対応は以下の通りです。

大量のログイン失敗

短時間の集中ログイン

同一ファイルへの大量アクセス検知

認証試行回数

業務時間外アクセス

ルート昇格

指定IP外からのアクセス

特権アカウントでのログイン検知

長時間ログインの検知

匿名アカウントでのログイン検知

ゲストアカウントでのログイン検知