無料ウェブサイト攻撃兆候検出ツール「iLogScanner」のご紹介

 2017.04.06 Secure Enterpriseポータル

IPA(情報処理推進機構)は、iLogScannerというウェブサイトの攻撃兆候検出ツールを無料で提供しています。このiLogScannerを使うと、自社のサイトに対する見えない攻撃の兆候を発見できるかも知れません。

iLogScannerで検出できるかも知れない攻撃の兆候は、次のようになっています。

ウェブアプリケーション攻撃の痕跡と攻撃が成功した可能性

  • SQL インジェクション

ウェブアプリケーション攻撃の痕跡

  • OS コマンド・インジェクション
  • ディレクトリ・トラバーサル
  • クロスサイト・スクリプティング
  • その他(ID回避を目的とした攻撃)

詳細レベルの検出対象

  • 同一 IP アドレスから同一 URL に対する攻撃の可能性
  • アクセスログに記録されない SQLインジェクションの兆候
  • Web サーバの設定不備を狙った攻撃の可能性

SSH、FTP に対する攻撃の痕跡

  • 大量のログイン失敗
  • 短時間の集中ログイン
  • 同一ファイルへの大量アクセス

ユーザのログイン状況

  • 認証試行回数
  • 業務時間外アクセス
  • ルート昇格
  • 指定 IP 外からのアクセス
  • 特権アカウントでのログイン検知
  • 長時間ログインの検知
  • 匿名アカウントでのログイン検知
  • ゲストアカウントでのログイン検知

それではiLogScannerは、実際にどのような仕組みで検知しているのか見てみましょう。

iLogScannerが攻撃の痕跡を検知する仕組み

iLogScannerは、WEBブラウザからJavaを使って実行できるオンライン版と、プログラムをダウンロードして実行するオフライン版が用意されています。

どちらの版を使っても、iLogScannerを実行すると、指定したWEBサイトへのアクセスログやエラーログを収集できます。そしてそのアクセスログに記録された文字列から、WEBアプリケーションへの攻撃があったかどうかを検出します。

例えば、SQLインジェクション攻撃では、SQLステートメントで使用されるキーワードや関数に、データベースのシステムテーブル名やシステムストアプロシージャ名、さらにはシステム拡張ストアドプロシージャ名などの有無を検知します。

同様に、OSコマンド・インジェクションでは、対象となるOSを操作する命令文やパラメータ文などが送り込まれていないかを検出します。さらにディレクトリ操作文やスクリプト関数にHTMLタグ文字列、イベントハンドラなどの文字列を検出して、ディレクトリ・トラバーサルやクロスサイト・スクリプティング攻撃の痕跡がないかをチェックできます。

その他にも、同一IPアドレスから同一URLに対する攻撃の可能性や、アクセスログに記録されないSQLインジェクションの兆候なども検出します。

認証ログの解析による不正アクセスの検出

iLogScannerは、アクセスログやエラーログに加えて認証ログを解析することで、以下の攻撃の兆候も検知します。

  • 大量のログイン失敗
  • 短時間の集中ログイン
  • 同一ファイルへの大量アクセス
  • 認証試行回数
  • 業務時間外アクセス
  • ルート昇格
  • 指定IP外からのアクセス
  • 特権アカウントでのログイン
  • 長時間ログイン
  • 匿名アカウントでのログイン
  • ゲストアカウントでのログイン

一つでも検出されたらWEBアプリケーションへの攻撃を疑うべき

iLogScannerによる解析は、数日間にわたって実行するのが理想的です。

WEBサイトのサービス内容によっては、一週間ほどの期間で解析ログを集めた方がいいかも知れません。しかし期間の短長に関わらず、もしも1件でも攻撃の兆候が検出されたらWEBアプリケーションを守るための対策を取る必要があるでしょう。

WEBアプリケーションに対する攻撃は、ロボットなどの自動プログラムによって、24時間365日行われています。攻撃者は、幾多のWEBアプリケーションに攻撃を仕掛けて、一つでも小さな「穴」を発見したら、そこを集中的に狙います。その「穴」が、もしかしたらSQLインジェクションやOSコマンド・インジェクションのようにWEBアプリケーションに関する脆弱性であるとすれば、短期間のうちに侵入されてしまうかも知れません。

WEBアプリケーションへの攻撃は、従来のファイアウォールや侵入検知システムだけでは防ぎきれないため、WAF(Web Application Firewall)と呼ばれる防御システムが必要になります。そして、短期間に高いコスト効率でWEBアプリケーションへの攻撃を防御する方法として、クラウド型WAFの導入は効果的です。

クラウド型WAFは、自社WEBサイト内に新たな機器やシステムを導入する必要がないので、初期投資が低く短期間での導入を可能にします。またオンプレミス型WAFとは異なり、攻撃パターンの解析やそれに伴う新たな対策の設定に、シグネチャの更新などの煩雑な作業が発生しないので、セキュリティ対策の専任者も不要です。

より安心な脆弱性の診断にはシマンテック脆弱性アセスメントを利用

IPAのiLogScannerは、無料で利用できる便利なツールですが、出力された結果を読み解くためにはある程度の知識が必要になります。

そのため、世界的な規模で発生しているWEBアプリケーションへの攻撃を迅速に検出するためには、自社のWEBサイトの重大な脆弱性を素早くかつ特定するためのソリューションが必要です。

シマンテックが SSL サーバ証明書の無料オプション機能として提供する「脆弱性アセスメント」は、クラウドベースで利用可能なサーバ脆弱性診断機能です。大きなセキュリティホールとなりそうなWEBサイトの弱点を素早く特定し、対策を講じる手助けをします。

シマンテックの脆弱性アセスメントは、セキュリティホールとなりそうなWEBサイトの弱点を素早く特定する手助けをします。この評価サービスは、グローバル・サーバ ID およびシマンテック EV SSL 証明書を購入すると無償で利用できます。そのサービスの内容は、以下のようになっています。

  • 公開されているウェブページ、ウェブベースアプリケーション、サーバソフトウェア、およびネットワークポートの脆弱性を検出するため、毎週の自動診断。
  • すぐに調査すべき「重大な脆弱性(Critical)」、もしくは「注意(Informational)」に分類されたレポート。
  • 脆弱性が修復されたことを確認する際に役立つ、 WEBサイトを再診断するオプション。

脆弱性アセスメントは、シマンテック SSL サーバ証明書、ならびに毎日のマルウェアスキャンと組み合わせることで、ウェブサイトをセキュリティで保護し、顧客を保護するための手助けとなります。