ウェブサイト攻撃の検出ツール iLogScannerを情報処理推進機構(IPA)が公開しています.

iLogScannerはウェブサーバのアクセスログからウェブアプリケーション脆弱性を狙った攻撃と思われる痕跡を検出するためのツールで,今までは特別なスキルが必要だったウェブサーバのアクセスログ解析が,誰でも簡単に行うことができ,今すぐ危険な攻撃と思われる痕跡の有無を確認することができます.

検出できるウェブアプリケーション攻撃の種類は次のものです.

1. SQLインジェクション
2. OSコマンド・インジェクション
3. ディレクトリ・トラバーサル
4. クロスサイト・スクリプティング
5. その他(IDS回避を目的とした攻撃)

解析レベルが「詳細」の場合の検出できるウェブアプリケーション攻撃の種類

1. 同一IPアドレスから同一URLに対する攻撃の可能性
2. アクセスログに記録されないSQLインジェクションの可能性
3. ウェブサーバの設定不備を狙った攻撃の可能性

また,認証ログ(SSH, FTP)から,次の攻撃の痕跡を検出することも可能です.

1. 大量のログイン失敗
2. 短時間の集中ログイン
3. 同一ファイルへの大量アクセス

ユーザのログイン状況について,次の項目を検出します.

1. 認証試行回数
2. 業務時間外アクセス
3. ルート昇格
4. 指定 IP 外からのアクセス
5. 特権アカウントでのログイン検知
6. 長時間ログインの検知
7. 匿名アカウントでのログイン検知
8. ゲストアカウントでのログイン検知

(注意)攻撃と思われる痕跡を全て網羅し,確実に検出するものではありません.また誤検出の場合もあります.

動作環境:

Microsoft Windows 11
Microsoft Windows 10
Linux(CentOS 等)
Open JDK 11 以上

解析対象となるログ:

アクセスログの形式:

IIS6.0/7.0/7.5/8.0/8.5のW3C拡張ログファイルタイプ
IIS6.0/7.0/7.5/8.0/8.5のIISログファイルタイプ
Apache HTTP Server1.3系/2.0系/2.2系/2.4系のcommonタイプ(カスタムフォーマット対応)

エラーログの形式:

Apache HTTP Server2.0系/2.2系,ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ
Apache HTTP Server2.4系,ModSecurity 2.5系/2.6系/2.7系/2.8系のタイプ

認証ログ:

sshd(syslog)
vsftpd(vsftpd形式、wu-ftpd形式)

情報処理推進機構(IPA)のiLogScannerに関する説明をご覧になって,解析を行ってください.

• ウェブサイト攻撃の検出ツール iLogScanner