Webセキュリティの小部屋

情報処理推進機構：情報セキュリティ：脆弱性対策：ウェブサイト攻撃の検出ツール

IPA が上記サイトで無料で公開している「iLogScanner」は、Web サーバーのアクセスログから、Web サーバーが攻撃を受けているかどうかを分析してくれるというツールです。

アクセスログから攻撃の有無を分析するのは、従来は専門的な知識が必要でしたが、この「iLogScanner」を使用すれば簡単に分析してくれます。

なお、アクセスログの分析は、アクセスログを IPA のサーバーに送信せず、パソコン上で行うのでセキュリティ上の問題はありません。

分析可能な攻撃は、以下の通りです。

• SQLインジェクション
• OSコマンド・インジェクション
• ディレクトリ・トラバーサル
• クロスサイト・スクリプティング
• その他（IDS回避を目的とした攻撃）
  （注）IDS：侵入検知システム（Intrusion Detection System）
• 同一IPアドレスからの攻撃の可能性
• アクセスログに記録されないインジェクションの可能性
• ウェブサーバの設定不備を狙った攻撃の可能性

また、対応する Web サーバーのログ形式も幅広いです。

「iLogScanner」を動作させるには Java がブラウザ上で実行できることが必要で、動作環境は以下のようになっています。私は、Windows 8.1 + Internet Explorer 11 で動作させましたが、問題なく動作しました。

では、実際に Web サーバーのアクセスログをパソコンに持ってきて、「iLogScanner」で分析をしてみましょう。

上記のサイト の中ほどに以下の画面があるので、「次へ」をクリックします。

利用規約を確認し、「規約に同意して iLogScanner を起動する」をクリックします。

分析するアクセスログの形式、アクセスログファイル、分析結果の出力先を指定して「解析開始」ボタンをクリックします。

分析が終了すると、以下の画面が表示されます。攻撃の痕跡が検出されたようです。解析結果のレポートファイルとログファイルがあるので、詳細を確認します。

解析結果レポートを確認すると、「その他」に 2 件検出されているようです。

解析結果ログファイルの内容は以下のようになります。いかにもというリクエストですが、成功した可能性は高くないようなので、これは問題なさそうですね。

#解析結果ログの見方
#----------------------------------------------------------------
#[ログファイル名]
#[行番号] [脆弱性種別] [攻撃が成功した可能性が高い] [該当するアクセスログ] [シグネチャ対応コード]
#----------------------------------------------------------------
#※ 各項目はタブ区切りになります
#※ 攻撃が成功した可能性が高い場合、「●」がつきます
#以下、解析結果ログ

access_log
      9026    その他    -               66.249.xx.xx - - [30/Dec/2013:08:40:55 +0900] "GET /?cbp=h2k9eo0x6k2h HTTP/1.1" 200 4806 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/535.19 (KHTML, like Gecko, Google Publisher Tools) Chrome/18.0.1025.151 Safari/535.19"    D053
      9028    その他    -               66.249.xx.xx - - [30/Dec/2013:08:40:56 +0900] "GET /?cbp=h2k9eo0x6k2h HTTP/1.1" 200 4806 "-" "Mediapartners-Google"    D053

Web サーバーのアクセスログ分析がこんなに簡単にできるので、Web サーバーのセキュリティレベルを向上させたい方は、是非、「iLogScanner」をご活用ください。

カテゴリー:ツール