情報処理推進機構:情報セキュリティ:脆弱性対策:ウェブサイト攻撃の検出ツール
IPA が上記サイトで無料で公開している「iLogScanner」は、Web サーバーのアクセスログから、Web サーバーが攻撃を受けているかどうかを分析してくれるというツールです。
アクセスログから攻撃の有無を分析するのは、従来は専門的な知識が必要でしたが、この「iLogScanner」を使用すれば簡単に分析してくれます。
なお、アクセスログの分析は、アクセスログを IPA のサーバーに送信せず、パソコン上で行うのでセキュリティ上の問題はありません。
分析可能な攻撃は、以下の通りです。
- SQLインジェクション
- OSコマンド・インジェクション
- ディレクトリ・トラバーサル
- クロスサイト・スクリプティング
- その他(IDS回避を目的とした攻撃)
(注)IDS:侵入検知システム(Intrusion Detection System)- 同一IPアドレスからの攻撃の可能性
- アクセスログに記録されないインジェクションの可能性
- ウェブサーバの設定不備を狙った攻撃の可能性
また、対応する Web サーバーのログ形式も幅広いです。
「iLogScanner」を動作させるには Java がブラウザ上で実行できることが必要で、動作環境は以下のようになっています。私は、Windows 8.1 + Internet Explorer 11 で動作させましたが、問題なく動作しました。
では、実際に Web サーバーのアクセスログをパソコンに持ってきて、「iLogScanner」で分析をしてみましょう。
上記のサイト の中ほどに以下の画面があるので、「次へ」をクリックします。
利用規約を確認し、「規約に同意して iLogScanner を起動する」をクリックします。
分析するアクセスログの形式、アクセスログファイル、分析結果の出力先を指定して「解析開始」ボタンをクリックします。
分析が終了すると、以下の画面が表示されます。攻撃の痕跡が検出されたようです。解析結果のレポートファイルとログファイルがあるので、詳細を確認します。
解析結果レポートを確認すると、「その他」に 2 件検出されているようです。
解析結果ログファイルの内容は以下のようになります。いかにもというリクエストですが、成功した可能性は高くないようなので、これは問題なさそうですね。
#解析結果ログの見方
#—————————————————————-
#[ログファイル名]
#[行番号] [脆弱性種別] [攻撃が成功した可能性が高い] [該当するアクセスログ] [シグネチャ対応コード]
#—————————————————————-
#※ 各項目はタブ区切りになります
#※ 攻撃が成功した可能性が高い場合、「●」がつきます
#以下、解析結果ログaccess_log
9026 その他 – 66.249.xx.xx – – [30/Dec/2013:08:40:55 +0900] “GET /?cbp=h2k9eo0x6k2h HTTP/1.1″ 200 4806 “-” “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_3) AppleWebKit/535.19 (KHTML, like Gecko, Google Publisher Tools) Chrome/18.0.1025.151 Safari/535.19” D053
9028 その他 – 66.249.xx.xx – – [30/Dec/2013:08:40:56 +0900] “GET /?cbp=h2k9eo0x6k2h HTTP/1.1″ 200 4806 “-” “Mediapartners-Google” D053
Web サーバーのアクセスログ分析がこんなに簡単にできるので、Web サーバーのセキュリティレベルを向上させたい方は、是非、「iLogScanner」をご活用ください。
コメント