SQL インジェクション 検 出 ツール ilogscanner V2.0 ウェブサーバのアクセスログを 解 析 して 脆 弱 性 を 狙 った 攻 撃 の 検 出 を 簡 易 に 行 うツール 取 扱 説 明 書 2008 年 11 月
目 次 1. はじめに... 1 1.1. このプログラムの 目 的... 1 1.2. 機 能 概 要... 1 1.3. 解 析 対 象 の Web アプリケーション 攻 撃... 1 1.3.1 各 脆 弱 性 の 説 明... 2 2. 動 作 環 境 について... 4 2.1. 動 作 環 境... 4 2.2. Web ブラウザの 設 定... 6 2.3. Java の 設 定... 8 2.4. アプレットへの 署 名 確 認... 9 2.5. アクセスログファイル 形 式... 9 3. ilogscanner 基 本 操 作... 12 3.1. 初 期 画 面 表 示... 12 3.2. アクセスログファイルの 指 定... 13 3.3. 解 析 結 果 出 力 先 ディレクトリの 指 定... 14 3.4. 解 析 開 始... 15 3.5. 解 析 終 了... 17 3.6. 解 析 結 果 レポート... 18 3.7. 解 析 結 果 ログ... 19 4. FAQ... 20 4.1. ilogscanner とは 何 ですか?... 20 4.2. 検 査 結 果 などのデータを IPA に 送 信 していますでしょうか?... 20 4.3. ilogscanner は 無 料 で 使 用 できるのですか?... 20 4.4. ilogscanner が 検 出 できる Web アプリケーション 攻 撃 の 種 類 を 教 えてください... 20 4.5. ilogscanner が 動 作 する 環 境 を 教 えてください... 21 4.6. 攻 撃 と 思 われる 痕 跡 はどのように 検 出 しているのですか?... 22 4.7. 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 はどのように 検 出 しているのですか?... 23 4.8. 解 析 結 果 で 攻 撃 があったと 思 われる 痕 跡 が 検 出 されたのですが どうすればよい ですか?... 24 4.9. Java アプレット 画 面 が 表 示 されませんが 何 が 原 因 と 考 えられますか?... 24 4.10. 実 行 中 指 定 されたディレクトリは 存 在 しないか 書 き 込 み 権 限 がありません - i -
という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいです か?... 24 4.11. 実 行 中 メモリが 不 足 しています という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?... 24 4.12. 実 行 中 システムエラーが 発 生 しました という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?... 25 4.13. 実 行 画 面 の 表 示 で 英 数 字 以 外 の 文 字 が 全 て" "で 表 示 されてしまいます どうす ればよいですか? 利 用 環 境 は Vline Linux4.2/FireFox2.0/JRE6 です... 25 4.14. ilogscanner が 動 作 しません 利 用 環 境 は WinXP/Firefox/JRE6 です どうす ればよいですか?... 25 4.15. SQL インジェクションによるホームページ 改 ざん 行 為 は ilogscanner で 検 出 できるでしょうか?... 25 4.16. 実 行 中 ファイルまたはディレクトリが 存 在 していません という 旨 のメッセ ージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?... 25 4.17. 実 行 中 入 力 ファイルのログタイプ 形 式 が 不 正 です という 旨 のメッセージが 表 示 され 解 析 処 理 が 行 われません どうすればよいですか?... 25 4.18. 実 行 中 当 ツールを 実 行 する 許 可 が 取 消 しされました という 旨 のメッセージ が 表 示 され 処 理 が 中 止 されました どうすればよいですか?... 26 4.19. アクセスログの 解 析 にはどのくらい 時 間 がかかりますか?... 26 4.20. 実 行 中 入 力 ファイルに 必 須 のカラムデータが 存 在 していません という 旨 の メッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?... 27 4.21. 今 回 のバージョンアップで 追 加 した 機 能 は 何 ですか... 27 5. Tips 集... 29 5.1. VlineLinux4.2 + FireFox2.0 +JRE6 においての 文 字 化 け 対 応... 29 5.2. IIS7.0 での W3C フィールとの 設 定 方 法 について... 29 - ii -
1. はじめに 1.1. このプログラムの 目 的 IPA では Web アプリケーションに 対 してどれほどの 攻 撃 を 受 けているのか Web サ イト 管 理 者 が 簡 単 に 状 況 を 把 握 できる 手 段 を 提 供 していく 必 要 があると 考 えています そこで Web サイトのアクセスログを 解 析 することで そのサイトへの 攻 撃 痕 跡 を 確 認 でき 一 部 の 痕 跡 に 関 しては 攻 撃 が 成 功 した 可 能 性 を 確 認 できるツール ilogscanner を 開 発 しました Web サイトへの 攻 撃 が 成 功 した 可 能 性 が 確 認 された 場 合 は Web アプ リケーションに 潜 む 脆 弱 性 を 確 認 する 事 ができると 共 に インターネットに 公 開 してい る Web サイトがどれほど 危 険 であるかを 認 知 してもらい Web サイト 管 理 者 や 経 営 者 に 対 して 警 告 を 発 し 対 策 を 講 じるきっかけとなる 事 が 期 待 できます 1.2. 機 能 概 要 ilogscanner は 利 用 者 が Web ブラウザを 利 用 して IPA の Web サイトからダウンロ ードし 利 用 者 の Web ブラウザ 上 で 実 行 する Java アプレット 形 式 のプログラムです ilogscanner は 利 用 者 が 用 意 した Web サーバのアクセスログファイルを 解 析 し Web アプリケーションへの 攻 撃 の 有 無 を 解 析 結 果 レポートとして 出 力 します 1.3. 解 析 対 象 の Web アプリケーション 攻 撃 ilogscanner は 次 の 脆 弱 性 を 狙 った Web アプリケーション 攻 撃 の 痕 跡 と 攻 撃 が 成 功 した 可 能 性 を 検 出 します(2008 年 11 月 現 在 ) Web アプリケーション 攻 撃 の 痕 跡 と 攻 撃 が 成 功 した 可 能 性 を 検 出 SQL インジェクション Web アプリケーション 攻 撃 の 痕 跡 を 検 出 OS コマンド インジェクション ディレクトリ トラバーサル クロスサイト スクリプティング その 他 (IDS * 回 避 を 目 的 とした 攻 撃 ) * IDS: 侵 入 検 知 システム(Intrusion Detection System) - 1 -
1.3.1 各 脆 弱 性 の 説 明 SQL インジェクション とは データベースと 連 携 した Web アプリケーションに 問 合 せ 命 令 文 の 組 み 立 て 方 法 に 問 題 があるとき Web アプリケーションへ 宛 てた 要 求 に 悪 意 を 持 って 細 工 された SQL 文 を 埋 め 込 まれて(Injection)しまうと データベースを 不 正 に 操 作 されてしまう 問 題 です これにより データベースが 不 正 に 操 作 さ れ Web サイトは 重 要 情 報 などが 盗 まれたり 情 報 が 書 き 換 えられたりとい った 被 害 を 受 けてしまう 場 合 があります OS コマンド インジェクション とは Web サーバ 上 の 任 意 の OS コマンドが 実 行 されてしまう 問 題 です これに より Web サーバを 不 正 に 操 作 され 重 要 情 報 などが 盗 まれたり 攻 撃 の 踏 み 台 に 悪 用 される 場 合 があります ディレクトリ トラバーサル とは 相 対 パス 記 法 を 利 用 して 管 理 者 が 意 図 していない Web サーバ 上 のファイ ルやディレクトリにアクセスされたり アプリケーションを 実 行 される 問 題 です これらにより 本 来 公 開 を 意 図 しないファイルが 読 み 出 され 重 要 情 報 が 盗 まれたり 不 正 にアプリケーションを 実 行 されファイルが 破 壊 される などの 危 険 があります クロスサイト スクリプティング とは Web サイトの 訪 問 者 の 入 力 をそのまま 画 面 に 表 示 する 掲 示 板 などが 悪 意 あるスクリプト( 命 令 )を 訪 問 者 のブラウザに 送 ってしまう 問 題 です これ により アンケート 掲 示 板 サイト 内 検 索 など ユーザからの 入 力 内 容 を Web ページに 表 示 する Web アプリケーションで 適 切 なセキュリティ 対 策 がされていない 場 合 悪 意 を 持 ったスクリプト( 命 令 )を 埋 め 込 まれてしま い Web ページを 表 示 した 訪 問 者 のプラウザ 環 境 でスクリプトが 実 行 されて しまう 可 能 性 があります その 結 果 として cookie などの 情 報 の 漏 洩 や 意 図 しないページの 参 照 が 行 われてしまいます 相 対 パス 記 法 を 利 用 して 管 理 者 が 意 図 していない Web サーバ 上 のファイルやディレクトリにアクセスされ たり アプリケーションを 実 行 される 問 題 です これらにより 本 来 公 開 を 意 図 しないファイルが 読 み 出 され 重 要 情 報 が 盗 まれたり 不 正 にアプリケ ーションを 実 行 されファイルが 破 壊 されるなどの 危 険 があります - 2 -
その 他 (IDS 回 避 を 目 的 とした 攻 撃 ) とは 16 進 コード 親 パス 等 の 特 殊 文 字 を 使 用 して 偽 装 した 攻 撃 用 文 字 列 で 攻 撃 が 行 われることによりアプリケーションの 妥 当 性 チェック 機 構 を 迂 回 し SQL インジェクション クロスサイト スクリプティング 等 の 攻 撃 を 行 うこ とを 狙 ったものです また ワームなどが 悪 用 する Web サーバの 脆 弱 性 を 突 いた 攻 撃 でも このような 特 殊 文 字 が 使 われます それぞれの 攻 撃 に 応 じた 対 策 が 必 要 になります 脆 弱 性 については IPA セキュリティセンターの 知 っていますか? 脆 弱 性 (ぜいじ ゃくせい) http://www.ipa.go.jp/security/vuln/vuln_contents/index.html で 解 説 が 行 わ れていますので ご 参 照 ください - 3 -
2. 動 作 環 境 について 2.1. 動 作 環 境 ilogscanner が 動 作 する 環 境 は 以 下 を 想 定 しています CPU 搭 載 メモリ オペレーティングシステム Intel Pentium4 2.8Ghz 以 上 を 推 奨 1GB 以 上 を 推 奨 Microsoft Windows XP Professional SP2 SP3 Web ブラウザ Internet Explorer 7 Sun Microsystems 社 Java 実 行 環 境 (JRE) J2SE Runtime Environment(JRE) 5.0 JRE 5.0 ダウンロードサイトは http://java.sun.com/j2se/1.5.0/ja/download.html に なります その 他 以 下 の 環 境 においては 一 部 動 作 可 能 であることを 確 認 しております 以 下 に 記 載 した 環 境 での 動 作 を 保 証 するものではございません オペレーティン グシステム/Web ブラウザ/JRE のバージョン 利 用 者 環 境 等 の 違 いにより 動 作 が 異 なる 場 合 もございますので 予 めご 了 承 ください(2008 年 11 月 現 在 ) オペレーティングシステム (Microsoft) Web ブラウザ Java 実 行 環 境 (JRE) (Sun Microsystems) 1 Microsoft Windows 2000 Internet JRE 5.0 2 Professional SP4 Explorer 6 JRE 6.0 3 FireFox 3 JRE 5.0 4 JRE 6.0 5 Microsoft Windows XP Internet JRE 5.0 6 Professional SP3 Explorer 6 JRE 6.0 7 Internet Explorer 7 JRE 6.0 8 FireFox 3 JRE 5.0 9 JRE 6.0 10 Microsoft Windows Vista Internet JRE 5.0 11 Business Explorer 7 JRE 6.0 12 FireFox 3 JRE 5.0 13 JRE 6.0 14 Linux(CentOS 5) FireFox 3 JRE 5.0 15 JRE 6.0 動 作 : 正 常 動 作 する : 一 部 を 除 き 正 常 動 作 する : 正 常 動 作 しない - 4 -
補 足 事 項 <Windows Vista について> Windows Vista + IE7 では 初 期 設 定 で 保 護 モード が 有 効 となっている 為 ilogscanner を 正 常 に 動 作 させることができません 保 護 モード を 無 効 にすると ブラウザを 悪 用 する 不 正 なソフト(ウイルス スパイウェア)などの 動 きを 抑 えるこ とができなくなってしまいますので セキュリティの 観 点 から Windows Vista + IE7 上 での 実 行 は 推 奨 しておりません <Linux(CentOS 5) の 動 作 について> Linux 上 で FireFox3 を 使 用 しツールを 実 行 したところ 正 常 に 解 析 処 理 は 行 われます が ユーザが 親 画 面 ( 解 析 開 始 画 面 )を 操 作 することが 出 来 てしまうという 現 象 がみられま した 親 画 面 の 中 ではアプレット 部 分 を 操 作 することはできないようにしておりますが そ の 他 (HTML 部 分 ツールバー 等 )は 操 作 が 行 える 為 画 面 遷 移 をしたりブラウザを 閉 じ たりすることができます この 場 合 当 ツールは 強 制 終 了 されますのでご 了 承 ください - 5 -
2.2. Web ブラウザの 設 定 Java アプレットである ilogscanner を 実 行 するために Web ブラウザ(Internet Explorer 7)が 次 の 設 定 になっていることを 確 認 してください 設 定 を 変 更 する 場 合 は 利 用 終 了 後 に 既 存 の 設 定 に 戻 せるように 現 在 の 設 定 をメモしておき 利 用 終 了 後 に 設 定 を 既 存 の 値 に 変 更 してください また 設 定 を 変 更 した 場 合 は Internet Explorer 7 を 再 起 動 して 設 定 を 反 映 させる 必 要 があります (1) Internet Explorer 7 のメニューから ツール -> インターネットオプション を 開 き 詳 細 設 定 タブの Java の 設 定 項 目 にチェックが 入 っていることを 確 認 してください(Sun Microsystems 社 J2SE Runtime Environment(JRE) をインストールすると 初 期 設 定 でチェックが 入 っています) J2SE Runtime Environment(JRE) 5.0 Update 14 がインストールされている 場 合 は 次 の 画 像 のようになります (2) インターネットオプション の セキュリティ タブを 開 き インターネ ット ゾーンを 選 び このゾーンのセキュリティのレベル が 中 高 ( 既 定 の レベル) になっていることを 確 認 してください(Internet Explorer 7 では インターネットゾーンのセキュリティレベルの 初 期 設 定 は 中 高 になります) - 6 -
補 足 事 項 インターネットオプション の セキュリティ の 設 定 で セキュリティ レベル 高 にしている 場 合 またはセキュリティレベル 高 を 基 本 に レ ベルのカスタマイズ で 任 意 の 設 定 をしている 場 合 ilogscanner は 起 動 しま せん インターネットオプション の セキュリティ の 設 定 で インターネッ ト ゾーンのセキュリティレベルの 設 定 を 変 更 したくない 場 合 は 信 頼 済 みサ イト ゾーンを 選 び サイト ボタンをクリックし 信 頼 済 みサイトとして https://www.ipa.go.jp を 追 加 した 上 で このゾーンのセキュリティのレベ ル を 中 高 または 中 にしてください この 設 定 にした 場 合 は ilogscanner の Web ページ 接 続 時 に https://www.ipa.go.jp で 接 続 してください - 7 -
2.3. Java の 設 定 Java に 関 する 設 定 は 特 に 必 要 ありません ilogscanner 実 行 中 に メモリが 不 足 しています という 旨 のエラーメッセージが 表 示 され 処 理 が 中 止 された 場 合 は 次 の 設 定 で Java が 使 用 するメモリの 最 大 サイズを 大 き くしてください(デフォルトでは 64MB です) (1) コントロールパネルの Java より Java コントロールパネル を 開 きま す java タブをクリックし Java アプレットのランタイム 設 定 の 表 示 ボタンをクリックし Java ランタイム 設 定 画 面 を 開 きます (2) Java ランタイム 設 定 画 面 の Java ランタイムパラメータ に -Xmx(size)m を 入 力 します( 下 記 画 像 の 例 は 128MB の 場 合 ) 何 も 入 力 し ない 場 合 (デフォルト) Java が 使 用 するメモリの 最 大 サイズは 64MB です - 8 -
2.4. アプレットへの 署 名 確 認 ilogscanner は 電 子 署 名 された Java アプレット 形 式 のプログラムです このため ilogscanner 実 行 時 に 実 行 されるアプレットを 信 頼 するかどうかのセキュリティ 警 告 画 面 が 表 示 されます セキュリティ 警 告 画 面 では 名 前 発 行 者 ダウンロード 元 を 確 認 し このアプレ ットが IPA から 提 供 されていることを 確 認 してください 詳 細 情 報 を 確 認 する 場 合 は 証 明 書 の 詳 細 をクリックし 発 行 者 が 信 頼 される 機 関 であることと 有 効 期 限 が 切 れてい ないことを 確 認 してください 電 子 署 名 を 確 認 後 は 実 行 ボタンを 押 下 して ilogscanner を 実 行 してください 注 意 :セキュリティ 警 告 画 面 にて 実 行 ボタンが 押 下 されなかった 場 合 ilogscanner は 動 作 しません 2.5. アクセスログファイル 形 式 ilogscanner は 以 下 の Web サーバソフトウェアとアクセスログフォーマットに 対 応 し ております Web サーバソフトウェア Microsoft インターネット インフォメーション サービス(IIS 5.0 5.1 6.0 7.0) Apache HTTP Server(1.3 系 2.0 系 2.2 系 ) アクセスログフォーマット W3C 拡 張 ログファイル 形 式 Common Log Format ilogscanner では アクセスログに 出 力 された GET メソッドのクエリ 文 字 列 を 解 析 し ます POST メソッドはアクセスログにクエリ 文 字 列 が 出 力 されない 為 POST メソッド を 使 用 した Web アプリケーションへの 攻 撃 痕 跡 の 検 出 には 対 応 しておりません - 9 -
(1) W3C 拡 張 ログファイル 形 式 インターネット インフォメーション サービス (IIS) マネージャ の Web サイトのプロパティより アクティブ ログ 形 式 が W3C 拡 張 ログ ファイル 形 式 になっている 必 要 があります ( 画 面 は IIS6.0 のプロパティになります) また アクティブ ログ 形 式 のプロパティにある 拡 張 ログ オプションにおい て 次 の 必 須 項 目 が 有 効 になっている 必 要 があります 必 須 項 目 日 付 (date) 時 間 (time) クライアント IP アドレス(c-ip) ユーザ 名 (cs-username) サーバ IP アドレス(s-ip) サーバポート(s-port) メソッド(cs-method) URI Stem(cs-uri-stem) URI クエリ(cs-uri-query) プロトコルの 状 態 (sc-status) ユーザエージェント(cs(User-Agent)) - 10 -
(2) Common Log Format Apache HTTP Server の 設 定 で Common Log Format(デフォルトで 定 義 さ れているニックネーム common 形 式 )のアクセスログが 出 力 されている 必 要 があります また 先 頭 からの 書 式 が Common Log Format と 同 じ Combined Log Format(デフォルトで 定 義 されているニックネーム combined 形 式 )で あれば 解 析 することが 可 能 です Apache HTTP Server のアクセスログ 出 力 設 定 例 LogFormat "%h %l %u %t "%r " %>s %b" common CustomLog logs/access_log common Apache HTTP Server の Common Log Format(CLF) 書 式 フォーマット 文 字 列 説 明 %h リモートホスト %l (identd からもし 提 供 されていれば)リモートログ 名 %u リモートユーザ %t リクエストを 受 付 けた 時 刻 CLF の 時 刻 の 書 式 ( 標 準 の 英 語 の 書 式 ) "%r " リクエストの 最 初 の 行 %>s 最 後 のステータス %b レスポンスのバイト 数 HTTP ヘッダは 除 く CLF 書 式 - 11 -
3. ilogscanner 基 本 操 作 ilogscanner は 指 定 したアクセスログの 解 析 を 行 い 解 析 結 果 を 出 力 します アクセスログ 解 析 のために 必 要 な 項 目 を 入 力 し 解 析 を 実 行 すると 解 析 実 行 中 画 面 が 表 示 され 進 捗 状 況 を 確 認 することができます アクセスログ 解 析 後 は 解 析 結 果 フ ァイルを 作 成 し 結 果 画 面 が 表 示 されます 3.1. 初 期 画 面 表 示 ilogscanner トップページの 下 部 にある 次 へ ボタンを 押 下 後 利 用 規 約 ページへ 遷 移 します 利 用 規 約 内 容 を 確 認 し 規 約 に 同 意 される 方 は 規 約 に 同 意 する ボタン を 押 して 下 さい 規 約 に 同 意 する ボタンを 押 した 場 合 ilogscanner 初 期 画 面 が 表 示 されます 規 約 に 同 意 しない ボタンを 押 した 場 合 ilogscanner トップページへ 遷 移 します - 12 -
3.2. アクセスログファイルの 指 定 解 析 を 行 うアクセスログファイルの 形 式 と 解 析 対 象 ファイルを 指 定 します アクセスログについては 2.5 アクセスログファイル 形 式 を 参 照 して 下 さい (1) アクセスログ 形 式 選 択 ボタンを 押 してプルダウンを 表 示 し 解 析 を 行 うアクセスログファイルの ファイル 形 式 を 選 択 します( 図 はプルダウン 表 示 状 態 ) (2) 解 析 対 象 アクセスログファイル 名 選 択 参 照 ボタンを 押 すと ファイル 選 択 画 面 が 表 示 されます ファイル 選 択 画 面 にて 解 析 を 行 うアクセスログファイル 名 を 選 択 し 開 くボ タンを 押 してください また アクセスログファイルは 複 数 選 択 することも 可 能 です 複 数 選 択 する 場 合 は Shift キー(または Ctrl キー)を 押 しながらファイ ルを 選 択 します - 13 -
3.3. 解 析 結 果 出 力 先 ディレクトリの 指 定 解 析 結 果 を 出 力 するディレクトリを 指 定 します 参 照 ボタンを 押 すと ディレクトリ 選 択 画 面 が 表 示 されます ディレクトリ 選 択 画 面 にて 解 析 結 果 レポートファイルと 解 析 結 果 ログファイルの 出 力 先 を 選 択 します 解 析 結 果 レポートファイル 解 析 結 果 ログ ファイルについては 3.6 解 析 結 果 レポート 3.7 解 析 結 果 ログ を 参 照 して 下 さい エラー 時 に 出 力 するエラーログもここで 設 定 したディレクトリに 出 力 されます 出 力 ディレクトリ 設 定 前 にエラーが 生 じた 場 合 出 力 先 は 実 行 時 のカレントディレクトリに なります - 14 -
3.4. 解 析 開 始 アクセスログファイル 形 式 解 析 対 象 アクセスログファイル 出 力 先 ディレクトリを それぞれ 設 定 後 解 析 開 始 ボタンを 押 すとアクセスログ 解 析 が 開 始 されます アクセス ログファイル 形 式 解 析 対 象 アクセスログファイル 出 力 先 ディレクトリが 全 て 設 定 さ れていない 場 合 解 析 は 行 われません アクセスログ 解 析 が 開 始 されると 解 析 中 画 面 が 表 示 されます 解 析 中 画 面 では ア クセスログ 解 析 の 進 捗 情 報 を 表 示 します 1は 全 体 の 解 析 進 捗 状 況 が 表 示 されます 2 は 解 析 中 のファイル 名 が 表 示 されます 3はファイル 単 位 の 解 析 進 捗 状 況 が 表 示 されま す 4は 検 出 対 象 脆 弱 性 検 出 数 がリアルタイムで 表 示 されます 5は 解 析 中 止 ボタン です 解 析 を 途 中 で 中 止 したい 場 合 このボタンを 押 してください 6は 解 析 対 象 ファ イルの 解 析 した 行 数 が 表 示 されます - 15 -
1 3 6 2 5 4 中 止 ボタンを 押 下 した 場 合 確 認 ダイアログが 表 示 されます 確 認 ダイアログの はい を 選 択 した 場 合 処 理 を 中 止 しその 時 点 での 解 析 結 果 を 出 力 します いいえ を 選 択 した 場 合 解 析 実 行 中 画 面 に 戻 ります - 16 -
3.5. 解 析 終 了 アクセスログ 解 析 が 終 了 した 後 結 果 ファイル( 解 析 結 果 レポートファイル 解 析 結 果 ログファイル)を 作 成 し 結 果 画 面 が 表 示 されます 1 2 3 4 5 解 析 結 果 サマリ 画 面 の1は 終 了 メッセージ( 完 了 / 中 止 )が 表 示 されます 2は 攻 撃 痕 跡 の 有 無 を 示 すメッセージが 表 示 されます 3は 検 出 対 象 脆 弱 性 名 と 検 出 数 が 表 示 されます 4は 結 果 レポートファイルのパス 付 ファイル 名 が 表 示 されます 5は 結 果 ログファイル のパス 付 きファイル 名 が 表 示 されます また アクセスログ 解 析 終 了 時 には 解 析 結 果 レポートファイルと 解 析 結 果 ログファ イル が 作 成 されます これらの 解 析 結 果 ファイルは アクセスログ 解 析 前 に 指 定 された ディレクトリに 出 力 されます 解 析 結 果 レポートファイルには 解 析 結 果 詳 細 情 報 が 出 力 され 解 析 結 果 ログファイル には 検 出 したログデータが 出 力 されます アクセスログ 解 析 を 中 止 した 場 合 やエラーにより 解 析 中 止 となった 場 合 は その 時 点 までの 解 析 結 果 を 出 力 します 解 析 結 果 ログファイルは 攻 撃 痕 跡 を 検 出 した 場 合 のみ 出 力 します - 17 -
3.6. 解 析 結 果 レポート 解 析 結 果 レポートは アクセスログ 解 析 終 了 後 解 析 前 に 指 定 した 出 力 先 ディレクト リに 出 力 されます 解 析 結 果 レポートには 解 析 結 果 詳 細 情 報 と 検 出 対 象 脆 弱 性 の 説 明 が 表 示 されます 解 析 結 果 情 報 ( 上 段 )では 終 了 ステータス( 完 了 / 中 止 ) 解 析 日 時 解 析 対 象 ファイル 検 出 数 ( 攻 撃 痕 跡 の 件 数 と 攻 撃 が 成 功 した 可 能 性 が 高 い 件 数 )が 表 示 されます(1は 攻 撃 痕 跡 を 検 出 した 場 合 のみ 表 示 ) 検 出 対 象 脆 弱 性 ( 下 段 )では ilogscanner が 検 出 対 象 としている 脆 弱 性 についての 説 明 が 表 示 されます 対 策 の 詳 細 については 下 記 サイトを 参 照 ください IPA セキュリティセンターの 安 全 なウェブサイトの 作 り 方 http://www.ipa.go.jp/security/vuln/websecurity.html IPA セキュリティセンターの セキュア プログラミング 講 座 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/ - 18 -
アクセスログ 解 析 にて Web サイトへの 攻 撃 痕 跡 が 検 出 された 場 合 は 製 作 者 またはセ キュリティベンダーに 相 談 することをお 勧 めします また Web アプリケーション 脆 弱 性 が 存 在 した 場 合 は 脆 弱 性 を 放 置 せず Web アプリケーションを 正 しく 改 修 して 脆 弱 性 がなくなるまで 対 策 を 施 してください 3.7. 解 析 結 果 ログ 解 析 結 果 ログファイルは 攻 撃 詳 細 が 記 載 され 解 析 結 果 レポートと 同 じディレクト リに 出 力 されます 解 析 結 果 ログファイルの 形 式 は 以 下 のとおりです 1 2 3 4 5 6 1は 攻 撃 痕 跡 を 検 出 したファイル 名 が 出 力 されます 2は 検 出 した 行 番 号 が 出 力 され ます 3は 検 出 した 脆 弱 生 項 目 名 が 出 力 されます 4は 攻 撃 された 可 能 性 が 高 い 場 合 に が 出 力 されます 5は 検 出 されたアクセスログが 出 力 されます 6には 内 部 で 使 用 するコードが 出 力 されます - 19 -
4. FAQ ilogscanner に 関 する FAQ です 4.1. ilogscanner とは 何 ですか? ilogscanner は Web サーバのアクセスログから Web アプリケーション 脆 弱 性 を 狙 った 攻 撃 と 思 われる 痕 跡 を 検 出 する 為 のツールです 今 までは 特 別 なスキルが 必 要 だった Web サーバのアクセスログ 解 析 が ilogscanner を 使 えば 誰 でも 簡 単 に 行 うことができ 今 すぐ 危 険 な 攻 撃 と 思 われる 痕 跡 の 有 無 を 確 認 す ることが 出 来 ます 攻 撃 と 思 われる 痕 跡 の 有 無 を 確 認 することにより 必 要 なセキュリティ 対 策 が 明 らかに なります o 攻 撃 と 思 われる 痕 跡 を 全 て 網 羅 し 確 実 に 検 出 するものではありません また 誤 検 出 の 場 合 もあります o ilogscanner で 攻 撃 が 検 出 された 場 合 や 特 に 攻 撃 が 成 功 した 可 能 性 が 検 出 さ れた 場 合 は ウェブサイトの 開 発 者 やセキュリティベンダーに 相 談 されることを 推 奨 します o ilogscanner は 簡 易 ツールであり SQL インジェクション 等 の 攻 撃 のアクセス ログが 無 ければ 脆 弱 性 を 検 出 しません また 実 際 の 攻 撃 による 脆 弱 性 検 査 は 行 っていません 攻 撃 が 検 出 されない 場 合 でも 安 心 せずに ウェブサイトの 脆 弱 性 検 査 を 行 うことを 推 奨 します o 解 析 対 象 アクセスログについて 検 出 が 可 能 な 形 式 がきまっております 必 ず 解 析 対 象 のアクセスログ 詳 細 をご 確 認 ください 形 式 が 異 なる 場 合 脆 弱 性 の 検 出 が 行 われない または 脆 弱 性 が 検 出 されません Web ブラウザ 上 で 実 行 する Java アプレット 形 式 のツールとなっているので ホームペ ージを 見 ることができる 環 境 ならば どこでも 簡 単 に 使 用 することができます 4.2. 検 査 結 果 などのデータを IPA に 送 信 していますでしょうか? 現 在 は クライアントから IPA へデータの 送 信 は 一 切 行 っておりません 4.3. ilogscanner は 無 料 で 使 用 できるのですか? ilogscanner は 無 償 で 提 供 され 情 報 を 一 切 外 部 に 送 信 することが 無 いので 手 軽 にダウンロードして 実 行 することが 出 来 ます 4.4. ilogscanner が 検 出 できる Web アプリケーション 攻 撃 の 種 類 を 教 えてください 次 の 脆 弱 性 を 狙 った Web アプリケーション 攻 撃 の 痕 跡 を 検 出 します(2008 年 11 月 現 在 ) - 20 -
1.SQL インジェクション 2.OS コマンド インジェクション 3.ディレクトリ トラバーサル 4.クロスサイト スクリプティング 5.その 他 o 脆 弱 性 の 概 要 については 知 っていますか? 脆 弱 性 (ぜいじゃくせい) 2 を 参 照 ください o 脆 弱 性 の 対 策 については 安 全 なウェブサイトの 作 り 方 3 を 参 照 ください 4.5. ilogscanner が 動 作 する 環 境 を 教 えてください ilogscanner が 動 作 する 環 境 は 次 を 想 定 しています オペレーティングシステム Microsoft Windows XP Professional SP3 Web ブラウザ Internet Explorer 7 Java 実 行 環 境 (JRE) Sun Microsystems 社 J2SE Runtime Environment(JRE) 5.0 その 他 次 の 環 境 においては 一 部 動 作 可 能 であることを 確 認 しております o 次 に 記 載 した 環 境 での 動 作 を 保 証 するものではございません オペレーティング システム/Web ブラウザ/JRE のバージョン 利 用 者 環 境 等 の 違 いにより 動 作 が 異 なる 場 合 もございますので 予 めご 了 承 ください(2008 年 11 月 現 在 ) Java 実 行 環 オペレーティングシステム Web ブラウザ 境 動 作 (JRE ) 1 JRE 5.0 〇 Internet Explorer 6 2 Microsoft Windows 2000 Professional JRE 6.0 〇 3 SP4 JRE 5.0 〇 FireFox2 4 JRE 6.0 〇 5 JRE 5.0 〇 Internet Explorer 6 6 JRE 6.0 〇 Microsoft Windows XP Professional SP2 7 Internet Explorer 7 JRE 6.0 〇 8 FireFox2 JRE 5.0 2 http://www.ipa.go.jp/security/vuln/vuln_contents/index.html 3 http://www.ipa.go.jp/security/vuln/websecurity.html - 21 -
9 JRE 6.0 10 JRE 5.0 Internet Explorer 7 11 Microsoft Windows Vista Business JRE 6.0 (ⅰ) (ⅰ) 12 JRE 5.0 FireFox2 13 JRE 6.0 14 JRE 5.0 Linux (CentOS 5) FireFox2 15 JRE 6.0 (ⅱ) (ⅱ) 〇 : 正 常 動 作 する : 一 部 をい 除 き 正 常 動 作 する : 動 作 しない JRE : Sun Microsystems 社 J2SE Runtime Environment i) Windows Vista + IE7 で 保 護 モードが 有 効 の 場 合 ilogscanner は 正 常 に 動 作 し ません 保 護 モードを 無 効 にしてしまうと ブラウザを 悪 用 する 不 正 なソフト(ウ イルス スパイウェア)などの 動 きを 抑 えることができなくなってしまいますので セキュリティの 観 点 から Windows Vista + IE7 上 での 実 行 は 推 奨 していません ii) Linux(CentOS 5) の 動 作 について Linux 上 で FireFox3を 使 用 しツールを 実 行 したところ 正 常 に 解 析 処 理 は 行 われますが ユーザが 親 画 面 ( 解 析 開 始 画 面 )を 操 作 することが 出 来 てしまうという 現 象 がみられました 親 画 面 の 中 ではアプレッ ト 部 分 を 操 作 することはできないようにしておりますが その 他 (HTML 部 分 ツ ールバー 等 )は 操 作 が 行 える 為 画 面 遷 移 をしたりブラウザを 閉 じたりすることが できます この 場 合 当 ツールは 強 制 終 了 されますのでご 了 承 ください 4.6. 攻 撃 と 思 われる 痕 跡 はどのように 検 出 しているのですか? Web サーバのアクセスログに 記 録 されたリクエストのクエリ 文 字 列 から Web アプリ ケーションへの 攻 撃 によく 見 られる 文 字 列 が 存 在 した 場 合 に 検 出 しています それぞれの 攻 撃 でよく 見 られる 文 字 列 は 次 のような 意 味 のある 文 字 列 になります 攻 撃 種 別 SQL インジェクション 文 字 列 SQL ステートメントで 使 用 されるキーワード データベースのシステムテーブル 名 SQL ステートメントで 使 用 される 関 数 システムストアドプロシージャ 名 システム 拡 張 ストアドプロシージャ 名 - 22 -
OS コマンド インジェクション ディレクトリ トラバーサル クロスサイト スクリプティング その 他 (IDS 4 回 避 を 目 的 とした 攻 撃 ) コンピュータの 基 本 ソフトウエアを 操 作 するための 命 令 文 やそれらのパラメータ 文 ディレクトリ 操 作 文 スクリプト 関 数 HTML タグ 文 字 列 イベントハンドラ 特 殊 文 字 を 使 用 して 偽 装 した 文 字 列 o o o o 一 般 的 な GET メソッドを 使 用 した Web アプリケーションについて リクエ ストのクエリ 文 字 列 から 攻 撃 と 思 われる 痕 跡 を 検 出 しています 一 般 的 な POST メソッドを 使 用 した Web アプリケーションについては リ クエストのクエリ 文 字 列 がアクセスログに 出 力 されない 為 攻 撃 と 思 われる 痕 跡 を ilogscanner で 検 出 することはできません Web アプリケーションへ 無 差 別 に 攻 撃 するような 一 部 の 攻 撃 は POST メ ソッドによる 攻 撃 の 場 合 でもリクエストのクエリ 文 字 列 がアクセスログに 出 力 される 場 合 がある 為 ilogscanner で 検 出 できる 場 合 があります 攻 撃 が 成 功 した 可 能 性 が 高 いかどうかを 検 出 することができるのは SQL イ ンジェクションの 攻 撃 と 思 われる 痕 跡 からのみとなります 4.7. 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 はどのように 検 出 しているのですか? 攻 撃 を 受 けた 際 Web サーバのアクセスログに 内 部 エラーが 発 生 したログや 攻 撃 成 功 時 に 記 録 されるログなどの 特 徴 的 なログが 記 録 されている 場 合 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 として 検 出 しています o Web アプリケーションの 実 装 や 使 用 するサーバソフトウェアによっては アクセ スログに 特 徴 的 なログが 記 録 されず 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 を 検 出 で きない 場 合 もあります o Web サーバのアクセスログに 記 録 された 攻 撃 の 痕 跡 は 攻 撃 を 受 けたことが 記 録 として 残 っているのみで 攻 撃 を 受 けた 結 果 ( 攻 撃 の 成 功 可 否 )については 記 録 されていません このため ilogscanner の 解 析 だけでは 攻 撃 の 成 功 / 失 敗 に ついて 確 実 な 判 断 をすることはできません o 攻 撃 が 成 功 した 可 能 性 が 高 いかどうかを 検 出 することができるのは SQL インジ ェクションの 攻 撃 と 思 われる 痕 跡 からのみとなります 4 IDS : 侵 入 検 知 システム(Intrusion Detection System) - 23 -
o 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 が 検 出 されない 場 合 でも 攻 撃 と 思 われる 痕 跡 が 検 出 された 場 合 は 製 作 者 またはセキュリティベンダーに 相 談 することをお 勧 めします 4.8. 解 析 結 果 で 攻 撃 があったと 思 われる 痕 跡 が 検 出 されたのですが どうすればよい ですか? 痕 跡 が 検 出 された 場 合 は 製 作 者 またはセキュリティベンダーに 相 談 することをお 勧 め します o なお ilogscanner は 簡 易 ツールであり 実 際 の 攻 撃 による 脆 弱 性 検 査 は 行 って いません 攻 撃 が 検 出 されない 場 合 でも 安 心 せずに ウェブサイトの 脆 弱 性 検 査 を 行 うことをお 勧 めします 4.9. Java アプレット 画 面 が 表 示 されませんが 何 が 原 因 と 考 えられますか? 1.JRE がインストールされていますか? Java アプレットを 動 作 させるためには JRE が 必 要 になります Sun Mic rosystems 社 のダウンロードサイトから J2SE Runtime Environment(JR E) 5.0 をダウンロードしてインストールしてください 2.インストールされている JRE のバージョンが 5.0 より 古 いバージョンではない ですか? ilogscanner が 動 作 する JRE のバージョンは 5.0 となります JRE 5.0 をインストールしてください 3.Web ブラウザのセキュリティ 設 定 で Java アプレットが 起 動 するように 設 定 され ていますか? 操 作 手 順 の 2.2.Web ブラウザの 設 定 を 参 考 にして Java アプレッ トが 起 動 するように 設 定 してください 4.10. 実 行 中 指 定 されたディレクトリは 存 在 しないか 書 き 込 み 権 限 がありません という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? 解 析 結 果 の 出 力 先 として 指 定 されたディレクトリへの 書 き 込 みが 許 可 されていない 可 能 性 があります ディレクトリのセキュリティ 設 定 をご 確 認 ください 4.11. 実 行 中 メモリが 不 足 しています という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? 解 析 するアクセスログファイルに 1 行 が 非 常 に 大 きいログがある 場 合 Java Plug-in でエラーが 発 生 する 場 合 があります この 場 合 Java の 起 動 パラメータ -Xmx(size)m - 24 -
を 指 定 して Java が 使 用 するメモリの 最 大 サイズを 大 きくしてください(デフォルトでは 64MB です) 設 定 方 法 の 例 は 操 作 手 順 の 2.3.Java の 設 定 をご 確 認 ください 4.12. 実 行 中 システムエラーが 発 生 しました という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? エラーメッセージに 記 載 されているエラーコードをメモとしてお 控 えいただき 下 記 の お 問 合 わせ 先 へご 連 絡 ください 4.13. 実 行 画 面 の 表 示 で 英 数 字 以 外 の 文 字 が 全 て" "で 表 示 されてしまいます どうすれ ばよいですか? 利 用 環 境 は Vline Linux4.2/FireFox2.0/JRE6 です 詳 細 は Tips 集 に 記 載 しております 操 作 手 順 の 4.Tips 集 をご 確 認 ください 4.14. ilogscanner が 動 作 しません 利 用 環 境 は WinXP/Firefox/JRE6 です どうすれ ばよいですか? JRE6 のバージョンは 新 しいでしょうか JRE6 の 古 いバージョンにて FireFox で Java アプレットを 起 動 した 際 FireFox がハ ングアップする 現 象 が 確 認 されております JRE6 update6 以 降 にアップデートしてください 4.15. SQL インジェクションによるホームページ 改 ざん 行 為 は ilogscanner で 検 出 できるでしょうか? SQL インジェクションによるホームページ 改 ざん 行 為 が 行 われたことを 検 出 する ことはできません 改 ざん 行 為 が 行 われた 可 能 性 が 高 い 痕 跡 を 検 出 することはできます 4.16. 実 行 中 ファイルまたはディレクトリが 存 在 していません という 旨 のメッセ ージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? 実 行 途 中 でファイルまたはディレクトリが 消 された 可 能 性 があります 選 択 したファイ ルまたはディレクトリを 確 認 してください 4.17. 実 行 中 入 力 ファイルのログタイプ 形 式 が 不 正 です という 旨 のメッセージが 表 示 され 解 析 処 理 が 行 われません どうすればよいですか? アクセスログのログタイプが 異 なるか または 必 須 項 目 が 出 力 されていない 可 能 性 があ ります アクセスログについての 詳 細 は 解 析 対 象 のアクセスログ 詳 細 をご 確 認 くだ さい - 25 -
4.18. 実 行 中 当 ツールを 実 行 する 許 可 が 取 消 しされました という 旨 のメッセージ が 表 示 され 処 理 が 中 止 されました どうすればよいですか? 実 行 時 に 表 示 された 署 名 確 認 画 面 でキャンセルを 選 択 されませんでしたでしょうか 署 名 確 認 画 面 がキャンセルされた 場 合 は 当 ツールは 実 行 されません ツール 実 行 時 に 表 示 された 署 名 確 認 画 面 の 署 名 内 容 を 必 ず 確 認 してください 一 度 Web ブラウザを 閉 じ 再 度 Web ブラウザを 起 動 をしていただく 必 要 があり ます 4.19. アクセスログの 解 析 にはどのくらい 時 間 がかかりますか? それぞれ あるサーバの 1 週 間 分 毎 のログを 解 析 した 事 例 を 記 載 します 解 析 事 例 -1 o 解 析 用 アクセスログファイル Apache1.3 系 /2.0 系 /2.2 系 の common 形 式 のアクセスログファイル Apache-1:ファイルサイズ 64MB/259K 行 ( 攻 撃 検 出 数 0 件 ) Apache-2:ファイルサイズ 61MB/253K 行 ( 攻 撃 検 出 数 18 件 ) Apache-3:ファイルサイズ 48MB/200K 行 ( 攻 撃 検 出 数 144 件 ) Apache-4:ファイルサイズ 58MB/234K 行 ( 攻 撃 検 出 数 160 件 ) o ilogscanner の 動 作 環 境 CPU: Memory: OS: Java ランタイムパラメータ: Intel Core2 CPU 6600 2.4GHz 2GB Microsoft Windows XP Professional SP2 最 大 ヒープサイズ 256MB(-Xmx256m) o 解 析 時 間 Apache-1:12 分 Apache-2:13 分 Apache-3:10 分 Apache-4:12 分 解 析 事 例 -2-26 -
o 解 析 用 アクセスログファイル Apache1.3 系 /2.0 系 /2.2 系 の common 形 式 のアクセスログファイル Apache-5:ファイルサイズ 126MB/494K 行 Apache-6:ファイルサイズ 160MB/632K 行 o ilogscanner の 動 作 環 境 CPU: Memory: OS: Java ランタイムパラメータ: Intel Core2 DUO 2.1GHz 1.47GB Microsoft Windows XP Professional SP3 最 大 ヒープサイズ 256MB(-Xmx256m) o 解 析 時 間 Apache-5:34 分 Apache-6:44 分 各 自 の 動 作 させる 環 境 によって 時 間 の 差 異 は 発 生 します ご 了 承 下 さい 4.20. 実 行 中 入 力 ファイルに 必 須 のカラムデータが 存 在 していません という 旨 の メッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? Web サーバのアクセスログかどうか 今 一 度 ご 確 認 をお 願 いいたします また アクセス ログのログタイプが 異 なるか 必 須 項 目 が 出 力 されていない 可 能 性 もありますので ログ の 項 目 の 確 認 をお 願 いいたします アクセスログについての 詳 細 は 解 析 対 象 のアクセ スログ 詳 細 をご 確 認 ください 4.21. 今 回 のバージョンアップで 追 加 した 機 能 は 何 ですか 今 回 のバージョンアップで 追 加 した 機 能 の 内 容 は 以 下 の 通 りです 1. より 多 くの 脆 弱 性 を 検 出 できるようになりました SQL インジェクションの 検 出 パターンを 増 加 OS コマンド インジェクションを 検 出 する 処 理 を 追 加 ディレクトリ トラバーサルを 検 出 する 処 理 を 追 加 クロスサイト スクリプティングを 検 出 する 処 理 を 追 加 - 27 -
その 他 (IDS 5 回 避 を 目 的 とした 攻 撃 )を 検 出 する 処 理 を 追 加 2. 解 析 対 象 アクセスログを 増 やしました IIS5.1/7.0 の W3C 拡 張 ログファイルタイプのアクセスログ 解 析 処 理 の 追 加 3. 動 作 するプラットフォームを 拡 大 しました Linux 系 OS 上 での 動 作 確 認 他 IE 以 外 のブラウザでの 動 作 確 認 5 IDS : 侵 入 検 知 システム(Intrusion Detection System) - 28 -
5. Tips 集 ilogscanner が 公 開 されてからあった 問 合 せのあったものや 参 考 資 料 を Tips 集 として 記 載 しております (2008 年 11 月 現 在 ) 5.1. VlineLinux4.2 + FireFox2.0 +JRE6 においての 文 字 化 け 対 応 VlineLinux4.2 + FireFox2.0 +JRE6 の 動 作 環 境 において Java アプレットの 日 本 語 表 示 で 英 数 字 以 外 の 文 字 が 全 て" "で 表 示 されてしまう 現 象 の 対 応 方 法 について 以 下 に 文 字 化 けが 解 消 した 事 例 を 記 載 します 1.ディレクトリ 作 成 # mkdir /usr/java/jrexxxxx/lib/fonts/fallback 2.ディレクトリ 移 動 して # cd /usr/java/jrexxxxx/lib/fonts/fallback 3.フォントのシンボリックリンクを 張 る # ln -s /usr/share/fonts/alias/truetype/*.ttf. 4.Firefox を 再 起 動 参 考 URL:http://java.sun.com/j2se/1.5.0/ja/relnotes.html#linux 5.2. IIS7.0 での W3C フィールとの 設 定 方 法 について IIS6.0 までと IIS7.0 以 降 で 設 定 方 法 が 変 わります IIS7.0 の 設 定 方 法 ですが マイク ロソフトの 技 術 情 報 サイトに 詳 細 な 設 定 方 法 が 記 述 されています 以 下 に URL を 記 載 し ますのでそちらの 情 報 を 参 考 にしてください URL: http://www.microsoft.com/japan/technet/windowsserver/2008/library/d0 de9475-0439-4ec1-8337-2bcedacd15c7.mspx?mfr=true SQL インジェクション 検 出 ツール ilogscanner 取 扱 説 明 書 -ウェブサーバのアクセスログを 解 析 して 脆 弱 性 を 狙 った 攻 撃 の 検 出 を 簡 易 に 行 うツール- [ 発 行 ]2008 年 4 月 18 日 ilogscanner V1.0 版 2008 年 11 月 11 日 ilogscanner V2.0 版 [ 発 行 者 ] 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター - 29 -