ウェブサイト 攻 撃 の 検 出 ツール ilogscanner V3.0 ウェブサーバのアクセスログを 解 析 して 脆 弱 性 を 狙 った 攻 撃 の 検 出 を 簡 易 に 行 うツール 取 扱 説 明 書 2010 年 8 月
取 扱 説 明 編 目 次 1. はじめに...1 1.1. このプログラムの 目 的...1 1.2. 機 能 概 要...1 1.3. 解 析 対 象 のウェブアプリケーション 攻 撃...1 1.3.1 各 脆 弱 性 の 説 明...2 2. 動 作 環 境 について...4 2.1. 動 作 環 境...4 2.2. ウェブブラウザの 設 定...5 2.3. Javaの 設 定...7 2.4. アプレットへの 署 名 確 認...8 2.5. アクセスログファイル 形 式...8 2.6. エラーログファイル 形 式...13 3. ilogscanner 基 本 操 作...14 3.1. 初 期 画 面 表 示...14 3.2. アクセスログファイルの 設 定...15 3.3. 解 析 結 果 出 力 先 ディレクトリの 指 定...16 3.4. オプション 設 定...17 3.5. 解 析 開 始...21 3.6. 解 析 終 了...23 3.7. 解 析 結 果 レポート...25 3.8. 解 析 結 果 ログ...27 4. ilogscanner ModSecurity 対 応 機 能...28 4.1. 初 期 画 面 表 示...28 4.2. 解 析 対 象 ファイルの 指 定...29 4.3. 解 析 結 果 出 力 先 ディレクトリの 指 定...30 4.4. オプション 指 定...30 4.5. 解 析 開 始...31 4.6. 解 析 終 了...34 4.7. 解 析 結 果 レポート...36 4.8. 解 析 結 果 ログ...37 4.9. ログ 統 計 情 報 レポート 出 力 機 能...39 5. FAQ...44 5.1. ilogscannerとは 何 ですか?...44 5.2. ilogscannerは 無 料 で 使 用 できるのですか?...44 - i -
取 扱 説 明 編 5.3. ilogscannerが 検 出 できるウェブアプリケーション 攻 撃 の 種 類 を 教 えてください 44 5.4. ilogscannerが 動 作 する 環 境 を 教 えてください...45 5.5. 攻 撃 と 思 われる 痕 跡 はどのように 検 出 しているのですか?...47 5.6. 解 析 レベルを 詳 細 に 設 定 したときに 行 われる 攻 撃 が 行 われている 可 能 性 はどのように 検 出 しているのですか?...48 5.7. 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 はどのように 検 出 しているのですか?...49 5.8. 解 析 結 果 で 攻 撃 があったと 思 われる 痕 跡 が 検 出 されたのですが どうすればよい ですか?...49 5.9. 解 析 することができるエラーログを 出 力 するModSecurityのバージョンは?...50 5.10. 攻 撃 があったと 思 われる 件 数 があるのに その 内 ModSecurityで 検 出 遮 断 し た 件 数 が 0 件 なのですがどうしてでしょうか?...50 5.11. Javaアプレット 画 面 が 表 示 されませんが 何 が 原 因 と 考 えられますか?...51 5.12. 実 行 中 入 力 されたログフォーマットが 不 正 です という 旨 のメッセージが 表 示 されます どうすればよいですか?...51 5.13. 実 行 中 指 定 されたディレクトリは 存 在 しないか 書 き 込 み 権 限 がありませ ん という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? 5.14. 51 実 行 中 メモリが 不 足 しています という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?...52 5.15. 実 行 中 システムエラーが 発 生 しました という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?...52 5.16. 実 行 画 面 の 表 示 で 英 数 字 以 外 の 文 字 が 全 て" "で 表 示 されてしまいます どうす ればよいですか? 利 用 環 境 は Vline Linux4.2/FireFox2.0/JRE5 です...52 5.17. ilogscannerが 動 作 しません 利 用 環 境 は WinXP/Firefox/JRE6 です どうす ればよいですか?...52 5.18. SQLインジェクションによるホームページ 改 ざん 行 為 はiLogScannerで 検 出 できるでしょうか?...52 5.19. 検 査 結 果 などのデータをIPAに 送 信 していますでしょうか?...52 5.20. 実 行 中 ファイルまたはディレクトリが 存 在 していません という 旨 のメッ セージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?...52 5.21. 実 行 中 入 力 ファイルのログタイプ 形 式 が 不 正 です という 旨 のメッセージ が 表 示 され 解 析 処 理 が 行 われません どうすればよいですか?...53 5.22. 実 行 中 入 力 ファイルに 必 須 のカラムデータが 存 在 していません という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか?...53 5.23. 実 行 中 当 ツールを 実 行 する 許 可 が 取 消 しされました という 旨 のメッセー - ii -
取 扱 説 明 編 ジが 表 示 され 処 理 が 中 止 されました どうすればよいですか?...53 5.24. 解 析 にはどのくらい 時 間 がかかりますか?...53 5.25. 今 回 のバージョンアップで 追 加 した 機 能 は 何 ですか...54 6. Tips 集...56 6.1. VlineLinux4.2 + FireFox2.0 +JRE5 においての 文 字 化 け 対 応...56 6.2. IIS7.0 でのW3Cフィールとの 設 定 方 法 について...56 - iii -
1. はじめに 1.1. このプログラムの 目 的 IPA では ウェブアプリケーションに 対 してどれほどの 攻 撃 を 受 けているのか ウェブ サイト 管 理 者 が 簡 単 に 状 況 を 把 握 できる 手 段 を 提 供 していく 必 要 があると 考 えています そこで ウェブサイトのアクセスログを 解 析 することで そのサイトへの 攻 撃 痕 跡 を 確 認 でき 一 部 の 痕 跡 に 関 しては 攻 撃 が 成 功 した 可 能 性 を 確 認 できるツール ilogscanner を 開 発 しました ウェブサイトへの 攻 撃 が 成 功 した 可 能 性 が 確 認 された 場 合 は ウェブ アプリケーションに 潜 む 脆 弱 性 を 確 認 する 事 ができると 共 に インターネットに 公 開 し ているウェブサイトがどれほど 危 険 であるかを 認 知 してもらい ウェブサイト 管 理 者 や 経 営 者 に 対 して 警 告 を 発 し 対 策 を 講 じるきっかけとなる 事 が 期 待 できます 1.2. 機 能 概 要 ilogscannerおよびilogscanner ModSecurity * 対 応 機 能 は 利 用 者 がウェブブラウザ を 利 用 してIPAのウェブサイトからダウンロードし 利 用 者 のウェブブラウザ 上 で 実 行 す るJavaアプレット 形 式 のプログラムです ilogscanner は 利 用 者 が 用 意 したウェブサーバのアクセスログファイルを 解 析 し ウェブアプリケーションへの 攻 撃 の 有 無 を 解 析 結 果 レポートとして 出 力 します ilogscanner ModSecurity 対 応 機 能 は 利 用 者 が 用 意 したウェブサーバの Apache ア クセスログファイルおよび ModSecurity のエラーログファイルを 解 析 し ウェブアプリ ケーションへの 攻 撃 の 有 無 を 解 析 結 果 レポートまたは 統 計 情 報 レポートとして 出 力 しま す 1.3. 解 析 対 象 のウェブアプリケーション 攻 撃 ilogscanner は 次 の 脆 弱 性 を 狙 ったウェブアプリケーション 攻 撃 の 痕 跡 と 攻 撃 が 成 功 した 可 能 性 を 検 出 します(2010 年 05 月 現 在 ) ウェブアプリケーション 攻 撃 の 痕 跡 と 攻 撃 が 成 功 した 可 能 性 を 検 出 SQL インジェクション ウェブアプリケーション 攻 撃 の 痕 跡 を 検 出 OS コマンド インジェクション ディレクトリ トラバーサル クロスサイト スクリプティング * ModSecurity:Breach Security 社 が 提 供 するWAFの 機 能 を 有 するソフトウェア - 1 -
その 他 (IDS * 回 避 を 目 的 とした 攻 撃 ) 詳 細 レベルの 検 出 対 象 同 一 IP アドレスから 同 一 URL に 対 する 攻 撃 の 可 能 性 アクセスログに 記 録 されない SQL インジェクションの 兆 候 Web サーバの 設 定 不 備 を 狙 った 攻 撃 の 可 能 性 1.3.1 各 脆 弱 性 の 説 明 SQL インジェクション とは データベースと 連 携 したウェブアプリケーションに 問 合 せ 命 令 文 の 組 み 立 て 方 法 に 問 題 があるとき ウェブアプリケーションへ 宛 てた 要 求 に 悪 意 を 持 って 細 工 された SQL 文 を 埋 め 込 まれて(Injection)しまうと データベース を 不 正 に 操 作 されてしまう 問 題 です これにより データベースが 不 正 に 操 作 され ウェブサイトは 重 要 情 報 などが 盗 まれたり 情 報 が 書 き 換 えられた りといった 被 害 を 受 けてしまう 場 合 があります OS コマンド インジェクション とは ウェブサーバ 上 の 任 意 の OS コマンドが 実 行 されてしまう 問 題 です これに より ウェブサーバを 不 正 に 操 作 され 重 要 情 報 などが 盗 まれたり 攻 撃 の 踏 み 台 に 悪 用 される 場 合 があります ディレクトリ トラバーサル とは 相 対 パス 記 法 を 利 用 して 管 理 者 が 意 図 していないウェブサーバ 上 のファイ ルやディレクトリにアクセスされたり アプリケーションを 実 行 される 問 題 です これらにより 本 来 公 開 を 意 図 しないファイルが 読 み 出 され 重 要 情 報 が 盗 まれたり 不 正 にアプリケーションを 実 行 されファイルが 破 壊 される などの 危 険 があります クロスサイト スクリプティング とは ウェブサイトの 訪 問 者 の 入 力 をそのまま 画 面 に 表 示 する 掲 示 板 などが 悪 意 あるスクリプト( 命 令 )を 訪 問 者 のブラウザに 送 ってしまう 問 題 です これ により アンケート 掲 示 板 サイト 内 検 索 など ユーザからの 入 力 内 容 を ウェブページに 表 示 するウェブアプリケーションで 適 切 なセキュリティ 対 策 がされていない 場 合 悪 意 を 持 ったスクリプト( 命 令 )を 埋 め 込 まれてし まい ウェブページを 表 示 した 訪 問 者 のプラウザ 環 境 でスクリプトが 実 行 さ * IDS: 侵 入 検 知 システム(Intrusion Detection System) - 2 -
れてしまう 可 能 性 があります その 結 果 として cookie などの 情 報 の 漏 洩 や 意 図 しないページの 参 照 が 行 われてしまいます 相 対 パス 記 法 を 利 用 して 管 理 者 が 意 図 していないウェブサーバ 上 のファイルやディレクトリにアクセ スされたり アプリケーションを 実 行 される 問 題 です これらにより 本 来 公 開 を 意 図 しないファイルが 読 み 出 され 重 要 情 報 が 盗 まれたり 不 正 にア プリケーションを 実 行 されファイルが 破 壊 されるなどの 危 険 があります その 他 (IDS 回 避 を 目 的 とした 攻 撃 ) とは 16 進 コード 親 パス 等 の 特 殊 文 字 を 使 用 して 偽 装 した 攻 撃 用 文 字 列 で 攻 撃 が 行 われることによりアプリケーションの 妥 当 性 チェック 機 構 を 迂 回 し SQL インジェクション クロスサイト スクリプティング 等 の 攻 撃 を 行 うこ とを 狙 ったものです また ワームなどが 悪 用 するウェブサーバの 脆 弱 性 を 突 いた 攻 撃 でも このような 特 殊 文 字 が 使 われます それぞれの 攻 撃 に 応 じ た 対 策 が 必 要 になります 同 一 IP アドレスからの 攻 撃 の 可 能 性 同 一 の IP アドレスからの 攻 撃 痕 跡 が 一 定 件 数 に 達 しています 基 準 値 を 超 えているため 攻 撃 を 受 けている 可 能 性 があります アクセスログに 記 録 されない SQL インジェクションの 兆 候 ウェブサーバが SQL インジェクション の 攻 撃 の 影 響 を 受 けている 可 能 性 を 示 すものです 同 一 IP アドレスから 行 われたリクエストに 対 するウェブサ ーバからのエラー 応 答 が 基 準 値 に 達 しています Web サーバの 設 定 不 備 を 狙 った 攻 撃 の 可 能 性 Web サーバの 設 定 不 備 を 狙 った 攻 撃 を 受 けている 可 能 性 があります 対 象 となる 設 定 不 備 は 以 下 の 通 りです PUT メソッドの 設 定 不 備 FrontPage Server Extensions の 設 定 不 備 Tomcat の 設 定 不 備 脆 弱 性 については IPA セキュリティセンターの 知 っていますか? 脆 弱 性 (ぜいじ ゃくせい) http://www.ipa.go.jp/security/vuln/vuln_contents/index.htmlで 解 説 が 行 わ れていますので ご 参 照 ください - 3 -
2. 動 作 環 境 について 2.1. 動 作 環 境 ilogscanner が 動 作 する 環 境 は 以 下 を 想 定 しています CPU 搭 載 メモリ オペレーティングシステム Intel Pentium4 2.8Ghz 以 上 を 推 奨 1GB 以 上 を 推 奨 Microsoft Windows XP Professional SP2 SP3 ウェブブラウザ Internet Explorer 7 Sun Microsystems 社 Java 実 行 環 境 (JRE) J2SE Runtime Environment(JRE) 6.0 JRE 6.0 ダウンロードサイトは http://java.sun.com/javase/ja/6/download.html にな ります その 他 以 下 の 環 境 においては 一 部 動 作 可 能 であることを 確 認 しております 以 下 に 記 載 した 環 境 での 動 作 を 保 証 するものではございません オペレーティン グシステム/ウェブブラウザ/JREのバージョン 利 用 者 環 境 等 の 違 いにより 動 作 が 異 なる 場 合 もございますので 予 めご 了 承 ください(2010 年 05 月 現 在 ) オペレーティングシステム ウェブブラウザ Java 実 行 環 境 (JRE) 動 作 1 Microsoft Windows XP Internet Explorer 6 JRE 6.0 2 Professional SP2 Internet Explorer 7 JRE 6.0 3 Internet Explorer 8 JRE 6.0 4 Firefox 3 JRE 6.0 5 Microsoft Windows XP Internet Explorer 6 JRE 6.0 6 Professional SP3 Internet Explorer 7 JRE 6.0 7 Internet Explorer 8 JRE 6.0 8 Firefox 3 JRE 6.0 9 Microsoft Windows7 Internet Explorer 8 JRE 6.0 10 Professional Firefox 3 JRE 6.0 11 Microsoft Windows Vista Firefox 3 JRE 6.0 Business 1 12 Linux(CentOS 5) Firefox 3 JRE 6.0 2 : 正 常 動 作 する : 一 部 を 除 き 正 常 動 作 する : 正 常 動 作 しない - 4 -
補 足 事 項 1 Windows Vista について Windows Vista + Internet Explorer 7 では 初 期 設 定 で 保 護 モード が 有 効 となっ ている 為 ilogscanner を 正 常 に 動 作 させることができません 保 護 モード を 無 効 にすると ブラウザを 悪 用 する 不 正 なソフト(ウイルス スパイウェア)などの 動 きを 抑 えることができなくなってしまいますので セキュリティの 観 点 から Windows Vista + Internet Explorer 7 上 での 実 行 は 推 奨 しておりません また Windows Vista はブ ラウザが Firefox3 であればユーザの 権 限 に 関 わらず 正 常 動 作 します しかし Internet Explorer 7( 保 護 モード ON) 使 用 時 と 比 較 するとセキュリティ 性 が 高 くない 為 Firefox での 実 行 は 推 奨 していません 2 Linux(CentOS 5) の 動 作 について Linux 上 で FireFox3 を 使 用 しツールを 実 行 したところ ModSecurity 版 の 解 析 にお いてアクセスログとエラーログのマージが 行 われない 現 象 がありました (マージの 部 分 で 各 脆 弱 性 が 検 出 されるはずの その 内 ModSecurity で 検 出 遮 断 した 件 数 が 検 出 されず 0 件 になってしまう)ModSecurity 版 でのその 他 の 動 作 ( 通 常 解 析 と 統 計 情 報 ) は 正 常 に 動 作 しております JRE6.0 になって Firefox へのプラグインがいままでと 変 わっていることが 影 響 していると 推 測 されます そのため Linux 上 での 実 行 は 推 奨 し ておりません 2.2. ウェブブラウザの 設 定 JavaアプレットであるiLogScannerを 実 行 するために ウェブブラウザ(Internet Explorer 7)が 次 の 設 定 になっていることを 確 認 してください 設 定 を 変 更 する 場 合 は 利 用 終 了 後 に 既 存 の 設 定 に 戻 せるように 現 在 の 設 定 をメモしておき 利 用 終 了 後 に 設 定 を 既 存 の 値 に 変 更 してください また 設 定 を 変 更 した 場 合 は Internet Explorer 7 を 再 起 動 して 設 定 を 反 映 させる 必 要 があります (1) Internet Explorer 7 のメニューから ツール -> インターネットオプション を 開 き 詳 細 設 定 タブの Java の 設 定 項 目 にチェックが 入 っていることを 確 認 してください(Sun Microsystems 社 J2SE Runtime Environment(JRE) をインストールすると 初 期 設 定 でチェックが 入 っています) J2SE Runtime Environment(JRE) 6.0 Update 17 がインストールされている 場 合 は 次 の 画 像 のようになります - 5 -
(2) インターネットオプション の セキュリティ タブを 開 き インターネ ット ゾーンを 選 び このゾーンのセキュリティのレベル が 中 高 ( 既 定 の レベル) になっていることを 確 認 してください(Internet Explorer 7 では インターネットゾーンのセキュリティレベルの 初 期 設 定 は 中 高 になります) - 6 -
補 足 事 項 インターネットオプション の セキュリティ の 設 定 で セキュリティ レベル 高 にしている 場 合 またはセキュリティレベル 高 を 基 本 に レ ベルのカスタマイズ で 任 意 の 設 定 をしている 場 合 ilogscanner は 起 動 しま せん インターネットオプション の セキュリティ の 設 定 で インターネッ ト ゾーンのセキュリティレベルの 設 定 を 変 更 したくない 場 合 は 信 頼 済 みサ イト ゾーンを 選 び サイト ボタンをクリックし 信 頼 済 みサイトとして https://www.ipa.go.jp を 追 加 した 上 で このゾーンのセキュリティのレベ ル を 中 高 または 中 にしてください この 設 定 にした 場 合 は ilogscanner のウェブページ 接 続 時 に https://www.ipa.go.jp で 接 続 してください 2.3. Javaの 設 定 Java に 関 する 設 定 は 特 に 必 要 ありません ilogscanner 実 行 中 に メモリが 不 足 しています という 旨 のエラーメッセージが 表 示 され 処 理 が 中 止 された 場 合 は 次 の 設 定 で Java が 使 用 するメモリの 最 大 サイズを 大 き くしてください(デフォルトでは 64MB です) (1) コントロールパネルの Java より Java コントロールパネル を 開 きます Java タブをクリックし Java アプレットのランタイム 設 定 の 表 示 ボタンをクリックし Java ランタイム 設 定 画 面 を 開 きます - 7 -
(2) Java ランタイム 設 定 画 面 の Java ランタイムパラメータ に -Xmx(size)m を 入 力 します( 下 記 画 像 の 例 は 128MB の 場 合 ) 何 も 入 力 し ない 場 合 (デフォルト) Java が 使 用 するメモリの 最 大 サイズは 64MB です 2.4. アプレットへの 署 名 確 認 ilogscanner は 電 子 署 名 された Java アプレット 形 式 のプログラムです このため ilogscanner 実 行 時 に 実 行 されるアプレットを 信 頼 するかどうかのセキュリティ 警 告 画 面 が 表 示 されます セキュリティ 警 告 画 面 では 名 前 発 行 者 ダウンロード 元 を 確 認 し このアプレ ットが IPA から 提 供 されていることを 確 認 してください 詳 細 情 報 を 確 認 する 場 合 は 証 明 書 の 詳 細 をクリックし 発 行 者 が 信 頼 される 機 関 であることと 有 効 期 限 が 切 れてい ないことを 確 認 してください 電 子 署 名 を 確 認 後 は 実 行 ボタンを 押 して ilogscanner を 実 行 してください 注 意 :セキュリティ 警 告 画 面 にて 実 行 ボタンが 押 されなかった 場 合 ilogscanner は 動 作 しません 2.5. アクセスログファイル 形 式 ilogscanner は 以 下 のウェブサーバソフトウェアのアクセスログフォーマットに 対 応 しております ウェブサーバソフトウェア Microsoft インターネット インフォメーション サービス(IIS 5.0 5.1 6.0 7.0) Microsoft インターネット インフォメーション サービス(IIS 5.0 5.1 6.0 7.0) Apache HTTP Server(1.3 系 2.0 系 2.2 系 ) アクセスログフォーマット W3C 拡 張 ログファイル 形 式 IIS ログファイル 形 式 Common Log Format - 8 -
ilogscanner では アクセスログに 出 力 された GET メソッドのクエリ 文 字 列 を 解 析 し ます POST メソッドはアクセスログにクエリ 文 字 列 が 出 力 されない 為 POST メソッド を 使 用 したウェブアプリケーションへの 攻 撃 痕 跡 の 検 出 には 対 応 しておりません (1) W3C 拡 張 ログファイル 形 式 インターネット インフォメーション サービス (IIS) マネージャ の Web サイトのプロパティより アクティブ ログ 形 式 が W3C 拡 張 ログ ファイル 形 式 になっている 必 要 があります ( 画 面 は IIS6.0 のプロパティになります) また アクティブ ログ 形 式 のプロパティにある 拡 張 ログ オプションにおい て 次 の 必 須 項 目 が 有 効 になっている 必 要 があります 必 須 項 目 日 付 (date) 時 間 (time) クライアント IP アドレス(c-ip) ユーザ 名 (cs-username) サーバ IP アドレス(s-ip) サーバポート(s-port) メソッド(cs-method) URI Stem(cs-uri-stem) - 9 -
URI クエリ(cs-uri-query) プロトコルの 状 態 (sc-status) ユーザエージェント(cs(User-Agent)) (2) IIS ログファイル 形 式 インターネット インフォメーション サービス (IIS) マネージャ の Web サイトのプロパティより アクティブ ログ 形 式 が Microsoft IIS ログ ファイ ル 形 式 になっている 必 要 があります ( 画 面 は IIS6.0 のプロパティになります) 以 下 は IIS5.0/5.1/6.0/7.0 の IIS ログファイル 形 式 のログ 項 目 一 覧 です IIS5.0/5.1/6.0/7.0 の IIS ログ 項 目 一 覧 クライアント IP アドレス ユーザ 名 要 求 日 付 要 求 時 刻 サービス 名 サーバ IP アドレス 処 理 時 間 受 信 バイト 数 送 信 バイト 数 - 10 -
サービス 状 態 コード システム 状 態 コード メソッド URI Stem URI クエリ (3) Common Log Format Apache HTTP Server の 設 定 で Common Log Format(デフォルトで 定 義 さ れているニックネーム common 形 式 )のアクセスログが 出 力 されている 必 要 があります また 先 頭 からの 書 式 が Common Log Format と 同 じ Combined Log Format(デフォルトで 定 義 されているニックネーム combined 形 式 )で あれば 解 析 することが 可 能 です Apache HTTP Server のアクセスログ 出 力 設 定 例 LogFormat "%h %l %u %t "%r " %>s %b" common CustomLog logs/access_log common Apache HTTP Server の Common Log Format(CLF) 書 式 フォーマット 文 字 列 説 明 %h リモートホスト %l (identd からもし 提 供 されていれば)リモートログ 名 %u リモートユーザ %t リクエストを 受 付 けた 時 刻 CLF の 時 刻 の 書 式 ( 標 準 の 英 語 の 書 式 ) "%r " リクエストの 最 初 の 行 %>s 最 後 のステータス %b レスポンスのバイト 数 HTTP ヘッダは 除 く CLF 書 式 表 2-5-CLF (4) Apache アクセスログのフォーマット 指 定 Apache アクセスログのフォーマットが 指 定 できます そのため 記 録 項 目 お よび 順 序 がカスタマイズされている Apache アクセスログを 解 析 することがで きます 表 2-5-CLF の 項 目 を 必 須 項 目 と 定 義 とします また 各 項 目 の 区 切 り 文 字 として 半 角 スペース が 設 定 されている 必 要 があります - 11 -
入 力 例 )LogFormat "%t %h %l %u "%r " %>s %b" common Apache HTTP Server の 設 定 で 設 定 できる 書 式 指 定 子 ( 以 下 の 入 力 可 能 な 書 式 指 定 子 に 示 す 項 目 )のみ 入 力 可 能 とします 入 力 可 能 な 書 式 指 定 子 %h %l %u %t %r %s %b %% %a %A %B %C %D %e %f %i %m %n %o %p %P %q %T %U %v %V %X %I %O %{Foobar}C %{Foobar}e %{Foobar}i %{Foobar}n %{Foobar}o Foobar は 任 意 の 文 字 列 - 12 -
2.6. エラーログファイル 形 式 ilogscanner は 以 下 のウェブサーバソフトウェアのエラーログフォーマットに 対 応 し ております ウェブサーバソフトウェア エラーログフォーマット ModSecurity2.5 系 が 出 力 するエ Apache HTTP Server(2.0 系 2.2 系 ) ラーログ 形 式 (1) ModSecurity2.5 系 が 出 力 するエラーログ 形 式 ModSecurity2.5 系 が 出 力 する Apache のエラーログ 形 式 で ModSecurity の 設 定 で 次 の 必 須 項 目 が 有 効 になっている 必 要 があります 必 須 項 目 項 目 概 要 例 アクセス 日 時 Sat Dec 12 11:20:50 2009 Apache のエラーレベル error アクセス 元 IP アドレス client 192.168.1.1 タグ tag WEB_ATTACK/SQL_INJECTION リクエスト URI uri "/query.php" リクエストの 固 有 番 号 unique_id "Sjr2An8AAAEAABJlx2kAAAAJ" ModSecurity による Apache エラーログの 出 力 例 [Sat Dec 12 11:20:50 2009] [error] [client 192.168.1.1] ModSecurity: Warning. Pattern match "(?:\\b(?:(?:s(?:elect\\b(?:.{1,100}?\\b(?:(?:length count top)\\ b.{1,100}?\\bfrom from\\b.{1,100}?\\bwhere).*?\\b(?:d(?:ump\\b.*\\bfrom ata_t ype) (?:to_(?:numbe cha) inst)r)) p_(?:(?:addextendedpro sqlexe)c (?:oacreat p repar)e execute(?:sql)? makewebtask) ql_(?..." at ARGS:id. [file "/usr/local/apa che2/conf/modsec2/modsecurity_crs_40_generic_attacks.conf"] [line "66"] [id "950 001"] [msg "SQL Injection Attack"] [data "or 1="] [severity "CRITICAL"] [tag "WEB_AT TACK/SQL_INJECTION"] [hostname "centos5.localdomain"] [uri "/query.php"] [unique _id "Sjr2An8AAAEAABJlx2kAAAAJ"] - 13 -
3. ilogscanner 基 本 操 作 ilogscanner は 指 定 したアクセスログの 解 析 を 行 い 解 析 結 果 を 出 力 します アクセスログ 解 析 のために 必 要 な 項 目 を 入 力 し 解 析 を 実 行 すると 解 析 実 行 中 画 面 が 表 示 され 進 捗 状 況 を 確 認 することができます アクセスログ 解 析 後 は 解 析 結 果 フ ァイルを 作 成 し 結 果 画 面 が 表 示 されます 3.1. 初 期 画 面 表 示 ilogscanner トップページの 下 部 にある 次 へ ボタンを 押 した 後 利 用 規 約 ページ へ 遷 移 します 利 用 規 約 内 容 を 確 認 し 規 約 に 同 意 される 方 は 規 約 に 同 意 して ilogsc anner を 起 動 する ボタンを 押 して 下 さい 規 約 に 同 意 して ilogscanner を 起 動 する ボタンを 押 した 場 合 ilogscanner 初 期 画 面 が 表 示 されます 規 約 に 同 意 しない ボタンを 押 した 場 合 ilogscanner トップページへ 遷 移 します - 14 -
3.2. アクセスログファイルの 設 定 解 析 を 行 うアクセスログファイルの 形 式 と 解 析 対 象 ファイルを 指 定 します アクセスログについては 2.5 アクセスログファイル 形 式 を 参 照 して 下 さい (1) アクセスログ 形 式 選 択 ボタンを 押 してプルダウンを 表 示 し 解 析 を 行 うアクセスログファイルの ファイル 形 式 を 選 択 します( 図 はプルダウン 表 示 状 態 ) (2) 解 析 対 象 アクセスログファイル 名 選 択 参 照 ボタンを 押 すと ファイル 選 択 画 面 が 表 示 されます ファイル 選 択 画 面 にて 解 析 を 行 うアクセスログファイル 名 を 選 択 し 開 くボ タンを 押 してください また アクセスログファイルは 複 数 選 択 することも 可 能 です 複 数 選 択 する 場 合 は Shift キー(または Ctrl キー)を 押 しながらファイ ルを 選 択 します - 15 -
3.3. 解 析 結 果 出 力 先 ディレクトリの 指 定 解 析 結 果 を 出 力 するディレクトリを 指 定 します 参 照 ボタンを 押 すと ディレクトリ 選 択 画 面 が 表 示 されます ディレクトリ 選 択 画 面 にて 解 析 結 果 レポートファイルと 解 析 結 果 ログファイルの 出 力 先 を 選 択 します 解 析 結 果 レポートファイル 解 析 結 果 ログ ファイルについては 3.6 解 析 結 果 レポート 3.7 解 析 結 果 ログ を 参 照 して 下 さい エラー 時 に 出 力 するエラーログもここで 設 定 したディレクトリに 出 力 されます 出 力 ディレクトリ 設 定 前 にエラーが 生 じた 場 合 出 力 先 は 実 行 時 のカレントディレクトリに なります - 16 -
3.4. オプション 設 定 オプション 設 定 では アクセスログフォーマットの 指 定 解 析 対 象 とする 日 付 の 範 囲 解 析 レベルを 設 定 できます アクセスログファイル 形 式 解 析 対 象 アクセスログファイル 出 力 先 ディレクトリを それぞれ 設 定 した 後 オプション ボタンを 利 用 できるようになります オプション ボタンを 押 した 場 合 オプション 設 定 画 面 が 表 示 されます - 17 -
(1) アクセスログファイルフォーマット 設 定 Apache1.3 系 Apache2.0 系 Apache2.2 系 の common タイプのみフォーマ ットを 指 定 できます Apache1.3 系 /2.0 系 /2.2 系 にて 定 義 されたフォーマット 文 字 列 は 2.5 アク セスログファイル 形 の(3)の 表 2-5-CLF を 参 照 してください 解 析 対 象 として 指 定 されたアクセスログファイルが 設 定 ログフォーマットと 異 なる 場 合 エ ラーとして 処 理 を 行 います - 18 -
(2) 日 付 範 囲 選 択 解 析 対 象 のアクセスログファイルの 日 付 範 囲 を 指 定 します 開 始 日 あるい は 終 了 日 のみを 指 定 することができます 開 始 日 のみ 指 定 した 場 合 その 日 からのアクセスログを 検 出 対 象 とします 終 了 日 のみ 指 定 した 場 合 その 日 までのアクセスログを 検 出 対 象 とします 日 付 を 指 定 しない 場 合 すべてのアクセスログを 検 出 対 象 とします (3) 解 析 レベル 選 択 解 析 対 象 のアクセスログファイルの 解 析 レベル 標 準 詳 細 を 選 択 しま す 標 準 レベルの 検 出 対 象 脆 弱 性 は 以 下 のとおりです SQL インジェクション OS コマンド インジェクション ディレクトリ トラバーサル クロスサイト スクリプティング その 他 詳 細 レベルの 検 出 対 象 脆 弱 性 は 標 準 レベルの 検 出 対 象 脆 弱 性 と 下 記 の 脆 弱 性 が 検 出 されます 同 一 IP アドレスからの 攻 撃 の 可 能 性 アクセスログに 残 らない SQL インジェクション 兆 候 Web サーバの 設 定 不 備 を 狙 った 攻 撃 の 可 能 性 - 19 -
(4) 設 定 解 除 と 画 面 遷 移 標 準 に 戻 す ボタンを 押 すと 初 期 表 示 の 状 態 に 戻 します 初 期 値 につい て 下 記 のとおりです ログフォーマット: 空 白 開 始 日 : 空 白 終 了 日 の: 空 白 解 析 レベル: 標 準 戻 る ボタンを 押 すと アクセスログ 入 力 画 面 へ 遷 移 します 解 析 開 始 ボタンを 押 すと 設 定 の 適 当 性 をチェックし アクセスログ 解 析 が 開 始 されます 正 しく 設 定 されていない 場 合 エラーメッセージを 表 示 し その 後 解 析 は 行 われません - 20 -
3.5. 解 析 開 始 アクセスログファイル 形 式 解 析 対 象 アクセスログファイル 出 力 先 ディレクトリを それぞれ 設 定 後 解 析 開 始 ボタンを 押 すとアクセスログ 解 析 が 開 始 されます アクセス ログファイル 形 式 解 析 対 象 アクセスログファイル 出 力 先 ディレクトリが 全 て 設 定 さ れていない 場 合 解 析 は 行 われません - 21 -
アクセスログ 解 析 が 開 始 されると 解 析 中 画 面 が 表 示 されます 解 析 中 画 面 では ア クセスログ 解 析 の 進 捗 情 報 を 表 示 します 1は 全 体 の 解 析 進 捗 状 況 が 表 示 されます 2 は 解 析 中 のファイル 名 が 表 示 されます 3はファイル 単 位 の 解 析 進 捗 状 況 が 表 示 されま す 4は 検 出 対 象 脆 弱 性 検 出 数 がリアルタイムで 表 示 されます 5は 解 析 中 止 ボタン です 解 析 を 途 中 で 中 止 したい 場 合 このボタンを 押 してください 6は 解 析 対 象 ファ イルの 解 析 した 行 数 が 表 示 されます 1 3 6 2 5 4 解 析 レベルにて 詳 細 を 選 択 した 場 合 以 下 のような 解 析 中 画 面 が 表 示 されます 中 止 ボタンを 押 した 場 合 確 認 ダイアログが 表 示 されます 確 認 ダイアログの はい を 選 択 した 場 合 処 理 を 中 止 しその 時 点 での 解 析 結 果 が 出 - 22 -
力 されます いいえ を 選 択 した 場 合 解 析 実 行 中 画 面 に 戻 ります 3.6. 解 析 終 了 アクセスログ 解 析 が 終 了 した 後 結 果 ファイル( 解 析 結 果 レポートファイル 解 析 結 果 ログファイル)を 作 成 し 結 果 画 面 が 表 示 されます 1 2 3 4 5 解 析 結 果 サマリ 画 面 の1は 終 了 メッセージ( 完 了 / 中 止 )が 表 示 されます 2は 攻 撃 痕 跡 の 有 無 を 示 すメッセージが 表 示 されます 3は 検 出 対 象 脆 弱 性 名 と 検 出 数 が 表 示 されます 4は 結 果 レポートファイルのパス 付 ファイル 名 が 表 示 されます 5は 結 果 ログファイル - 23 -
のパス 付 きファイル 名 が 表 示 されます また アクセスログ 解 析 終 了 時 には 解 析 結 果 レポートファイルと 解 析 結 果 ログファ イル が 作 成 されます これらの 解 析 結 果 ファイルは アクセスログ 解 析 前 に 指 定 された ディレクトリに 出 力 されます 解 析 結 果 レポートファイルには 解 析 結 果 詳 細 情 報 が 出 力 され 解 析 結 果 ログファイル には 検 出 したログデータが 出 力 されます アクセスログ 解 析 を 中 止 した 場 合 やエラーにより 解 析 中 止 となった 場 合 は その 時 点 までの 解 析 結 果 を 出 力 します 解 析 結 果 ログファイルは 攻 撃 痕 跡 を 検 出 した 場 合 のみ 出 力 します 解 析 レベルにて 詳 細 を 選 択 した 場 合 以 下 のような 解 析 結 果 画 面 が 表 示 されます - 24 -
3.7. 解 析 結 果 レポート 解 析 結 果 レポートは アクセスログ 解 析 終 了 後 解 析 前 に 指 定 した 出 力 先 ディレクト リに 出 力 されます 解 析 結 果 レポートには 解 析 結 果 詳 細 情 報 と 検 出 対 象 脆 弱 性 の 説 明 が 表 示 されます 解 析 結 果 情 報 ( 上 段 )では 終 了 ステータス( 完 了 / 中 止 ) 解 析 日 時 解 析 対 象 ファイル 解 析 指 定 日 付 解 析 対 象 日 付 解 析 レベル 検 出 数 が 表 示 されます(1は 攻 撃 痕 跡 を 検 出 した 場 合 のみ 表 示 ) 検 出 対 象 脆 弱 性 ( 下 段 )では ilogscanner が 検 出 対 象 としている 脆 弱 性 についての 説 明 が 表 示 されます 対 策 の 詳 細 については 下 記 サイトを 参 照 ください IPA セキュリティセンターの 安 全 なウェブサイトの 作 り 方 http://www.ipa.go.jp/security/vuln/websecurity.html IPA セキュリティセンターの セキュア プログラミング 講 座 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/ - 25 -
アクセスログ 解 析 にてウェブサイトへの 攻 撃 痕 跡 が 検 出 された 場 合 は 製 作 者 または セキュリティベンダーに 相 談 することをお 勧 めします また ウェブアプリケーション の 脆 弱 性 が 存 在 した 場 合 は 脆 弱 性 を 放 置 せず 迅 速 な 対 策 をお 勧 めします す 解 析 レベルにて 詳 細 を 選 択 した 場 合 下 記 のような 解 析 結 果 レポートが 出 力 されま - 26 -
3.8. 解 析 結 果 ログ 解 析 結 果 ログファイルは 攻 撃 詳 細 が 記 載 され 解 析 結 果 レポートと 同 じディレクト リに 出 力 されます 解 析 結 果 ログファイルの 形 式 は 以 下 のとおりです 1 2 3 4 5 6 1は 攻 撃 痕 跡 を 検 出 したファイル 名 が 出 力 されます 2は 検 出 したアクセスログの 行 番 号 が 出 力 されます 3は 検 出 した 脆 弱 性 項 目 名 が 出 力 されます 4は 攻 撃 された 可 能 性 が 高 い 場 合 に が 出 力 されます 5は 検 出 されたアクセスログが 出 力 されます 6には 内 部 で 使 用 するコードが 出 力 されます 解 析 レベルにて 詳 細 を 選 択 した 場 合 以 下 のような 解 析 結 果 ログファイルが 出 力 されます - 27 -
4. ilogscanner ModSecurity 対 応 機 能 ilogscanner ModSecurity 対 応 機 能 では Apache アクセスログファイルおよび ModSecurity のエラーログファイルの 解 析 を 行 い 解 析 結 果 を 出 力 します アクセスログ 解 析 のために 必 要 な 項 目 を 入 力 し 解 析 を 実 行 すると 解 析 実 行 中 画 面 が 表 示 され 進 捗 状 況 を 確 認 することができます アクセスログ/エラーログ 解 析 後 は 解 析 結 果 レポートまたは 統 計 情 報 レポートを 作 成 し 結 果 画 面 が 表 示 されます アクセスログファイルのみを 指 定 した 場 合 に 基 本 の 解 析 を 行 い 解 析 結 果 を 出 力 し ます アクセスログとエラーログ 両 方 とも 指 定 した 場 合 に アクセスログの 基 本 の 解 析 後 アクセスログの 解 析 結 果 とエラーログのマッチング 機 能 を 実 行 します Apache HTTP Server エラーログファイルのみを 指 定 した 場 合 に ModSecurity で 検 出 遮 断 したデータを 解 析 し 統 計 情 報 を 出 力 します アクセスログ 形 式 は Apcache1.3 系 Apcache2.0 系 Apcache2.2 系 の common タイプのみで 対 応 しております 解 析 対 象 ファイルを 複 数 選 択 することができません 4.1. 初 期 画 面 表 示 ilogscanner トップページの 下 部 にある 次 へ ボタンを 押 した 後 利 用 規 約 ページ へ 遷 移 します 利 用 規 約 内 容 を 確 認 し 規 約 に 同 意 される 方 は 規 約 に 同 意 して ilogscanner ModSecurity 対 応 機 能 版 を 起 動 する ボタンを 押 して 下 さい 規 約 に 同 意 して ilogscanner ModSecurity 対 応 機 能 版 を 起 動 する ボタンを 押 した 場 合 ilogscanner ModSecurity 初 期 画 面 が 表 示 されます 規 約 に 同 意 しない ボタンを 押 した 場 合 ilogscanner トップページへ 遷 移 します - 28 -
4.2. 解 析 対 象 ファイルの 指 定 解 析 を 行 うアクセスログファイルあるいはエラーログファイルを 指 定 します アクセスログについては 2.5 アクセスログファイル 形 式 の(3)を 参 照 して 下 さ い - 29 -
エラーログについては 2.6 エラーログファイル 形 式 を 参 照 して 下 さい (1) 解 析 対 象 アクセスログファイルと 解 析 対 象 エラーログファイル 指 定 参 照 ボタンを 押 すと ファイル 選 択 画 面 が 表 示 されます 4.3. 解 析 結 果 出 力 先 ディレクトリの 指 定 3.3 解 析 結 果 出 力 先 ディレクトリの 指 定 を 参 照 して 下 さい 4.4. オプション 指 定 アクセスログファイル/エラーログファイルがいずれ 指 定 されて また 出 力 先 ディレ クトリが 指 定 された 場 合 に オプション ボタンを 利 用 できるようになります オプション 設 定 画 面 の 操 作 について 3.4 オプション 設 定 を 参 照 して 下 さい エラーログファイルのみ 指 定 された 場 合 オプション 設 定 画 面 のログフォーマッ トと 解 析 レベルが 利 用 不 可 です - 30 -
4.5. 解 析 開 始 解 析 対 象 アクセスログファイル/エラーログファイル 出 力 先 ディレクトリをそれぞ れ 設 定 後 解 析 開 始 ボタンを 押 すと 解 析 が 開 始 されます 解 析 対 象 ファイル 出 力 先 デ ィレクトリが 全 て 設 定 されていない 場 合 解 析 は 行 われません (1) アクセスログファイルのみを 指 定 した 場 合 解 析 実 行 中 画 面 は 3.5 解 析 開 始 - 31 -
を 参 照 してください (2) アクセスログとエラーログファイル 両 方 を 指 定 した 場 合 解 析 が 開 始 されると 解 析 実 行 中 画 面 は 以 下 の 通 りに 表 示 します アクセスログファイル 解 析 中 エラーログのマッチング 処 理 中 ModSecurity で 検 出 遮 断 した 件 数 が 表 示 され ます - 32 -
解 析 レベルにて 詳 細 を 選 択 した 場 合 以 下 のような 画 面 が 表 示 されます (3) エラーログファイルのみを 指 定 した 場 合 4.9 ログ 統 計 情 報 レポート 出 力 を 参 照 してください 中 止 ボタンを 押 した 場 合 確 認 ダイアログが 表 示 されます 確 認 ダイアログの はい を 選 択 した 場 合 処 理 を 中 止 しその 時 点 での 解 析 結 果 が 出 力 されます い いえ を 選 択 した 場 合 解 析 実 行 中 画 面 に 戻 ります - 33 -
4.6. 解 析 終 了 アクセスログ 解 析 が 終 了 した 後 結 果 ファイル( 解 析 結 果 レポートファイル 解 析 結 果 ログファイル)を 作 成 し 結 果 画 面 が 表 示 されます 解 析 対 象 エラーログファイルのみで 選 択 した 場 合 統 計 情 報 レポートファイルと 統 計 情 報 ログファイルを 作 成 します 4.9 ログ 統 計 情 報 レポート 出 力 を 参 照 し てください 検 出 対 象 脆 弱 性 毎 ModSecurity で 検 出 遮 断 した 件 数 が 表 示 されます - 34 -
解 析 レベルにて 詳 細 を 選 択 した 場 合 以 下 のような 解 析 結 果 画 面 が 表 示 されます 検 出 対 象 脆 弱 性 毎 ModSecurity で 検 出 遮 断 した 件 数 が 表 示 されます - 35 -
4.7. 解 析 結 果 レポート 解 析 結 果 レポートは アクセスログ 解 析 終 了 後 解 析 前 に 指 定 した 出 力 先 ディレクト リに 出 力 されます 解 析 結 果 レポートには 解 析 結 果 詳 細 情 報 と 検 出 対 象 脆 弱 性 の 説 明 が 表 示 されます 解 析 結 果 情 報 ( 上 段 )では 終 了 ステータス( 完 了 / 中 止 ) 解 析 日 時 解 析 対 象 ファイ ル 解 析 対 象 エラーログファイル 解 析 指 定 日 付 アクセスログ/エラーログの 対 象 日 付 解 析 レベル 検 出 数 (ModSecurity で 検 出 遮 断 した 件 数 )が 表 示 されます - 36 -
検 出 対 象 脆 弱 性 ( 下 段 )では ilogscanner ModSecurity が 検 出 対 象 としている 脆 弱 性 についての 説 明 が 表 示 されます 解 析 レベルにて 詳 細 を 選 択 した 場 合 に 下 のような 解 析 結 果 レポートが 出 力 されま す 詳 細 レベルで 検 出 したウェブサイトへの 攻 撃 について レポートに 詳 細 を 記 述 し 注 意 喚 起 メッ セージが 表 示 されます 4.8. 解 析 結 果 ログ 解 析 結 果 ログファイルは 攻 撃 詳 細 が 記 載 され 解 析 結 果 レポートと 同 じディレクト リに 出 力 されます - 37 -
解 析 結 果 ログファイルの 形 式 は 以 下 のとおりです 1 2 3 4 5 6 1は 攻 撃 痕 跡 を 検 出 した 解 析 対 象 ファイル 名 が 出 力 されます 2は 検 出 したアクセス ログの 行 番 号 が 出 力 されます 3は 検 出 した 脆 弱 性 項 目 名 が 出 力 されます 4は 攻 撃 さ れた 可 能 性 が 高 い 場 合 に が 出 力 されます 5は 検 出 されたアクセスログが 出 力 されます 6には 内 部 で 使 用 するコードが 出 力 されます 解 析 レベルにて 詳 細 を 選 択 した 場 合 に 下 のような 解 析 結 果 ログが 出 力 されます ModSecurity で 遮 断 した 場 合 値 : denied ModSecurity で 検 出 した 場 合 値 : captured ModSecurity で 遮 断 かどうか 不 明 の 場 合 値 : deficiency 攻 撃 が 成 功 した 可 能 性 が 高 い 場 合 値 : 同 一 IP アドレスからの 攻 撃 を 検 出 した 場 合 検 出 数 を 表 示 値 : XXX 攻 撃 か 成 功 した 可 能 性 について 不 明 の 場 合 値 : - - 38 -
4.9. ログ 統 計 情 報 レポート 出 力 機 能 ModSecurity から 出 力 されるエラーログファイルを 解 析 し 攻 撃 の 情 報 を 集 計 する 機 能 です 解 析 対 象 エラーログファイルのみで 選 択 した 場 合 統 計 情 報 レポートファイル と 統 計 情 報 ログファイルを 作 成 します ModSecurity で 検 出 遮 断 した 件 数 が 表 示 されます (1) 操 作 手 順 エラーログファイルと 出 力 先 ディレクトリを 選 択 後 解 析 開 始 ボタンを 押 すとエ ラーログ 解 析 が 開 始 されます 選 択 ファイルが 指 定 された Apache のエラーログ 形 式 ではない 場 合 解 析 は 行 われません オプション 設 定 画 面 で 集 計 対 象 日 付 を 指 定 することができます - 39 -
(2) 解 析 開 始 エラーログファイル 解 析 中 ModSecurity で 検 出 遮 断 した 件 数 が 表 示 さ れます 中 止 ボタンを 押 した 場 合 確 認 ダイアログが 表 示 されます 確 認 ダイアログの はい を 選 択 した 場 合 処 理 を 中 止 しその 時 点 での 統 計 結 果 が 出 力 されます いいえ を 選 択 した 場 合 解 析 実 行 中 画 面 に 戻 りま す - 40 -
(3) 解 析 終 了 解 析 が 終 了 した 後 結 果 画 面 が 表 示 されます 検 出 対 象 脆 弱 性 毎 ModSecurity で 検 出 遮 断 した 件 数 が 表 示 されます - 41 -
(4) 統 計 情 報 レポート 統 計 結 果 レポートは 解 析 前 に 指 定 した 出 力 先 ディレクトリに 出 力 されます 統 計 結 果 レポート( 上 段 )では 終 了 ステータス( 完 了 / 中 止 ) 解 析 日 時 解 析 対 象 エラーログファイル 解 析 指 定 日 付 解 析 対 象 日 付 解 析 レベル 検 出 数 が 表 示 されます 検 出 対 象 脆 弱 性 ( 下 段 )では 集 計 対 象 としている 脆 弱 性 の tag 名 称 が 表 示 されます - 42 -
(5) 統 計 情 報 ログ 統 計 情 報 ログファイルは 統 計 結 果 レポートと 同 じディレクトリに 出 力 さ れます 1 2 3 4 1は 攻 撃 痕 跡 を 検 出 したエラーログファイル 名 が 出 力 されます 2は 検 出 したアクセスログの 行 番 号 が 出 力 されます 3は 検 出 した 脆 弱 性 の Tag が 出 力 されます 4は 検 出 されたエラーログデータが 出 力 されます - 43 -
5. FAQ ilogscanner に 関 する FAQ です 5.1. ilogscannerとは 何 ですか? ilogscanner は ウェブサーバのアクセスログからウェブアプリケーション 脆 弱 性 を 狙 った 攻 撃 と 思 われる 痕 跡 を 検 出 する 為 のツールです 今 までは 特 別 なスキルが 必 要 だったウェブサーバのアクセスログ 解 析 が ilogscanne r を 使 えば 誰 でも 簡 単 に 行 うことができ 今 すぐ 危 険 な 攻 撃 と 思 われる 痕 跡 の 有 無 を 確 認 することが 出 来 ます 攻 撃 と 思 われる 痕 跡 の 有 無 を 確 認 することにより 必 要 なセキュリティ 対 策 が 明 らかに なります o 攻 撃 と 思 われる 痕 跡 を 全 て 網 羅 し 確 実 に 検 出 するものではありません また 誤 検 出 の 場 合 もあります o ilogscanner で 攻 撃 が 検 出 された 場 合 や 特 に 攻 撃 が 成 功 した 可 能 性 が 検 出 さ れた 場 合 は ウェブサイトの 開 発 者 やセキュリティベンダーに 相 談 されること を 推 奨 します o ilogscanner は 簡 易 ツールであり SQL インジェクション 等 の 攻 撃 のアクセス ログが 無 ければ 脆 弱 性 を 検 出 しません また 実 際 の 攻 撃 による 脆 弱 性 検 査 は 行 っていません 攻 撃 が 検 出 されない 場 合 でも 安 心 せずに ウェブサイトの 脆 弱 性 検 査 を 行 うことを 推 奨 します o 解 析 対 象 アクセスログ 解 析 対 象 エラーログについて 検 出 が 可 能 な 形 式 がき まっております 必 ず 解 析 対 象 のアクセスログ 詳 細 解 析 対 象 のエラーロ グ 詳 細 をご 確 認 ください 形 式 が 異 なる 場 合 脆 弱 性 の 検 出 が 行 われない または 脆 弱 性 が 検 出 されません ウェブブラウザ 上 で 実 行 する Java アプレット 形 式 のツールとなっているので ホーム ページを 見 ることができる 環 境 ならば どこでも 簡 単 に 使 用 することができます 5.2. ilogscannerは 無 料 で 使 用 できるのですか? ilogscanner は 無 償 で 提 供 され 情 報 を 一 切 外 部 に 送 信 することが 無 いので 手 軽 にダウンロードして 実 行 することが 出 来 ます 5.3. ilogscannerが 検 出 できるウェブアプリケーション 攻 撃 の 種 類 を 教 えてください 次 の 脆 弱 性 を 狙 ったウェブアプリケーション 攻 撃 の 痕 跡 を 検 出 します(2010 年 5 月 現 在 ) 1.SQL インジェクション - 44 -
2.OS コマンド インジェクション 3.ディレクトリ トラバーサル 4.クロスサイト スクリプティング 5.その 他 (IDS 3 回 避 を 目 的 とした 攻 撃 ) また 解 析 レベルを 詳 細 で 解 析 を 行 うと 次 のウェブアプリケーションへの 攻 撃 の 可 能 性 を 検 出 します(2010 年 5 月 現 在 ) 1. 同 一 IP アドレスから 同 一 URL に 対 する 攻 撃 の 可 能 性 2.アクセスログに 記 録 されない SQL インジェクションの 兆 候 3.Web サーバの 設 定 不 備 を 狙 った 攻 撃 の 可 能 性 o 脆 弱 性 の 概 要 については 知 っていますか? 脆 弱 性 (ぜいじゃくせい) を 参 照 ください o 脆 弱 性 の 対 策 については 安 全 なウェブサイトの 作 り 方 を 参 照 ください 5.4. ilogscannerが 動 作 する 環 境 を 教 えてください ilogscanner が 動 作 する 環 境 は 次 を 想 定 しています オペレーティングシステム Microsoft Windows XP Professional SP3 ウェブブラウザ Internet Explorer 7 Java 実 行 環 境 (JRE) Sun Microsystems 社 J2SE Runtime Environment(JRE) 6.0 ( 最 新 版 ダウンロード) その 他 次 の 環 境 においては 一 部 動 作 可 能 であることを 確 認 しております o 次 に 記 載 した 環 境 での 動 作 を 保 証 するものではございません オペレーティング システム/ウェブブラウザ/JRE のバージョン 利 用 者 環 境 等 の 違 いにより 動 作 が 異 なる 場 合 もございますので 予 めご 了 承 ください(2010 年 5 月 現 在 ) オペレーティングシステム ウェブブラウザ Java 実 行 環 境 (JRE 4 ) 動 作 1 Microsoft Windows XP Internet Explorer 6 JRE 6.0 3 IDS: 侵 入 検 知 システム(Intrusion Detection System) 4 JRE : Sun Microsystems 社 J2SE Runtime Environment - 45 -
2 Professional SP2 Internet Explorer 7 JRE 6.0 3 Internet Explorer 8 JRE 6.0 4 Firefox 3 JRE 6.0 5 Microsoft Windows XP Internet Explorer 6 JRE 6.0 Professional SP3 6 Internet Explorer 7 JRE 6.0 7 Internet Explorer 8 JRE 6.0 8 Firefox 3 JRE 6.0 9 Microsoft Windows7 Internet Explorer 8 JRE 6.0 Professional 10 Firefox 3 JRE 6.0 11 Microsoft Windows Vista Business 1 Firefox 3 JRE 6.0 12 Linux(CentOS 5) Firefox 3 JRE 6.0 2 〇 : 正 常 動 作 する : 一 部 を 除 き 正 常 動 作 する : 動 作 しない 1 Windows Vista + Internet Explorer 7 で 保 護 モードが 有 効 の 場 合 ilog Scanner は 正 常 に 動 作 しません 保 護 モードを 無 効 にしてしまうと ブラウ ザを 悪 用 する 不 正 なソフト(ウイルス スパイウェア)などの 動 きを 抑 える ことができなくなってしまいますので セキュリティの 観 点 から Windows Vista + Internet Explorer 7 上 での 実 行 は 推 奨 していません また Wi ndows Vista はブラウザが Firefox3 であればユーザの 権 限 に 関 わらず 正 常 動 作 します しかし Internet Explorer 7( 保 護 モード ON) 使 用 時 と 比 較 するとセキュリティ 性 が 高 くない 為 Firefox での 実 行 は 推 奨 していませ ん 2Linux 上 で FireFox3 を 使 用 しツールを 実 行 したところ ModSecurity 版 の 解 析 においてアクセスログとエラーログのマージが 行 われない 現 象 があ りました そのため Linux 上 での 実 行 は 推 奨 しておりません (ModSecu rity 版 でのその 他 の 動 作 (アクセスログ 解 析 と 統 計 情 報 )は 正 常 に 動 作 して おります ) - 46 -
5.5. 攻 撃 と 思 われる 痕 跡 はどのように 検 出 しているのですか? ウェブサーバのアクセスログに 記 録 されたリクエストのクエリ 文 字 列 から ウェブアプ リケーションへの 攻 撃 によく 見 られる 文 字 列 が 存 在 した 場 合 に 検 出 しています それぞれの 攻 撃 でよく 見 られる 文 字 列 は 次 のような 意 味 のある 文 字 列 になります 攻 撃 種 別 SQL インジェクション OS コマンド インジェクション ディレクトリ トラバーサル クロスサイト スクリプティング 文 字 列 SQL ステートメントで 使 用 されるキーワード データベースのシステムテーブル 名 SQL ステートメントで 使 用 される 関 数 システムストアドプロシージャ 名 システム 拡 張 ストアドプロシージャ 名 コンピュータの 基 本 ソフトウェアを 操 作 するため の 命 令 文 やそれらのパラメータ 文 ディレクトリ 操 作 文 スクリプト 関 数 HTML タグ 文 字 列 イベントハンドラ その 他 (IDS 5 回 避 を 目 的 とした 攻 撃 ) 特 殊 文 字 を 使 用 して 偽 装 した 文 字 列 o o o o 一 般 的 な GET メソッドを 使 用 したウェブアプリケーションについて リクエ ストのクエリ 文 字 列 から 攻 撃 と 思 われる 痕 跡 を 検 出 しています 一 般 的 な POST メソッドを 使 用 したウェブアプリケーションについては リ クエストのクエリ 文 字 列 がアクセスログに 出 力 されない 為 攻 撃 と 思 われる 痕 跡 を ilogscanner で 検 出 することはできません ウェブアプリケーションへ 無 差 別 に 攻 撃 するような 一 部 の 攻 撃 は POST メ ソッドによる 攻 撃 の 場 合 でもリクエストのクエリ 文 字 列 がアクセスログに 出 力 される 場 合 がある 為 ilogscanner で 検 出 できる 場 合 があります 攻 撃 が 成 功 した 可 能 性 が 高 いかどうかを 検 出 することができるのは SQL イ ンジェクションの 攻 撃 と 思 われる 痕 跡 からのみとなります 5 IDS : 侵 入 検 知 システム(Intrusion Detection System) - 47 -
5.6. 解 析 レベルを 詳 細 に 設 定 したときに 行 われる 攻 撃 が 行 われている 可 能 性 はどのように 検 出 しているのですか? オプション 選 択 画 面 で 解 析 レベルの 詳 細 を 選 択 時 以 下 3 項 目 による 解 析 を 行 っていま す これらは 以 下 の 基 準 値 や 条 件 を 設 定 し その 基 準 値 を 超 えた 場 合 や 条 件 を 満 たした 場 合 に 攻 撃 の 可 能 性 があると 判 断 しています また 一 部 ではウェブサーバのアクセスロ グに 記 録 されたリクエストのクエリ 文 字 列 から ウェブアプリケーションへの 攻 撃 によく 見 られる 文 字 列 が 存 在 した 場 合 に 検 出 する 方 法 をとっています o 同 一 IP アドレスから 同 一 URL に 対 する 攻 撃 の 可 能 性 攻 撃 検 出 用 シグネチャによる 解 析 結 果 に 対 して 以 下 の 基 準 にて 再 解 析 を 行 います 表 中 の 条 件 を 全 て 満 たす 場 合 攻 撃 と 判 断 します No. 条 件 1 条 件 2 攻 撃 判 定 の 条 件 同 一 IP アドレスから 同 一 URL(CGI ASP JSP 等 を 含 むウェブア プリケーション 全 般 )に 対 する 攻 撃 痕 跡 が 一 定 件 数 に 達 している 同 一 IP アドレスからの 攻 撃 痕 跡 が 一 定 件 数 に 達 している 標 準 解 析 による 脆 弱 性 5 種 類 の 分 類 は 問 いません o アクセスログに 記 録 されない SQL インジェクションの 兆 候 アクセスログに 次 の 表 中 の 条 件 を 全 て 満 たすリクエストが 記 録 されている 場 合 ログに 記 録 されないタイプの SQL インジェクション 攻 撃 が 行 われた 可 能 性 があると 判 断 します No. 条 件 1 条 件 2 攻 撃 判 定 の 条 件 アクセスログに 記 録 されたリクエストの 応 答 コード (サーバレスポンス)が 5xx 番 台 であること かつ POST メソッドであること 条 件 1に 合 致 するリクエストが 同 一 IP アドレスにより 一 定 時 間 以 内 に 規 定 数 回 以 上 行 われている - 48 -
o Web サーバの 設 定 不 備 を 狙 った 攻 撃 の 可 能 性 No. 対 象 判 断 基 準 1 PUT メソッドの 設 定 不 備 リクエストのメソッドが PUT であ り リクエストに 対 する 応 答 コード が 201 であること 2 FrontPage Server Extensions の 設 定 不 備 FrontPage Server Extensions の 設 定 不 備 を 狙 うような 特 定 ファイル URL に 対 するリクエストが 行 われて いること 3 Tomcat の 設 定 不 備 Tomcat の 設 定 不 備 を 狙 うような 特 定 ファイル(URL)に 対 するリクエ ストが 行 われていること 5.7. 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 はどのように 検 出 しているのですか? 攻 撃 を 受 けた 際 ウェブサーバのアクセスログに 内 部 エラーが 発 生 したログや 攻 撃 成 功 時 に 記 録 されるログなどの 特 徴 的 なログが 記 録 されている 場 合 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 として 検 出 しています o ウェブアプリケーションの 実 装 や 使 用 するサーバソフトウェアによっては アク セスログに 特 徴 的 なログが 記 録 されず 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 を 検 出 できない 場 合 もあります o ウェブサーバのアクセスログに 記 録 された 攻 撃 の 痕 跡 は 攻 撃 を 受 けたことが 記 録 として 残 っているのみで 攻 撃 を 受 けた 結 果 ( 攻 撃 の 成 功 可 否 )については 記 録 されていません このため ilogscanner の 解 析 だけでは 攻 撃 の 成 功 / 失 敗 について 確 実 な 判 断 をすることはできません o 攻 撃 が 成 功 した 可 能 性 が 高 いかどうかを 検 出 することができるのは SQL インジ ェクションの 攻 撃 と 思 われる 痕 跡 からのみとなります o 攻 撃 が 成 功 した 可 能 性 が 高 い 痕 跡 が 検 出 されない 場 合 でも 攻 撃 と 思 われる 痕 跡 が 検 出 された 場 合 は 製 作 者 またはセキュリティベンダーに 相 談 することをお 勧 め します 5.8. 解 析 結 果 で 攻 撃 があったと 思 われる 痕 跡 が 検 出 されたのですが どうすればよい ですか? 痕 跡 が 検 出 された 場 合 は 製 作 者 またはセキュリティベンダーに 相 談 することをお 勧 め します - 49 -
o なお ilogscanner は 簡 易 ツールであり 実 際 の 攻 撃 による 脆 弱 性 検 査 は 行 って いません 攻 撃 が 検 出 されない 場 合 でも 安 心 せずに ウェブサイトの 脆 弱 性 検 査 を 行 うことをお 勧 めします 5.9. 解 析 することができるエラーログを 出 力 するModSecurityのバージョンは? ilogscanner は 以 下 のウェブサーバソフトウェアのエラーログフォーマットに 対 応 し ております ウェブサーバソフトウェア エラーログフォーマット ModSecurity2.5 系 が 出 力 するエラー Apache HTTP Server(2.0 系 2.2 系 ) ログ 形 式 5.10. 攻 撃 があったと 思 われる 件 数 があるのに その 内 ModSecurityで 検 出 遮 断 した 件 数 が 0 件 なのですがどうしてでしょうか? 1.ModSecurity および Apache のバージョンは ilogscanner が 対 応 しているバー ジョンになっていますか? 5.9. 解 析 することができるエラーログを 出 力 するModSecurityのバージ ョンは? を 参 照 してください 2. 結 果 レポートの 表 の 検 出 対 象 脆 弱 性 項 目 の 上 記 以 外 の 分 類 (ModSecur ity) に 検 出 数 が 出 力 されていませんか? ModSecurityでエラーログに 出 力 する 名 称 が ilogscanner で 検 出 対 象 と している 脆 弱 性 とは 異 なる 場 合 結 果 レポートの 表 の 検 出 対 象 脆 弱 性 項 目 の 上 記 以 外 の 分 類 (ModSecurity) に 検 出 数 を 表 示 しています そちら の 項 目 をご 確 認 ください 3.ModSecurity のルールを 設 定 していますか? ModSecurity で 遮 断 / 検 出 するためのルールが 設 定 されているかどうか 確 認 してください 4.エラーログ 出 力 項 目 に 以 下 の 項 目 が 表 示 されるように 設 定 されていますか? ilogscanner で 解 析 処 理 を 行 う 場 合 以 下 の 項 目 が 必 須 になっています ModSecurity の 設 定 に 以 下 の 項 目 が 含 まれているかどうかをご 確 認 くださ い 必 須 項 目 アクセス 日 時 Apache のエラーレベル - 50 -
アクセス 元 IP アドレス タグ リクエスト URI リクエストの 固 有 番 号 5.その 他 アクセスログとエラーログが 記 録 している 時 期 が 異 なる 為 マッチングが できなかったと 言 う 可 能 性 があります アクセスログおよびエラーログのデ ータ 内 容 をご 確 認 ください 5.11. Javaアプレット 画 面 が 表 示 されませんが 何 が 原 因 と 考 えられますか? 1.JRE がインストールされていますか? Javaアプレットを 動 作 させるためには JREが 必 要 になります Sun Micr osystems 社 のダウンロードサイトから J2SE Runtime Environment(JRE) 5.0 をダウンロードしてインストールしてください 2.インストールされている JRE のバージョンが 5.0 より 古 いバージョンではない ですか? ilogscanner が 動 作 する JRE のバージョンは 5.0 となります JRE 5. 0 をインストールしてください 3.ウェブブラウザのセキュリティ 設 定 で Java アプレットが 起 動 するように 設 定 さ れていますか? 操 作 手 順 の 2.2.ウェブブラウザの 設 定 を 参 考 にして Java アプレ ットが 起 動 するように 設 定 してください 5.12. 実 行 中 入 力 されたログフォーマットが 不 正 です という 旨 のメッセージが 表 示 されます どうすればよいですか? オプション 設 定 画 面 のアクセスログのフォーマットを 入 力 する 項 目 ログフォーマッ ト: に 正 しく 書 式 指 定 子 が 入 力 されているか または 必 須 になっている 書 式 指 定 子 が 入 力 されているかご 確 認 ください ログフォーマットの 詳 細 については 操 作 手 順 の 2.5 アクセスログ 形 式 に 記 載 しております ご 確 認 ください 5.13. 実 行 中 指 定 されたディレクトリは 存 在 しないか 書 き 込 み 権 限 がありません という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? 解 析 結 果 の 出 力 先 として 指 定 されたディレクトリへの 書 き 込 みが 許 可 されていない 可 能 性 があります ディレクトリのセキュリティ 設 定 をご 確 認 ください - 51 -
5.14. 実 行 中 メモリが 不 足 しています という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? 解 析 するアクセスログファイルに 1 行 が 非 常 に 大 きいログがある 場 合 Java Plug-in でエラーが 発 生 する 場 合 があります この 場 合 Java の 起 動 パラメータ -Xmx(size)m を 指 定 して Java が 使 用 するメモリの 最 大 サイズを 大 きくしてください(デフォルトでは 64MB です) 設 定 方 法 の 例 は 操 作 手 順 の 2.3.Java の 設 定 をご 確 認 ください 5.15. 実 行 中 システムエラーが 発 生 しました という 旨 のメッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? エラーメッセージに 記 載 されているエラーコードをメモとしてお 控 えいただき 下 記 のお 問 合 わせ 先 へご 連 絡 ください 5.16. 実 行 画 面 の 表 示 で 英 数 字 以 外 の 文 字 が 全 て" "で 表 示 されてしまいます どうすれ ばよいですか? 利 用 環 境 は Vline Linux4.2/FireFox2.0/JRE5 です 詳 細 は Tips 集 に 記 載 しております 操 作 手 順 の 6.Tips 集 をご 確 認 ください 5.17. ilogscannerが 動 作 しません 利 用 環 境 は WinXP/Firefox/JRE6 です どうすれ ばよいですか? JRE6 のバージョンは 新 しいでしょうか JRE6 の 古 いバージョンにて FireFox で Java アプレットを 起 動 した 際 FireFox がハ ングアップする 現 象 が 確 認 されております JRE6 update20 以 降 にアップデートしてください 5.18. SQLインジェクションによるホームページ 改 ざん 行 為 はiLogScannerで 検 出 で きるでしょうか? SQL インジェクションによるホームページ 改 ざん 行 為 が 行 われたことを 検 出 する ことはできません 改 ざん 行 為 が 行 われた 可 能 性 が 高 い 痕 跡 を 検 出 することはできます 5.19. 検 査 結 果 などのデータをIPAに 送 信 していますでしょうか? 現 在 は クライアントから IPA へデータの 送 信 は 行 っておりません 5.20. 実 行 中 ファイルまたはディレクトリが 存 在 していません という 旨 のメッセ ージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? 実 行 途 中 でファイルまたはディレクトリが 消 された 可 能 性 があります 選 択 したファ イルまたはディレクトリを 確 認 してください - 52 -
5.21. 実 行 中 入 力 ファイルのログタイプ 形 式 が 不 正 です という 旨 のメッセージが 表 示 され 解 析 処 理 が 行 われません どうすればよいですか? アクセスログまたは エラーログのログタイプが 異 なるか または 必 須 項 目 が 出 力 さ れていない 可 能 性 があります アクセスログについての 詳 細 は 解 析 対 象 のアクセスロ グ 詳 細 エラーログについての 詳 細 は 解 析 対 象 のエラーログ 詳 細 をご 確 認 ください 5.22. 実 行 中 入 力 ファイルに 必 須 のカラムデータが 存 在 していません という 旨 の メッセージが 表 示 され 処 理 が 中 止 されました どうすればよいですか? ウェブサーバのアクセスログかどうか 今 一 度 ご 確 認 をお 願 いいたします また アク セスログのログタイプが 異 なるか 必 須 項 目 が 出 力 されていない 可 能 性 もありますので ログの 項 目 の 確 認 をお 願 いいたします アクセスログについての 詳 細 は 解 析 対 象 のア クセスログ 詳 細 をご 確 認 ください 5.23. 実 行 中 当 ツールを 実 行 する 許 可 が 取 消 しされました という 旨 のメッセージ が 表 示 され 処 理 が 中 止 されました どうすればよいですか? 実 行 時 に 表 示 された 署 名 確 認 画 面 でキャンセルを 選 択 されませんでしたでしょうか 署 名 確 認 画 面 がキャンセルされた 場 合 は 当 ツールは 実 行 されません ツール 実 行 時 に 表 示 された 署 名 確 認 画 面 の 署 名 内 容 を 必 ず 確 認 してください 一 度 ウェブブラウザを 閉 じ 再 度 ウェブブラウザを 起 動 していただく 必 要 があり ます 5.24. 解 析 にはどのくらい 時 間 がかかりますか? 下 記 に 示 した 環 境 での 計 測 事 例 を 記 載 いたします アクセスログを 解 析 レベル 標 準 で 解 析 した 結 果 になります 観 測 用 アクセスログファイル IIS5.0/6.0 の W3C 拡 張 ログファイル 形 式 のアクセスログファイル 全 ての 行 で 脆 弱 性 が 検 出 されるアクセスログファイル IIS_W3C-1:ファイルサイズ2MB/14446 行 ( 脆 弱 性 14442 件 ) IIS_W3C-2:ファイルサイズ2MB/7200 行 ( 脆 弱 性 7196 件 ) IIS5.0/6.0 の IIS ログファイル 形 式 のアクセスログファイル 全 ての 行 で 脆 弱 性 が 検 出 されるアクセスログファイル IIS-1:ファイルサイズ2MB/14336 行 ( 脆 弱 性 14336 件 ) IIS-2:ファイルサイズ2MB/7200 行 ( 脆 弱 性 7196 件 ) - 53 -
Apache1.3 系 /2.0 系 /2.2 系 の common 形 式 のアクセスログファイル 全 ての 行 で 脆 弱 性 が 検 出 されるアクセスログファイル Apache-1:ファイルサイズ2MB/14616 行 ( 脆 弱 性 14616 件 ) Apache-2:ファイルサイズ2MB/7192 行 ( 脆 弱 性 7192 件 ) 動 作 環 境 CPU: Memory: OS: Java ランタイムパラメータ: Intel Pentium4 2.8GHz 1GB Microsoft Windows XP Professional SP3 最 大 ヒープサイズ 256MB(-Xmx256m) 平 均 処 理 時 間 ( 単 位 : 秒 ) IIS_W3C-1 118.2 秒 IIS_W3C-2 67 秒 IIS-1 116 秒 IIS-2 66 秒 Apache-1 118.4 秒 Apache-2 65 秒 各 自 の 動 作 させる 環 境 によって 時 間 の 差 異 は 発 生 します ご 了 承 下 さい 5.25. 今 回 のバージョンアップで 追 加 した 機 能 は 何 ですか 今 回 のバージョンアップで 追 加 した 機 能 の 内 容 は 以 下 の 通 りです 1. より 多 くの 脆 弱 性 を 検 出 できるようになりました SQL インジェクションの 検 出 パターンを 増 加 OS コマンド インジェクションの 検 出 パターンを 増 加 クロスサイト スクリプティングの 検 出 パターンを 増 加 同 一 IP アドレスからの 攻 撃 の 可 能 性 アクセスログに 記 録 されない SQL インジェクションの 可 能 性 Web サーバの 設 定 不 備 を 狙 った 攻 撃 の 可 能 性 2. 解 析 対 象 アクセスログを 増 やしました IIS5.0/5.1/6.0/7.0 の IIS ログファイルタイプのアクセスログ 解 析 処 理 の 追 加 - 54 -
Apache HTTP Server1.3 系 /2.0 系 /2.2 系 の common タイプのカスタムフォー マット 対 応 3. ModSecurity2.5 が 出 力 する Apache のエラーログファイルを 元 に ModSecurity で 検 出 遮 断 したデータを 解 析 し 結 果 レポートを 出 力 する 機 能 を 追 加 しました 4. 動 作 する 環 境 を 増 やしました Windows7 上 での 動 作 確 認 - 55 -
6. Tips 集 ilogscanner が 公 開 されてからあった 問 合 せのあったものや 参 考 資 料 を Tips 集 として 記 載 しております (2008 年 11 月 現 在 ) 6.1. VlineLinux4.2 + FireFox2.0 +JRE5 においての 文 字 化 け 対 応 VlineLinux4.2 + FireFox2.0 +JRE5 の 動 作 環 境 において Java アプレットの 日 本 語 表 示 で 英 数 字 以 外 の 文 字 が 全 て" "で 表 示 されてしまう 現 象 の 対 応 方 法 について 以 下 に 文 字 化 けが 解 消 した 事 例 を 記 載 します 1.ディレクトリ 作 成 # mkdir /usr/java/jrexxxxx/lib/fonts/fallback 2.ディレクトリ 移 動 して # cd /usr/java/jrexxxxx/lib/fonts/fallback 3.フォントのシンボリックリンクを 張 る # ln -s /usr/share/fonts/alias/truetype/*.ttf. 4.Firefox を 再 起 動 参 考 URL:http://java.sun.com/j2se/1.5.0/ja/relnotes.html#linux 6.2. IIS7.0 でのW3Cフィールとの 設 定 方 法 について IIS6.0 までと IIS7.0 以 降 で 設 定 方 法 が 変 わります IIS7.0 の 設 定 方 法 ですが マイク ロソフトの 技 術 情 報 サイトに 詳 細 な 設 定 方 法 が 記 述 されています 以 下 に URL を 記 載 し ますのでそちらの 情 報 を 参 考 にしてください URL: http://www.microsoft.com/japan/technet/windowsserver/2008/library/d0 de9475-0439-4ec1-8337-2bcedacd15c7.mspx?mfr=true ウェブサイト 攻 撃 の 検 出 ツール ilogscanner 取 扱 説 明 書 -ウェブサーバのアクセスログを 解 析 して 脆 弱 性 を 狙 った 攻 撃 の 検 出 を 簡 易 に 行 うツール- [ 発 行 ]2008 年 4 月 18 日 ilogscanner V1.0 版 2008 年 11 月 11 日 ilogscanner V2.0 版 2010 年 8 月 27 日 ilogscanner V3.0 版 [ 発 行 者 ] 独 立 行 政 法 人 情 報 処 理 推 進 機 構 セキュリティセンター - 56 -